Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autorisations pour les bus dédiés aux événements sur Amazon EventBridge
Le [bus d'événements](eb-event-bus.md) par défaut de votre AWS compte n'autorise que [les événements](eb-events.md) provenant d'un seul compte. Vous pouvez accorder des autorisations supplémentaires à un bus d’événements en y attachant une [politique basée sur les ressources](eb-use-resource-based.md). Avec une politique basée sur les ressources, vous pouvez autoriser les appels d’API `PutEvents`, `PutRule` et `PutTargets` à partir d’un autre compte. Vous pouvez également utiliser les [conditions IAM](eb-use-conditions.md) de la politique pour accorder des autorisations à une organisation, appliquer des [balises](eb-tagging.md) ou filtrer les événements uniquement sur ceux provenant d’une règle ou d’un compte spécifique. Vous pouvez définir une politique basée sur les ressources pour un bus d’événements lors de sa création ou ultérieurement.
EventBridge APIs qui acceptent un `Name` paramètre de bus d'événements tel que`PutRule`,`PutTargets`,`DeleteRule`,`RemoveTargets`,`DisableRule`, et acceptent `EnableRule` également l'ARN du bus d'événements. Utilisez ces paramètres pour référencer les bus d'événements entre comptes ou entre régions via le. APIs Par exemple, vous pouvez appeler `PutRule` pour créer une [règle](eb-rules.md) sur un bus d’événements dans un autre compte sans avoir à assumer un rôle.
Vous pouvez attacher les exemples de politiques de la présente rubrique à un rôle IAM afin d’autoriser l’envoi d’événements vers un autre compte ou une autre région. Utilisez les rôles IAM pour définir les politiques de contrôle de l’organisation et les limites quant aux personnes autorisées à envoyer des événements depuis votre compte vers d’autres comptes. Nous recommandons de toujours utiliser des rôles IAM lorsque la cible d’une règle est un bus d’événements. Vous pouvez attacher des rôles IAM en utilisant des appels `PutTarget`. Pour en savoir plus sur la création d’une règle permettant d’envoyer des événements vers un autre compte ou une autre région, consultez [Envoi et réception d'événements entre AWS comptes sur Amazon EventBridge](eb-cross-account.md).
# Gestion des autorisations relatives au bus d'événements sur Amazon EventBridge
Procédez comme suit pour modifier les autorisations pour un bus d’événements existant. Pour plus d'informations sur la façon CloudFormation de créer une politique de bus d'événements, consultez [AWS::Events::EventBusla section Politique](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-events-eventbuspolicy.html).
**Pour gérer les autorisations pour un bus d’événements existant**
1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Dans le volet de navigation de gauche, choisissez **Bus d’événements**.
1. Dans **Nom**, choisissez le nom du bus d’événements pour lequel gérer les autorisations.
Si une politique de ressource est attachée au bus d’événements, elle s’affiche.
1. Choisissez **Gérer les autorisations**, puis effectuez l’une des opérations suivantes :
+ Entrez la politique qui inclut les autorisations à accorder pour le bus d’événements. Vous pouvez coller une politique provenant d’une autre source ou entrer le code JSON de la politique.
+ Pour utiliser un modèle pour la politique, choisissez **Charger un modèle**. Modifiez la politique en fonction de votre environnement et ajoutez des actions supplémentaires que vous autorisez le principal de la politique à utiliser.
1. Choisissez **Mettre à jour**.
Le modèle fournit des exemples d’instructions de politique que vous pouvez personnaliser pour votre compte et votre environnement. Le modèle n’est pas une politique valide. Vous pouvez modifier le modèle en fonction de votre cas d’utilisation, ou copier l’un des exemples de politiques et le personnaliser.
Le modèle charge les politiques qui incluent un exemple expliquant comment accorder des autorisations à un compte pour utiliser l’action `PutEvents`, comment accorder des autorisations à une organisation et comment accorder des autorisations au compte pour gérer les règles du compte. Vous pouvez personnaliser le modèle pour votre compte spécifique, puis supprimer les autres sections du modèle. D'autres exemples de politiques sont inclus plus loin dans cette section.
Si vous essayez de mettre à jour les autorisations pour le bus, mais que la politique contient une erreur, un message d’erreur indique le problème spécifique de la politique.
