Amazon EventBridge イベントバスのアクセス許可

AWS アカウントのデフォルトのイベントバスでは、1 つのアカウントからのイベントのみが許可されます。イベントバスに追加のアクセス許可を付与するには、リソースベースのポリシーをアタッチします。リソースベースのポリシーを使用すると、別のアカウントからの PutEvents、PutRule、および PutTargets API コールを許可できます。また、ポリシーで IAM 条件を使用して組織にアクセス許可を付与するには、タグを適用するか、特定のルールまたはアカウントからのイベントにのみイベントをフィルタリングします。イベントバスのリソースベースのポリシーは、イベントバスの作成時または作成後に設定できます。

イベントバスの Name パラメータを受け入れる EventBridge API (PutRule、PutTargets、DeleteRule、RemoveTargets、DisableRule、EnableRule など) は、イベントバス ARN も受け入れます。これらのパラメータを使用し、API を介してクロスアカウントまたはクロスリージョンのイベントバスを参照します。例えば、PutRule を呼び出すと、ロールを引き受けなくても、別のアカウントのイベントバスにルールを作成することができます。

このトピックのポリシー例を IAM ロールにアタッチして、別のアカウントまたはリージョンにイベントを送信するアクセス許可を付与することができます。IAM ロールを使用して、アカウントから他のアカウントにイベントを送信できるユーザーに関する組織のコントロールポリシーと境界を設定します。ルールのターゲットがイベントバスの場合は、常に IAM ロールを使用することをお勧めします。IAM ロールは、PutTarget 呼び出しを使用してアタッチできます。別のアカウントまたはリージョンにイベントを送信するルールの作成については、Amazon EventBridge の AWS アカウント間のイベントの送受信 を参照してください。