Envio de eventos para um serviço da AWS em outra conta no EventBridge - Amazon EventBridge
Serviços com suportePermissõesCriação de regras destinadas a outras contas

Envio de eventos para um serviço da AWS em outra conta no EventBridge

O EventBridge pode enviar eventos de um barramento de eventos em uma conta da AWS para serviços da AWS compatíveis em outra conta, o que simplifica a arquitetura das soluções orientadas a eventos e reduzindo a latência.

Por exemplo, vamos supor que você tenha um conjunto de barramentos de eventos, hospedados em várias contas, dos quais precise para enviar eventos relacionados à segurança para uma fila do Amazon SQS em uma conta centralizada para análise e processamento assíncronos adicionais.

O EventBridge dá suporte ao envio de eventos para destinos entre contas na mesma região.

Serviços com suporte

O EventBridge dá suporte ao envio de eventos para os seguintes destinos em outras contas da AWS:

  • Amazon API GatewayAPIs do

  • Amazon Kinesis Data StreamsStreamings do

  • Funções do Lambda

  • Tópicos do Amazon SNS

  • Filas do Amazon SQS

Para obter os preços, consulte Preços do Amazon EventBridge.

Permissões

A habilitação do acesso para entrega de eventos entre contas a serviços da AWS como destinos envolve as seguintes etapas:

  • Especificar uma função de execução

  • Anexar uma política de recursos ao destino

Especificar uma função de execução

Especifique uma função de execução para o EventBridge usar ao enviar eventos para o destino quando a regra é disparada.

Essa função de execução deve estar na mesma conta do barramento de eventos. O EventBridge assume essa função ao tentar invocar o destino, e todas as políticas de controle de serviços (SCP) que afetam essa conta são aplicadas.

As SCPs são um tipo de política organizacional que você pode usar para gerenciar permissões na sua organização. Para obter mais informações, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations.

Por exemplo, a seguinte política permite que o serviço do EventBridge assuma a função de execução:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
       },
      "Action": "sts:AssumeRole"
    }
  ]
}

E a seguinte política permite que a função envie mensagens a filas do Amazon SQS:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:us-east-1:123456789012:queue-name"
    }
  ]
}

Para contas que usam AWS Organizations, você pode aplicar um SCP para evitar a invocação de recursos que não pertençam à organização, conforme mostrado no seguinte exemplo:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
          {
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Effect": "Deny",
            "Condition": {
                "StringNotEquals": {
                    "aws:ResourceOrgID": "o-1234567890"
                }
            }
        }
    ]
}
nota

Para destinos entre várias contas que não sejam barramentos de eventos, a chamada de PutTarget de uma conta diferente da conta do barramento de eventos, mesmo que forneça uma função de execução da conta de chamada, não é compatível.

Anexar uma política de acesso de recurso ao destino

Os serviços da AWS que podem receber eventos entre contas dão suporte a políticas baseadas em recurso do IAM. Isso permite a você anexar uma política de acesso de recurso ao destino, para que possa especificar qual conta tem acesso a ela.

Com base em nosso exemplo anterior, a seguinte política permite que a conta de barramento de eventos acesse a fila do Amazon SQS na conta de destino:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "SQS:SendMessage"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:sqs:us-east-1:123456789012:queue-name",
      "Principal": {
      "AWS": "123456789012"
     }
    }
  ]
}

Para obter mais informações, consulte Políticas baseadas em identidade e em recurso no Guia do usuário do AWS Identity and Access Management.

Criação de regras que enviam eventos para serviços da AWS em outras contas

A especificação de serviço da AWS em outra conta como destino faz parte da criação da regra do barramento de eventos.

Para criar uma regra que envie eventos para um serviço da AWS em uma conta da AWS diferente usando o console

  1. Siga as etapas no procedimento Criar regras que reagem a eventos no Amazon EventBridge.

  2. Na etapa Selecione destinos, quando solicitado a escolher um tipo de destino:

    1. Selecione o serviço da AWS.

    2. Selecione um serviço da AWS que dê suporte a metas entre contas.

      Para obter mais informações, consulte Serviços com suporte.

    3. Em Local de destino, escolha Destino em outra conta da AWS.

    4. Insira o ARN do recurso de destino para o qual você deseja enviar eventos.

    5. Selecione o nome da função de execução a ser usada na lista suspensa.

    6. Forneça todas as informações adicionais solicitadas para o serviço selecionado. Os campos exibidos variam de acordo com o serviço selecionado.

  3. Conclua a criação da regra seguindo as etapas de procedimento.