本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 將以身分為基礎的政策 (IAM 政策) 用於 Amazon EventBridge
身分型政策是您可以連接到 IAM 身分的許可政策。
## AWS EventBridge 的 受管政策
AWS 透過提供由 建立和管理的獨立 IAM 政策,解決許多常見的使用案例 AWS。*受管*或預定義政策會針對常用案例授予必要的許可,因此您無須調查需要哪些許可。如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
下列可連接到您帳戶中使用者的 AWS 受管政策專屬於 EventBridge:
+ [**AmazonEventBridgeFullAccess**](#eb-full-access-policy):授予對 EventBridge 的完整存取權,包括 EventBridge 管道、EventBridge 結構和 EventBridge 排程器。
+ [**AmazonEventBridgeReadOnlyAccess**](#eb-read-only-access-policy):授予對 EventBridge 的唯讀存取權,包括 EventBridge 管道、EventBridge 結構和 EventBridge 排程器。
## AWS 受管政策:AmazonEventBridgeFullAccess
AmazonEventBridgeFullAccess 政策授予使用所有 EventBridge 動作的權限以及下列權限:
+ `iam:CreateServiceLinkedRole`:EventBridge 需要此權限才能在您的帳戶中針對 API 目的地建立服務角色。此權限僅授予 IAM 服務許可,以便在您的帳戶中專門針對 API 目的地建立角色。
+ `iam:PassRole`:EventBridge 需要此權限才能將調用角色傳遞給 EventBridge,以調用規則的目標。
+ **密碼管理員權限**:當您使用連線資源來提供憑證以授權 API 目的地時,EventBridge 需要這些權限來管理您帳戶中的密碼。
若要檢視此政策的許可,請參閱[《 受管政策參考》中的 AmazonEventBridgeFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeFullAccess.html)。 *AWS *
## AWS 受管政策:AmazonEventBridgeReadOnlyAccess
AmazonEventBridgeReadOnlyAccess 政策授予使用所有讀取 EventBridge 動作的權限。
若要檢視此政策的許可,請參閱[《 受管政策參考》中的 AmazonEventBridgeReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeReadOnlyAccess.html)。 *AWS *
## AWS 受管政策:AmazonEventBridgeApiDestinationsServiceRolePolicy
您無法將 AmazonEventBridgeApiDestinationsServiceRolePolicy 連接至 IAM 實體。此政策會連接到服務連結角色,允許 EventBridge 許可代表您存取 AWS Secrets Manager 資源。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [ AmazonEventBridgeApiDestinationsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeApiDestinationsServiceRolePolicy.html)。
## AWS 受管政策:EventBridge 結構描述
[結構描述](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-schema.html)會定義傳送至 EventBridge 的事件結構。EventBridge 為 AWS 服務產生的所有事件提供結構描述。下列 AWS 受管政策適用於 EventBridge 結構描述:
+ [AmazonEventBridgeSchemasFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeSchemasFullAccess.html)
您可以將 AmazonEventBridgeSchemasFullAccess 政策連接至您的 IAM 身分。
提供 EventBridge 結構描述的完整存取權。
+ [AmazonEventBridgeSchemasReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeSchemasReadOnlyAccess.html)
您可以將 AmazonEventBridgeSchemasReadOnlyAccess 政策連接至您的 IAM 身分。
提供對 EventBridge 結構描述的唯讀存取權。
+ [AmazonEventBridgeSchemasServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeSchemasServiceRolePolicy.html)
您無法將 AmazonEventBridgeSchemasServiceRolePolicy 連接至 IAM 實體。此政策會連接到服務連結角色,允許 EventBridge 許可存取由 EventBridge 結構描述建立的受管規則。
## AWS 受管政策:EventBridge 排程器
Amazon EventBridge 排程器是無伺服器排程器,可讓您從單一受管的中央服務建立、執行及管理任務。如需 EventBridge 排程器特有的 AWS 受管政策,請參閱[AWS EventBridge 排程器使用者指南》中的 EventBridge 排程器的受管政策](https://docs.aws.amazon.com/scheduler/latest/UserGuide/security_iam_id-based-policies.html#security_iam_id-based-policies-managed-policies)。 *EventBridge *
## AWS 受管政策:EventBridge 管道
EventBridge 管道會將事件來源連線至目標。開發事件驅動架構時,管道可減少對專業知識和整合程式碼的需求。這有助於確保您公司應用程式的一致性。下列 AWS 受管政策適用於 EventBridge 管道:
+ [AmazonEventBridgePipesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgePipesFullAccess.html)
您可以將 AmazonEventBridgePipesFullAccess 政策連接至您的 IAM 身分。
提供 EventBridge 管道的完整存取權。
**注意**
此政策提供 `iam:PassRole`:EventBridge 管道需要此權限,才能將調用角色傳遞給 EventBridge 以建立及啟動管道。
+ [AmazonEventBridgePipesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgePipesReadOnlyAccess.html)
您可以將 AmazonEventBridgePipesReadOnlyAccess 政策連接至您的 IAM 身分。
提供 EventBridge 管道的唯讀存取權。
+ [AmazonEventBridgePipesOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgePipesOperatorAccess.html)
