기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon EventBridge에 사용되는 작업, 리소스 및 조건 키
Amazon EventBridge(서비스 접두사: events)는 IAM 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다.
참조:
-
이 서비스를 구성하는 방법을 알아봅니다.
-
이 서비스에 사용 가능한 API 작업의 목록을 봅니다.
-
IAM 권한 정책을 사용하여 이 서비스와 리소스를 보호하는 방법을 알아봅니다.
Amazon EventBridge에서 정의한 작업
IAM 정책 설명의 Action 요소에서는 다음 작업을 지정할 수 있습니다. 정책을 사용하여 AWS에서 작업할 수 있는 권한을 부여합니다. 정책에서 작업을 사용하면 일반적으로 이름이 같은 API 작업 또는 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.
작업 테이블의 액세스 수준 열은 작업이 분류되는 방법(목록, 읽기, 권한 관리 또는 태그 지정)을 설명합니다. 이 분류는 정책에서 사용하는 작업이 부여하는 액세스 레벨을 이해하는 데 도움이 될 수 있습니다. 액세스 수준에 대한 자세한 내용은 정책 요약의 액세스 수준을 참조하세요.
작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource 요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 리소스 열에 리소스 유형이 포함되어 있으면 해당 작업 시 문에서 해당 유형의 ARN을 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM 정책의 Resource 요소로 리소스 액세스를 제한하는 경우, 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.
작업 테이블의 조건 키 열에는 정책 설명의 Condition 요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.
작업 테이블의 종속 작업 열에는 작업을 성공적으로 호출하는 데 필요할 수 있는 추가 권한이 표시됩니다. 작업 자체에 대한 권한 외에 이러한 권한이 필요할 수 있습니다. 작업이 종속 작업을 지정하는 경우 해당 종속성은 테이블에 나열된 첫 번째 리소스뿐만 아니라 해당 작업에 정의된 추가 리소스에도 적용될 수 있습니다.
참고
리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.
다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.
| 작업 | 설명 | 액세스 레벨 | 리소스 유형(*필수) | 조건 키 | 종속 작업 |
|---|---|---|---|---|---|
| ActivateEventSource | 파트너 이벤트 소스를 활성화할 수 있는 권한을 부여합니다. | 쓰기 | |||
| AllowVendedLogDeliveryForResource [권한만 해당] | EventBridge에 대한 판매 로그 전송을 구성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CancelReplay | 재생을 취소할 수 있는 권한을 부여합니다. | Write | |||
| CreateApiDestination | 새 API 대상을 만들 수 있는 권한을 부여합니다. | Write | |||
| CreateArchive | 새 아카이브를 만들 수 있는 권한을 부여합니다. | Write | |||
| CreateConnection | 새로운 연결을 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateEndpoint | 엔드포인트를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateEventBus | 이벤트 버스를 만들 수 있는 권한을 부여합니다. | Write | |||
| CreatePartnerEventSource | 파트너 이벤트 소스를 만들 수 있는 권한을 부여합니다. | Write | |||
| DeactivateEventSource | 이벤트 소스를 비활성화할 수 있는 권한을 부여합니다. | Write | |||
| DeauthorizeConnection | 연결 인증을 해제하고 저장된 인증 암호를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteApiDestination | API 대상을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteArchive | 아카이브를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteConnection | 연결을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteEndpoint | 엔드포인트를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteEventBus | 이벤트 버스를 삭제할 권한을 부여합니다. | Write | |||
| DeletePartnerEventSource | 파트너 이벤트 소스를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteRule | 규칙을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DescribeApiDestination | API 대상에 대한 세부 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeArchive | 아카이브에 대한 세부 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeConnection | 연결에 대한 세부 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeEndpoint | 엔드포인트에 대한 세부 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeEventBus | 이벤트 버스에 대한 세부 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeEventSource | 이벤트 소스에 대한 세부 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribePartnerEventSource | 파트너 이벤트 소스에 대한 세부 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeReplay | 재생의 세부 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeRule | 규칙에 대한 세부 정보를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DisableRule | 규칙을 비활성화할 수 있는 권한을 부여합니다. | 쓰기 | |||
