本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將事件傳送至 EventBridge 中另一個帳戶中 AWS 的服務
EventBridge 可以將事件從一個 AWS 帳戶中的事件匯流排傳送至另一個帳戶中支援的 AWS 服務,藉此簡化事件驅動解決方案的架構,並減少延遲。
例如,假設您有一組在多個帳戶中託管的事件匯流排,您需要將安全相關事件傳送至集中帳戶中的 Amazon SQS 佇列,以便進一步非同步處理和分析。
EventBridge 支援將事件傳送至相同區域中的跨帳戶目標。
支援的服務
EventBridge 支援將事件傳送至其他 AWS 帳戶中的下列目標:
Amazon API Gateway APIs
Amazon Kinesis Data Streams 串流
Lambda 函數
Amazon SNS 主題
Amazon SQS 佇列
如需定價,請參閱 Amazon EventBridge 定價
許可
啟用跨帳戶事件交付至 AWS 服務的存取權做為目標,包括以下步驟:
指定執行角色
將資源政策連接至目標
指定執行角色
指定 EventBridge 在觸發規則時將事件傳送至目標時要使用的執行角色。
此執行角色必須與事件匯流排位於相同的 帳戶中。EventBridge 會在嘗試叫用目標時擔任此角色,並套用影響此帳戶的任何服務控制政策 (SCPs)。
SCP 是一種組織政策類型,可用來管理組織中的許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的服務控制政策。
例如,下列政策允許 EventBridge 服務擔任執行角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
下列政策允許角色傳送訊息至 Amazon SQS 佇列:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sqs:SendMessage", "Resource": "target-queue-arn" } ] }
對於使用 的帳戶 AWS Organizations,您可以套用 SCP 以防止叫用不屬於您組織的資源,如下列範例所示:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "*" ], "Resource": "*", "Effect": "Deny", "Condition": { "StringNotEquals": { "aws:ResourceOrgID": "o-1234567890" } } } ] }
注意
對於事件匯流排以外的跨帳戶目標,即使從呼叫帳戶提供執行角色,也不支援PutTarget從與事件匯流排不同的帳戶呼叫 。
將資源存取政策連接至目標
可接收跨帳戶事件 AWS 的服務支援 IAM 資源型政策。這可讓您將資源存取政策連接至目標,以便您可以指定可存取該政策的帳戶。
根據先前的範例,下列政策允許事件匯流排帳戶存取目標帳戶中的 Amazon SQS 佇列:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "SQS:SendMessage" ], "Effect": "Allow", "Resource": "target-queue-arn", "Principal": { "AWS": "source-account-id" } } ] }
如需詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的身分型政策和資源型政策。
建立將事件傳送至其他帳戶中 AWS 服務的規則
將另一個帳戶中 AWS 的服務指定為目標,是建立事件匯流排規則的一部分。
使用主控台建立規則,將事件傳送至不同 AWS 帳戶中的 AWS 服務
然後依照 建立對 Amazon EventBridge 中的事件做出反應的規則 程序中的步驟進行操作。
在 選取目標 步驟中,當系統提示您選擇目標類型時:
選取 AWS 服務。
選取支援跨帳戶目標 AWS 的服務。
如需詳細資訊,請參閱支援的服務。
針對目標位置,選擇另一個 AWS 帳戶中的目標。
輸入您要傳送事件的目標資源 ARN。
從下拉式清單中選取要使用的執行角色名稱。
提供您為所選服務請求的任何其他資訊。顯示的欄位會因選擇的服務而異。
依照下列程序步驟,完成建立規則的操作。
