Envoyer des événements à un AWS service dans un autre compte dans EventBridge - Amazon EventBridge
Services pris en chargeAutorisationsCréation de règles ciblant d'autres comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Envoyer des événements à un AWS service dans un autre compte dans EventBridge

EventBridge peut envoyer des événements depuis un bus d'événements d'un AWS compte vers les AWS services pris en charge sur un autre compte, simplifiant ainsi l'architecture de vos solutions axées sur les événements et réduisant le temps de latence.

Supposons, par exemple, que vous disposiez d'un ensemble de bus d'événements, hébergés sur plusieurs comptes, dont vous avez besoin pour envoyer des événements liés à la sécurité vers une file d'attente Amazon SQS dans un compte centralisé afin de poursuivre le traitement et l'analyse asynchrones.

EventBridge prend en charge l'envoi d'événements à des cibles multicomptes dans la même région.

Services pris en charge

EventBridge prend en charge l'envoi d'événements aux cibles suivantes dans d'autres AWS comptes :

  • Amazon API Gateway APIs

  • Amazon Kinesis Data Streams ruisseaux

  • Fonctions Lambda

  • Rubriques Amazon SNS

  • Files d'attente Amazon SQS

Pour connaître les tarifs, consultez EventBridge les tarifs Amazon.

Autorisations

L'activation de l'accès aux AWS services en tant que cibles pour la diffusion d'événements entre comptes implique les étapes suivantes :

  • Spécifier un rôle d'exécution

  • Associer une politique de ressources à la cible

Spécifier un rôle d'exécution

Spécifiez un rôle d'exécution EventBridge à utiliser lors de l'envoi d'événements à la cible lorsque la règle est déclenchée.

Ce rôle d'exécution doit se trouver dans le même compte que le bus d'événements. EventBridge assume ce rôle lorsqu'il tente d'invoquer la cible, et toutes les politiques de contrôle des services (SCPs) affectant ce compte sont appliquées.

SCPs sont un type de politique d'entreprise que vous pouvez utiliser pour gérer les autorisations au sein de votre organisation. Pour plus d'informations, veuillez consulter Politiques de contrôle de service du Guide de l'utilisateur AWS Organizations .

Par exemple, la politique suivante permet au EventBridge service d'assumer le rôle d'exécution :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
       },
      "Action": "sts:AssumeRole"
    }
  ]
}

Et la politique suivante autorise le rôle à envoyer des messages aux files d'attente Amazon SQS :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "target-queue-arn"
    }
  ]
}

Pour les comptes qui l'utilisent AWS Organizations, vous pouvez appliquer un SCP pour empêcher d'invoquer des ressources qui n'appartiennent pas à votre organisation, comme le montre l'exemple suivant :

{
    "Version": "2012-10-17",
    "Statement": [
          {
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Effect": "Deny",
            "Condition": {
                "StringNotEquals": {
                    "aws:ResourceOrgID": "o-1234567890"
                }
            }
        }
    ]
}
Note

Pour les cibles multicomptes autres que les bus d'événements, les appels PutTarget depuis un compte différent de celui du bus d'événements, même s'ils fournissent un rôle d'exécution depuis le compte appelant, ne sont pas pris en charge.

Associer une politique d'accès aux ressources à la cible

Les AWS services qui peuvent recevoir des événements entre comptes prennent en charge les politiques basées sur les ressources IAM. Cela vous permet d'associer une politique d'accès aux ressources à la cible, afin de pouvoir spécifier quel compte y a accès.

Sur la base de notre exemple précédent, la politique suivante autorise le compte Event Bus à accéder à la file d'attente Amazon SQS du compte cible :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "SQS:SendMessage"
      ],
      "Effect": "Allow",
      "Resource": "target-queue-arn",
      "Principal": {
        "AWS": "source-account-id"
     }
    }
  ]
}

Pour plus d'informations, consultez les sections Politiques basées sur l'identité et politiques basées sur les ressources dans le Guide de l'utilisateur.AWS Identity and Access Management

Création de règles qui envoient des événements aux AWS services d'autres comptes

La spécification d'un AWS service dans un autre compte comme cible fait partie de la création de la règle du bus d'événements.

Pour créer une règle qui envoie des événements à un AWS service d'un autre AWS compte à l'aide de la console

  1. Suivez les étapes de la procédure Création de règles qui réagissent aux événements sur Amazon EventBridge.

  2. Au cours de l’étape Sélection des cibles, lorsque vous êtes invité à choisir un type de cible :

    1. Sélectionnez le AWS service.

    2. Sélectionnez un AWS service qui prend en charge les cibles entre comptes.

      Pour de plus amples informations, veuillez consulter Services pris en charge.

    3. Pour Emplacement cible, choisissez Target dans un autre AWS compte.

    4. Entrez l'ARN de la ressource cible à laquelle vous souhaitez envoyer des événements.

    5. Sélectionnez le nom du rôle d'exécution à utiliser dans la liste déroulante.

    6. Fournissez toutes les informations supplémentaires demandées pour le service que vous sélectionnez. Les champs affichés varient en fonction du service sélectionné.

  3. Créez la règle en suivant les étapes de la procédure.