翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EventBridge スキーマのリソースベースのポリシー
<a name="eb-resource-based-schemas"></a>

EventBridge の[スキーマレジストリ](eb-schema-registry.md)は、[リソースベースのポリシー](eb-use-resource-based.md)をサポートしています。*リソースベースのポリシー*は、IAM アイデンティティではなくリソースにアタッチされるポリシーです。例えば、Amazon Simple Storage Service (Amazon S3) では、Amazon S3 バケットにリソースポリシーがアタッチされます。

EventBridge Schemas とリソースベースポリシーの詳細については、以下を参照してください。
+ [Amazon EventBridge スキーマ REST API リファレンス](https://docs.aws.amazon.com/eventbridge/latest/schema-reference/what-is-eventbridge-schemas.html)
+ 『IAM ユーザーガイド』の「[アイデンティティベースおよびリソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)」

## リソースベースのポリシーでサポートされている API
<a name="eb-resource-supported-apis"></a>

EventBridge スキーマレジストリのリソースベースのポリシーでは、次の API を使用できます。
+ `DescribeRegistry`
+ `UpdateRegistry`
+ `DeleteRegistry`
+ `ListSchemas`
+ `SearchSchemas`
+ `DescribeSchema`
+ `CreateSchema`
+ `DeleteSchema`
+ `UpdateSchema`
+ `ListSchemaVersions`
+ `DeleteSchemaVersion`
+ `DescribeCodeBinding`
+ `GetCodeBindingSource`
+ `PutCodeBinding`

## サポートされているすべてのアクションを AWS アカウントに付与するポリシーの例
<a name="eb-resource-policy-account-all"></a>

EventBridge スキーマレジストリの場合、必ずリソースベースのポリシーをレジストリにアタッチする必要があります。スキーマへのアクセスを付与するには、ポリシーでスキーマ ARN とレジストリ ARN を指定します。

EventBridge スキーマの利用可能なすべての API へのアクセスをユーザーに付与するには、以下のようなポリシーを使用し、アクセスを付与したいアカウントのアカウント ID に `"Principal"` を置き換えます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:*"
            ],
            "Principal": {
                "AWS": [
                    "109876543210" 
                ]
            },
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ]
        }
    ]
}
```

------

## AWS アカウントに読み取り専用アクションを付与するポリシーの例
<a name="eb-resource-policy-account-read"></a>

次の例では、EventBridge スキーマの読み取り専用 API のみのアクセスをアカウントに付与しています。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:DescribeRegistry",
                "schemas:ListSchemas",
                "schemas:SearchSchemas",
                "schemas:DescribeSchema",
                "schemas:ListSchemaVersions",
                "schemas:DescribeCodeBinding",
                "schemas:GetCodeBindingSource"
            ],
            "Principal": {
                "AWS": [
                    "109876543210"
                ]
            },
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ]
        }
    ]
}
```

------

## 組織にすべてのアクションを付与するポリシーの例
<a name="eb-resource-policy-org"></a>

EventBridge スキーマレジストリでリソースベースポリシーを使用して、組織へのアクセスを付与することができます。詳細については、「[AWS Organizations ユーザーガイド](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。次の例では、`o-a1b2c3d4e5` という ID の組織にスキーマレジストリへのアクセス許可を付与します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:*"
            ],
            "Principal": "*",
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": [
                        "o-a1b2c3d4e5"
                    ]
                }
            }
        }
    ]
}
```

------