Amazon EventBridge スキーマのリソースベースのポリシー - Amazon EventBridge
サポートされている APIすべてのアクションのアカウントのポリシー例読み取り専用アカウントのポリシーの例組織ポリシーの例

Amazon EventBridge スキーマのリソースベースのポリシー

EventBridge のスキーマレジストリは、リソースベースのポリシーをサポートしています。リソースベースのポリシーは、IAM アイデンティティではなくリソースにアタッチされるポリシーです。例えば、Amazon Simple Storage Service (Amazon S3) では、Amazon S3 バケットにリソースポリシーがアタッチされます。

EventBridge Schemas とリソースベースポリシーの詳細については、以下を参照してください。

リソースベースのポリシーでサポートされている API

EventBridge スキーマレジストリのリソースベースのポリシーでは、次の API を使用できます。

  • DescribeRegistry

  • UpdateRegistry

  • DeleteRegistry

  • ListSchemas

  • SearchSchemas

  • DescribeSchema

  • CreateSchema

  • DeleteSchema

  • UpdateSchema

  • ListSchemaVersions

  • DeleteSchemaVersion

  • DescribeCodeBinding

  • GetCodeBindingSource

  • PutCodeBinding

サポートされるすべてのアクションを AWS アカウントに付与するポリシーの例

EventBridge スキーマレジストリの場合、必ずリソースベースのポリシーをレジストリにアタッチする必要があります。スキーマへのアクセスを付与するには、ポリシーでスキーマ ARN とレジストリ ARN を指定します。

EventBridge スキーマの利用可能なすべての API へのアクセスをユーザーに付与するには、以下のようなポリシーを使用し、アクセスを付与したいアカウントのアカウント ID に "Principal" を置き換えます。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:*"
            ],
            "Principal": {
                "AWS": [
                    "109876543210" 
                ]
            },
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ]
        }
    ]
}

AWS アカウントに読み取り専用のアクションを付与するポリシーの例

次の例では、EventBridge スキーマの読み取り専用 API のみのアクセスをアカウントに付与しています。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:DescribeRegistry",
                "schemas:ListSchemas",
                "schemas:SearchSchemas",
                "schemas:DescribeSchema",
                "schemas:ListSchemaVersions",
                "schemas:DescribeCodeBinding",
                "schemas:GetCodeBindingSource"
            ],
            "Principal": {
                "AWS": [
                    "109876543210"
                ]
            },
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ]
        }
    ]
}

組織にすべてのアクションを付与するポリシーの例

EventBridge スキーマレジストリでリソースベースポリシーを使用して、組織へのアクセスを付与することができます。詳細については、AWS Organizationsユーザーガイドを参照してください。次の例では、o-a1b2c3d4e5 という ID の組織にスキーマレジストリへのアクセス許可を付与します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:*"
            ],
            "Principal": "*",
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": [
                        "o-a1b2c3d4e5"
                    ]
                }
            }
        }
    ]
}