```
### Choose which sections to include in the policy to match your use case. ###
### Be sure to remove all lines that start with ###, including the ### at the end of the line. ###
### The policy must include the following: ###
{
"Version": "2012-10-17",
"Statement": [
### To grant permissions for an account to use the PutEvents action, include the following, otherwise delete this section: ###
{
"Sid": "AllowAccountToPutEvents",
"Effect": "Allow",
"Principal": {
"AWS": ""
},
"Action": "events:PutEvents",
"Resource": "arn:aws:events:us-east-1:123456789012:event-bus/default"
},
### Include the following section to grant permissions to all members of your AWS Organizations to use the PutEvents action ###
{
"Sid": "AllowAllAccountsFromOrganizationToPutEvents",
"Effect": "Allow",
"Principal": "*",
"Action": "events:PutEvents",
"Resource": "arn:aws:events:us-east-1:123456789012:event-bus/default",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-yourOrgID"
}
}
},
### Include the following section to grant permissions to the account to manage the rules created in the account ###
{
"Sid": "AllowAccountToManageRulesTheyCreated",
"Effect": "Allow",
"Principal": {
"AWS": ""
},
"Action": [
"events:PutRule",
"events:PutTargets",
"events:DeleteRule",
"events:RemoveTargets",
"events:DisableRule",
"events:EnableRule",
"events:TagResource",
"events:UntagResource",
"events:DescribeRule",
"events:ListTargetsByRule",
"events:ListTagsForResource"],
"Resource": "arn:aws:events:us-east-1:123456789012:rule/default",
"Condition": {
"StringEqualsIfExists": {
"events:creatorAccount": ""
}
}
}]
}
```
# Exemple de politique : envoyer des événements vers le bus par défaut dans un autre compte Amazon EventBridge
L’exemple de politique suivant accorde au compte 111122223333 l’autorisation de publier des événements sur le bus d’événements par défaut du compte 123456789012.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "sid1",
"Effect": "Allow",
"Principal": {"AWS":"arn:aws:iam::111112222333:root"},
"Action": "events:PutEvents",
"Resource": "arn:aws:events:us-east-1:123456789012:event-bus/default"
}
]
}
```
------
# Exemple de politique : envoyer des événements vers un bus personnalisé dans un autre compte Amazon EventBridge
L’exemple de politique suivant accorde au compte 111122223333 l’autorisation de publier des événements sur `central-event-bus` dans le compte 123456789012, mais uniquement pour les événements dont la valeur source est définie sur `com.exampleCorp.webStore` et `detail-type` défini sur `newOrderCreated`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "WebStoreCrossAccountPublish",
"Effect": "Allow",
"Action": [
"events:PutEvents"
],
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Resource": "arn:aws:events:us-east-1:123456789012:event-bus/central-event-bus",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": "com.exampleCorp.webStore",
"events:detail-type": "newOrderCreated"
}
}
}
]
}
```
------
# Exemple de politique : envoyer des événements vers un bus d'événements associé au même compte sur Amazon EventBridge
L’exemple de politique suivant attaché à un bus d’événements nommé `CustomBus1` autorise le bus d’événements à recevoir des événements provenant du même compte et de la même région.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:PutEvents"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:event-bus/CustomBus1"
]
}
]
}
```
------
# Exemple de politique : envoyer des événements issus de règles spécifiques vers un EventBridge bus Amazon d'une autre région
L’exemple de politique suivant accorde au compte 111122223333 l’autorisation d’envoyer des événements correspondant à une règle nommée `SendToUSE1AnotherAccount` dans les régions Moyen-Orient (Bahreïn) et USA Ouest (Oregon) à un bus d’événements nommé `CrossRegionBus` dans la région USA Est (Virginie du Nord) dans le compte 123456789012. L’exemple de politique est ajouté au bus d’événements nommé `CrossRegionBus` dans le compte 123456789012. La politique autorise les événements uniquement s’ils correspondent à une règle spécifiée pour le bus d’événements dans le compte 111122223333. L’instruction `Condition` limite les événements aux seuls événements qui correspondent aux règles avec l’ARN de règle spécifié.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificRulesAsCrossRegionSource",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111112222333:root"
},
"Action": "events:PutEvents",
"Resource": "arn:aws:events:us-east-1:123456789012:event-bus/CrossRegionBus",
"Condition": {
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:events:us-west-2:111112222333:rule/CrossRegionBus/SendToUSE1AnotherAccount",
"arn:aws:events:me-south-1:111112222333:rule/CrossRegionBus/SendToUSE1AnotherAccount"
]
}
}
}
]
}
```
------
# Exemple de politique : envoyer des événements uniquement depuis une région spécifique vers une autre région d'Amazon EventBridge
L’exemple de politique suivant accorde au compte 111122223333 l’autorisation d’envoyer tous les événements générés dans les régions Moyen-Orient (Bahreïn) et USA Ouest (Oregon) au bus d’événements nommé `CrossRegionBus` dans le compte 123456789012 de la région USA Est (Virginie du Nord). Le compte 111122223333 n’est pas autorisé à envoyer les événements générés dans une autre région.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCrossRegionEventsFromUSWest2AndMESouth1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111112222333:root"
},
"Action": "events:PutEvents",
"Resource": "arn:aws:events:us-east-1:123456789012:event-bus/CrossRegionBus",
"Condition": {
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:events:us-west-2:*:*",
"arn:aws:events:me-south-1:*:*"
]
}
}
}
]
}
```
------
# Exemple de politique : refuser l'envoi d'événements depuis des régions spécifiques d'Amazon EventBridge
L’exemple de politique suivant attaché à un bus d’événements nommé `CrossRegionBus` dans le compte 123456789012 accorde l’autorisation au bus d’événements de recevoir des événements du compte 111122223333, mais pas les événements générés dans la région USA Ouest (Oregon).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1AllowAnyEventsFromAccount111112222333",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111112222333:root"
},
"Action": "events:PutEvents",
"Resource": "arn:aws:events:us-east-1:123456789012:event-bus/CrossRegionBus"
},
{
"Sid": "2DenyAllCrossRegionUSWest2Events",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "events:PutEvents",
"Resource": "arn:aws:events:us-east-1:123456789012:event-bus/CrossRegionBus",
"Condition": {
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:events:us-west-2:*:*"
]
}
}
}
]
}
```
------