Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ruoli IAM per l'invio di eventi a destinazioni in Amazon EventBridge
Per inoltrare gli eventi agli obiettivi, è EventBridge necessario un ruolo IAM.
**Per creare un ruolo IAM per l'invio di eventi a EventBridge**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Per creare un ruolo IAM, segui i passaggi descritti in [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) per l'*utente IAM*. e prendi nota di quanto segue:
+ In **Nome ruolo**, utilizza un nome univoco nel tuo account.
+ In **Seleziona tipo di ruolo**, scegli **Ruoli di AWS servizio**, quindi scegli **Amazon EventBridge**. Ciò concede EventBridge le autorizzazioni per assumere il ruolo.
+ In **Allega politica, scegli**. **AmazonEventBridgeFullAccess**
Puoi anche creare policy IAM personalizzate per consentire EventBridge autorizzazioni per azioni e risorse. Puoi associare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono tali autorizzazioni. Per ulteriori informazioni sulle policy IAM, consulta [Panoramica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l'utente di IAM*. Per ulteriori informazioni sulla gestione e sulla creazione di policy IAM personalizzate, consulta [Gestione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html) nella *Guida per l'utente di IAM*.
## Autorizzazioni necessarie per accedere EventBridge agli obiettivi utilizzando i ruoli IAM
EventBridge gli obiettivi in genere richiedono ruoli IAM che concedono l'autorizzazione EventBridge a richiamare l'obiettivo. Di seguito sono riportati alcuni esempi di vari AWS servizi e destinazioni. Per gli altri, usa la EventBridge console per creare una regola e creare un nuovo ruolo che verrà creato con una politica con autorizzazioni ben definite preconfigurate.
Amazon SQS, Amazon SNS, CloudWatch Lambda, Logs EventBridge e le destinazioni bus non utilizzano ruoli e le EventBridge autorizzazioni devono essere concesse tramite una politica delle risorse. Le destinazioni di Gateway API possono utilizzare policy basate su risorse o ruoli IAM.
### Destinazioni API
Se la destinazione è una destinazione API, il ruolo specificato deve includere una policy con la seguente dichiarazione:
+ **Effetto**: `Allow`
+ **Operazione:** `events:InvokeApiDestination`
+ **Risorsa:** `arn:aws:events:*:*:api-destination/*`
### Flussi Kinesis
Se la destinazione è un flusso Kinesis, il ruolo utilizzato per inviare i dati degli eventi a tale destinazione deve includere una policy con la seguente dichiarazione:
+ **Effetto**: `Allow`
+ **Operazione:** `kinesis:PutRecord`
+ **Risorsa:** `*`
### Systems Manager esegue i comandi
Se la destinazione è Systems Manager run command e si specificano uno o più `InstanceIds` valori per il comando, il ruolo specificato deve includere una policy con la seguente dichiarazione:
+ **Effetto**: `Allow`
+ **Operazione:** `ssm:SendCommand`
+ **Risorse:** `arn:aws:ec2:us-east-1:accountId:instance/instanceIds`, `arn:aws:ssm:us-east-1:*:document/documentName`
Se la destinazione è Systems Manager run command e si specificano uno o più tag per il comando, il ruolo specificato deve includere una policy con le due azioni seguenti:
+ **Effetto**: `Allow`
+ **Operazione:** `ssm:SendCommand`
+ **Risorse:** `arn:aws:ec2::accountId:instance/*`
+ **Condizione:**
```
"StringEquals": {
"ec2:ResourceTag/*": [
"[[tagValues]]"
]
}
```
E:
+ **Effetto**: `Allow`
+ **Operazione:** `ssm:SendCommand`
+ **Risorse:** `arn:aws:ssm:us-east-1:*:document/documentName`
### Macchine a stati Step Functions
Se la destinazione è una macchina a AWS Step Functions stati, il ruolo specificato deve includere una politica con quanto segue:
+ **Effetto**: `Allow`
+ **Operazione:** `states:StartExecution`
+ **Risorsa:** `arn:aws:states:*:*:stateMachine:*`
### Attività di Amazon ECS
Se la destinazione è un'attività Amazon ECS, il ruolo specificato deve includere la policy seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:RunTask"
],
"Resource": [
"arn:aws:ecs:*:111122223333:task-definition/task-definition-name"
],
"Condition": {
"ArnLike": {
"ecs:cluster": "arn:aws:ecs:*:111122223333:cluster/cluster-name"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ecs-tasks.amazonaws.com"
}
}
}
]
}
```
------
La seguente policy consente agli obiettivi integrati EventBridge di eseguire azioni Amazon EC2 per tuo conto. È necessario utilizzare il Console di gestione AWS per creare regole con obiettivi predefiniti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TargetInvocationAccess",
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"ec2:RebootInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:CreateSnapshot"
],
"Resource": "*"
}
]
}
```
------
La seguente politica consente di EventBridge inoltrare gli eventi agli stream Kinesis del tuo account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KinesisAccess",
"Effect": "Allow",
"Action": [
"kinesis:PutRecord"
],
"Resource": "*"
}
]
}
```
------
## Esempio di policy gestita dal cliente: utilizzo di tag per controllare l'accesso alle regole
L'esempio seguente mostra una politica utente che concede le autorizzazioni per le azioni. EventBridge Questa politica funziona quando si utilizza l' EventBridge API o AWS SDKs il AWS CLI.
Puoi concedere agli utenti l'accesso a EventBridge regole specifiche impedendo loro di accedere ad altre regole. A tale scopo, applichi tag a entrambi i set di regole e usi le policy IAM che fanno riferimento a tali tag. Per ulteriori informazioni sull'etichettatura EventBridge delle risorse, consulta[Etichettare le risorse in Amazon EventBridge](eb-tagging.md).
Puoi concedere una policy IAM a un utente per consentirgli di accedere unicamente alle regole con un determinato tag. Puoi scegliere a quali regole concedere l'accesso contrassegnandole con quel particolare tag. Ad esempio, la seguente policy garantisce a un utente l'accesso alle regole con il valore `Prod` per la chiave di tag `Stack`.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": "events:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Stack": "Prod"
}
}
}
]
}
```
Per ulteriori informazioni sull'utilizzo di istruzioni di policy IAM, consulta [Controllo dell'accesso tramite le policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) nella *Guida per l'utente di IAM*.