Amazon EventBridge 管道的事件源权限 - Amazon EventBridge
DynamoDB 权限Kinesis 权限Amazon MQ 权限Amazon MSK 权限自托管 Apache Kafka 权限Amazon SQS 权限富集和目标权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EventBridge 管道的事件源权限

设置管道时,您可以使用现有的执行角色,也可以由 EventBridge 为您创建具有所需权限的执行角色。EventBridge Pipes 所需的权限因源类型而异,如下所示。如果您要设置自己的执行角色,必须自行添加这些权限。

注意

如果您不确定访问源所需的确切权限范围,请使用 EventBridge Pipes 控制台创建新角色,然后检查策略中列出的操作。

DynamoDB 执行角色权限

对于 DynamoDB Streams,EventBridge Pipes 需要以下权限才能管理与您的 DynamoDB 数据流相关的资源。

要将失败批次的记录发送到管道死信队列,您的管道执行角色需要以下权限:

Kinesis 执行角色权限

对于 Kinesis,EventBridge Pipes 需要以下权限才能管理与您的 Kinesis 数据流相关的资源。

要将失败批次的记录发送到管道死信队列,您的管道执行角色需要以下权限:

Amazon MQ 执行角色权限

对于 Amazon MQ,EventBridge Pipes 需要以下权限才能管理与您的 Amazon MQ 消息代理相关的资源。

Amazon MSK 执行角色权限

对于 Amazon MSK,EventBridge 需要以下权限才能管理与您的 Amazon MSK 主题相关的资源。

注意

如果您使用基于 IAM 角色的身份验证,则除了下面列出的权限外,您的执行角色还需要 基于 IAM 角色的身份验证 中列出的权限。

自托管 Apache Kafka 执行角色权限

对于自托管 Apache Kafka,EventBridge 需要以下权限才能管理与您的自托管 Apache Kafka 流相关的资源。

所需的权限

要在 Amazon CloudWatch Logs 中创建日志,并将日志存储到日志组,管道必须在它的执行角色中具有以下权限:

可选权限

您的管道还可能需要权限来:

  • 描述您的 Secrets Manager 密钥。

  • 访问 AWS Key Management Service(AWS KMS)客户管理的密钥。

  • 访问 Amazon VPC。

Secrets Manager 和 AWS KMS 权限

根据您为 Apache Kafka 代理配置的访问控制类型,您的管道可能需要访问您的 Secrets Manager 密钥或解密 AWS KMS 客户管理的密钥的权限。要连接到这些资源,函数的执行角色必须具有以下权限:

VPC 权限

如果只有 VPC 内的用户才能访问您的自托管 Apache Kafka 集群,您的管道必须具有访问 Amazon VPC 资源的权限。这些资源包括您的 VPC、子网、安全组和网络接口。要连接到这些资源,管道的执行角色必须具有以下权限:

Amazon SQS 执行角色权限

对于 Amazon SQS,EventBridge 需要以下权限才能管理与您的 Amazon SQS 队列相关的资源。

富集和目标权限

为了对您拥有的资源执行 API 调用,EventBridge Pipes 需要相应权限。EventBridge Pipes 将您在管道中指定的 IAM 角色用于富集,将 IAM 主体 pipes.amazonaws.com 用于目标调用。