| EnableRule | 규칙을 사용하도록 권한을 부여합니다. | 쓰기 | |||
| InvokeApiDestination [권한만 해당] | API 대상을 호출할 수 있는 권한을 부여합니다. | Write | |||
| ListApiDestinations | API 대상 목록을 검색할 수 있는 권한을 부여합니다. | 나열 | |||
| ListArchives | 아카이브의 목록을 검색할 수 있는 권한을 부여합니다. | 나열 | |||
| ListConnections | 연결의 목록을 검색할 수 있는 권한을 부여합니다. | List | |||
| ListEndpoints | 엔드포인트의 목록을 검색할 수 있는 권한을 부여합니다. | List | |||
| ListEventBuses | 계정에 있는 이벤트 버스 목록을 검색할 수 있는 권한을 부여합니다. | List | |||
| ListEventSources | 이 계정과 공유된 이벤트 소스 목록을 검색할 수 있는 권한을 부여합니다. | List | |||
| ListPartnerEventSourceAccounts | 이벤트 소스와 연결된 AWS 계정 IDs 목록을 검색할 수 있는 권한을 부여합니다. | List | |||
| ListPartnerEventSources | 목록 파트너 이벤트 소스를 검색할 수 있는 권한을 부여합니다. | 나열 | |||
| ListReplays | 재생 목록을 검색할 수 있는 권한을 부여합니다. | 나열 | |||
| ListRuleNamesByTarget | 대상과 연관된 규칙 이름 목록을 검색할 수 있는 권한을 부여합니다. | 나열 | |||
| ListRules | 계정에서 Amazon EventBridge 규칙 목록을 검색할 수 있는 권한을 부여합니다. | 나열 | |||
| ListTagsForResource | Amazon EventBridge 리소스와 연결된 태그 목록을 검색할 수 있는 권한을 부여합니다. | 나열 | |||
| ListTargetsByRule | 규칙에 대해 정의된 대상 목록을 검색할 수 있는 권한을 부여합니다. | 나열 | |||
| PutEvents | Amazon EventBridge에 사용자 지정 이벤트를 보낼 수 있는 권한을 부여합니다. | Write | |||
| PutPartnerEvents | Amazon EventBridge에 사용자 지정 이벤트를 보낼 수 있는 권한을 부여합니다. | 쓰기 | |||
| PutPermission | PutPermission 작업을 사용하여 다른에 기본 이벤트 버스에 이벤트를 배치할 AWS 계정 수 있는 권한을 부여할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutRule | 규칙을 생성하거나 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| PutTargets | 규칙에 대상을 추가할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RemovePermission | 기본 이벤트 버스에 이벤트를 AWS 계정 배치할 다른의 권한을 취소할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| RemoveTargets | 규칙에서 대상을 제거할 권한을 부여합니다. | 쓰기 | |||
| RetrieveConnectionCredentials [권한만 해당] | 연결에서 보안 인증을 검색할 수 있는 권한을 부여합니다. | 쓰기 | |||
| StartReplay | 아카이브 재생을 시작할 수 있는 권한을 부여합니다. | Write | |||
| TagResource | Amazon EventBridge 리소스에 태그를 추가할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| TestEventPattern | 이벤트 패턴이 제공된 이벤트와 일치하는지 테스트할 수 있는 권한을 부여합니다. | Read | |||
| UntagResource | Amazon EventBridge 리소스에서 태그를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| UpdateApiDestination | API 대상을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateArchive | 아카이브를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateConnection | 연결을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateEndpoint | 엔드포인트를 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateEventBus | 이벤트 버스를 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
Amazon EventBridge에서 정의한 리소스 유형
이 서비스에서 정의하는 리소스 유형은 다음과 같으며, IAM 권한 정책 설명의 Resource 요소에서 사용할 수 있습니다. 작업 테이블의 각 작업은 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 조건 키를 정의할 수도 있습니다. 이러한 키는 리소스 유형 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 관한 자세한 내용은 리소스 유형 테이블을 참조하세요.