您可以將 AmazonEventBridgePipesOperatorAccess 政策連接至您的 IAM 身分。
提供對 EventBridge 管道的唯讀和運算子 (即停止和開始執行管道的能力) 存取。
## AWS 受管政策的 Amazon EventBridge 更新
檢視自此服務開始追蹤這些變更以來,EventBridge AWS 受管政策更新的詳細資訊。如需關於此頁面變更的自動提醒,請訂閱 EventBridge 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AmazonEventBridgeApiDestinationsServiceRolePolicy](#api-destination-slr-policy) – 已更新政策 | EventBridge 已更新政策,將 Secrets Manager 操作的許可範圍限制為相同的帳戶。 | 2025 年 5 月 29 日 |
| [AmazonEventBridgeApiDestinationsServiceRolePolicy](#api-destination-slr-policy) – 已更新政策 | EventBridge 已更新政策,透過 Secrets Manager 授予 AWS KMS 加密和解密許可。這可讓 EventBridge 在需要重新整理存取權杖時,使用新的 OAuth 權杖值更新連線秘密資源。 | 2025 年 3 月 28 日 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy) – 更新的政策 | AWS GovCloud (US) Regions 僅限 不包含下列許可,因為它不會使用: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/eventbridge/latest/userguide/eb-use-identity-based.html) | 2024 年 5 月 9 日 |
| [AmazonEventBridgeSchemasFullAccess](#eb-schemas-access-policies) – 更新的政策 | AWS GovCloud (US) Regions 僅限 不包含下列許可,因為它不會使用: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/eventbridge/latest/userguide/eb-use-identity-based.html) | 2024 年 5 月 9 日 |
| [AmazonEventBridgePipesFullAccess](#eb-pipes-access-policies):新增了新政策 | EventBridge 針對使用 EventBridge 管道的完整權限新增了受管政策。 | 2022 年 12 月 1 日 |
| [AmazonEventBridgePipesReadOnlyAccess](#eb-pipes-access-policies):新增了新政策 | EventBridge 為檢視 EventBridge 管道資訊資源的權限新增了受管政策。 | 2022 年 12 月 1 日 |
| [AmazonEventBridgePipesOperatorAccess](#eb-pipes-access-policies):新增了新政策 | EventBridge 新增了受管政策,允許檢視 EventBridge 管道資訊,以及啟動和停止執行管道。 | 2022 年 12 月 1 日 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy):更新至現有政策 | EventBridge 已更新政策,以納入使用 EventBridge 管道功能所需的權限。 | 2022 年 12 月 1 日 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy):更新至現有政策 | EventBridge 新增了檢視 EventBridge 管道資訊資源所需的權限。 已新增下列動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/eventbridge/latest/userguide/eb-use-identity-based.html) | 2022 年 12 月 1 日 |
| [CloudWatchEventsReadOnlyAccess](#eb-read-only-access-policy):更新至現有政策 | 已更新以匹配 AmazonEventBridgeReadOnlyAccess。 | 2022 年 12 月 1 日 |
| [CloudWatchEventsFullAccess](#eb-full-access-policy):更新至現有政策 | 已更新以匹配 AmazonEventBridgeFullAccess。 | 2022 年 12 月 1 日 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy):更新至現有政策 | EventBridge 已更新政策,以納入使用結構描述和排程器功能所需的權限。 已新增下列許可: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/eventbridge/latest/userguide/eb-use-identity-based.html) | 2022 年 11 月 10 日 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy):更新至現有政策 | EventBridge 新增了檢視結構描述和排程器資訊資源所需的權限。 已新增下列動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/eventbridge/latest/userguide/eb-use-identity-based.html) | 2022 年 11 月 10 日 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy):更新至現有政策 | EventBridge 已新增檢視端點資訊所需的權限。 已新增下列動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/eventbridge/latest/userguide/eb-use-identity-based.html) | 2022 年 4 月 7 日 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy):更新至現有政策 | EventBridge 新增了檢視連線和 API 目標資訊所需的權限。 已新增下列動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/eventbridge/latest/userguide/eb-use-identity-based.html) | 2021 年 3 月 4 日 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy):更新至現有政策 | EventBridge 已更新政策,以包含使用 API 目的地所需的 `iam:CreateServiceLinkedRole`和 AWS Secrets Manager 許可。 已新增下列動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/eventbridge/latest/userguide/eb-use-identity-based.html) | 2021 年 3 月 4 日 |
| EventBridge 已開始追蹤變更 | EventBridge 開始追蹤其 AWS 受管政策的變更。 | 2021 年 3 月 4 日 |