| 리소스 유형 | ARN | 조건 키 |
|---|---|---|
| event-source |
arn:${Partition}:events:${Region}::event-source/${EventSourceName}
|
|
| event-bus |
arn:${Partition}:events:${Region}:${Account}:event-bus/${EventBusName}
|
|
| rule-on-default-event-bus |
arn:${Partition}:events:${Region}:${Account}:rule/${RuleName}
|
|
| rule-on-custom-event-bus |
arn:${Partition}:events:${Region}:${Account}:rule/${EventBusName}/${RuleName}
|
|
| archive |
arn:${Partition}:events:${Region}:${Account}:archive/${ArchiveName}
|
|
| replay |
arn:${Partition}:events:${Region}:${Account}:replay/${ReplayName}
|
|
| connection |
arn:${Partition}:events:${Region}:${Account}:connection/${ConnectionName}
|
|
| api-destination |
arn:${Partition}:events:${Region}:${Account}:api-destination/${ApiDestinationName}
|
|
| endpoint |
arn:${Partition}:events:${Region}:${Account}:endpoint/${EndpointName}
|
|
| create-snapshot |
arn:${Partition}:events:${Region}:${Account}:target/create-snapshot
|
|
| reboot-instance |
arn:${Partition}:events:${Region}:${Account}:target/reboot-instance
|
|
| stop-instance |
arn:${Partition}:events:${Region}:${Account}:target/stop-instance
|
|
| terminate-instance |
arn:${Partition}:events:${Region}:${Account}:target/terminate-instance
|
|
| alias |
arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}
|
|
| key |
arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}
|
Amazon EventBridge에 사용되는 조건 키
Amazon EventBridge는 IAM 정책의 Condition 요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.
모든 서비스에서 사용할 수 있는 전역 조건 키를 보려면 AWS 전역 조건 컨텍스트 키를 참조하세요.
| 조건 키 | 설명 | 형식 |
|---|---|---|
| aws:RequestTag/${TagKey} | 이벤트 버스 및 규칙 작업에 대한 각 태그에 대해 허용된 값 집합을 기준으로 액세스를 필터링합니다. | String |
| aws:ResourceTag/${TagKey} | 이벤트 버스 및 규칙 작업에 대한 리소스와 연결된 태그-값을 기준으로 액세스를 필터링합니다. | String |
| aws:TagKeys | 이벤트 버스 및 규칙 작업에 대한 요청의 태그를 기준으로 액세스를 필터링합니다. | ArrayOfString |
| events:EventBusArn | CreateEndpoint 및 UpdateEndpoint 작업을 엔드포인트와 연결할 수 있는 이벤트 버스의 ARN을 기준으로 액세스를 필터링합니다. | ArrayOfARN |
| events:ManagedBy | AWS 서비스를 기준으로 액세스를 필터링합니다. 사용자를 대신하여 AWS 서비스에서 규칙을 생성하는 경우 값은 규칙을 생성한 서비스의 보안 주체 이름입니다. | String |
| events:TargetArn | PutTargets 작업에 대한 규칙에 넣을 수 있는 대상의 ARN을 기준으로 액세스를 필터링합니다. TargetARN은 DeadLetterConfigArn을 포함하지 않습니다. | ArrayOfARN |
| events:creatorAccount | 규칙 작업에 대해 규칙이 생성된 계정을 기준으로 액세스를 필터링합니다. | String |
| events:detail-type | PutEvents 및 PutRule 작업에 대한 이벤트 세부 유형의 리터럴 문자열을 기준으로 액세스를 필터링합니다. | String |
| events:detail.eventTypeCode | PutRule 작업에 대한 이벤트의 detail.eventTypeCode 필드에 대한 리터럴 문자열을 기준으로 액세스를 필터링합니다. | String |
| events:detail.service | PutRule 작업에 대한 이벤트의 detail.service 필드에 대한 리터럴 문자열을 기준으로 액세스를 필터링합니다. | String |
| events:detail.userIdentity.principalId | PutRule 작업에 대한 이벤트의 detail.useridentity.principalid 필드에 대한 리터럴 문자열을 기준으로 액세스를 필터링합니다. | String |
| events:eventBusInvocation | API 또는 PutEvents 작업에 대한 교차 계정 버스 호출을 통해 이벤트가 생성되었는지 여부를 기준으로 액세스를 필터링합니다. | String |
| events:source | PutEvents 및 PutRule PutRule 작업에 대한 이벤트를 생성한 AWS 서비스 또는 AWS 파트너 이벤트 소스를 기준으로 액세스를 필터링합니다. 이벤트의 소스 필드의 리터럴 문자열에 일치시킵니다. | ArrayOfString |