# 將事件傳送至 Amazon EventBridge 中目標的 IAM 角色
若要將事件轉送至目標,EventBridge 需要 IAM 角色。
**若要建立 IAM 角色以將事件傳送至 EventBridge**
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 若要建立 IAM 角色,請遵循《*IAM 使用者指南*》中[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)的步驟。按照步驟執行時,請執行下列操作:
+ 在**角色名稱**中,使用您帳戶中的唯一名稱。
+ 在**選取角色類型**中,先選擇 **AWS 服務角色**,然後選擇 **Amazon EventBridge**。此操作會授予 EventBridge 擔任該角色的許可。
+ 在**附加政策**中,選擇 **AmazonEventBridgeFullAccess**。
您也可以建立自己的自訂 IAM 政策,以允許 EventBridge 動作與資源的許可。您可以將這些自訂政策連接至需要這些許可的 IAM 使用者或群組。如需關於 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。如需關於管理和建立自訂 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》**中的[管理 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html)。
## EventBridge 使用 IAM 角色存取目標所需的權限
EventBridge 目標通常需要將權限授與 EventBridge 調用目標的 IAM 角色。以下是各種 AWS 服務和目標的一些範例。針對其他人,請使用 EventBridge 主控台建立規則並建立新的角色。該角色將使用預先設定完善範圍的權限的政策來建立。
Amazon SQS、Amazon SNS、Lambda、CloudWatch Logs 和 EventBridge 匯流排目標不使用角色,而且必須透過資源政策授予 EventBridge 的許可。API Gateway 目標可以使用資源政策或 IAM 角色。
### API 目的地
如果目標是 API 目的地,您指定的角色必須包含具有下列陳述式的政策:
+ **效果**: `Allow`
+ **動作:**`events:InvokeApiDestination`
+ **資源:**`arn:aws:events:*:*:api-destination/*`
### Kinesis 串流
如果目標是 Kinesis 串流,則用來傳送事件資料至該目標的角色必須包含具有下列陳述式的政策:
+ **效果**: `Allow`
+ **動作:**`kinesis:PutRecord`
+ **資源:**`*`
### Systems Manager 執行命令
如果目標是 Systems Manager run 命令,且您為命令指定一或多個`InstanceIds`值,則您指定的角色必須包含具有下列陳述式的政策:
+ **效果**: `Allow`
+ **動作:**`ssm:SendCommand`
+ **資源:** `arn:aws:ec2:us-east-1:accountId:instance/instanceIds`、`arn:aws:ssm:us-east-1:*:document/documentName`
如果目標是 Systems Manager 執行命令,且您為命令指定一或多個標籤,則您指定的角色必須包含具有下列兩個動作的政策:
+ **效果**: `Allow`
+ **動作:**`ssm:SendCommand`
+ **資源:**`arn:aws:ec2::accountId:instance/*`
+ **條件:**
```
"StringEquals": {
"ec2:ResourceTag/*": [
"[[tagValues]]"
]
}
```
及:
+ **效果**: `Allow`
+ **動作:**`ssm:SendCommand`
+ **資源:**`arn:aws:ssm:us-east-1:*:document/documentName`
### Step Functions 狀態機器
如果目標是 AWS Step Functions 狀態機器,您指定的角色必須包含具有下列項目的政策:
+ **效果**: `Allow`
+ **動作:**`states:StartExecution`
+ **資源:**`arn:aws:states:*:*:stateMachine:*`
### Amazon ECS 任務
如果目標是 Amazon ECS 任務,您指定的角色必須包含下列政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:RunTask"
],
"Resource": [
"arn:aws:ecs:*:111122223333:task-definition/task-definition-name"
],
"Condition": {
"ArnLike": {
"ecs:cluster": "arn:aws:ecs:*:111122223333:cluster/cluster-name"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ecs-tasks.amazonaws.com"
}
}
}
]
}
```
------
以下政策允許 EventBridge 中的內建目標代表您執行 Amazon EC2 動作。您需要使用 AWS 管理主控台 來建立具有內建目標的規則。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TargetInvocationAccess",
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"ec2:RebootInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:CreateSnapshot"
],
"Resource": "*"
}
]
}
```
------
以下政策允許 EventBridge 將事件轉送至您帳戶中的 Kinesis 串流。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KinesisAccess",
"Effect": "Allow",
"Action": [
"kinesis:PutRecord"
],
"Resource": "*"
}
]
}
```
------
## 客戶管理政策範例:使用標記來控制規則的存取
以下範例顯示授予 EventBridge 動作權限的使用者政策。當您使用 EventBridge API、 AWS SDKs或 時,此政策即可運作 AWS CLI。
您可以授予使用者存取特定的 EventBridge 規則,同時防止他們存取其他規則。為此,您需標記這兩個規則,並使用那些帶有標籤的 IAM 政策。如需關於標記 EventBridge 資源的詳細資訊,請參閱 [在 Amazon EventBridge 中標記資源](eb-tagging.md)。
您可以授予一個 IAM 政策給使用者,僅允許存取具有特定標籤的規則。您可以使用該特定標記來標記規則,以選擇要授與存取權的規則。例如,以下政策會授予標籤鍵 `Stack` 值為 `Prod` 規則的存取。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": "events:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Stack": "Prod"
}
}
}
]
}
```
如需有關使用 IAM 政策陳述式的詳細資訊,請參閱《IAM 使用者指南》**中的[使用政策控制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)。