Políticas baseadas em recursos para esquemas do Amazon EventBridge

O registro de esquemas do EventBridge é compatível com políticas baseadas em recursos. Uma política baseada em recursos é uma política anexada a um recurso em vez de ser anexada a uma identidade do IAM. Por exemplo, no Amazon Simple Storage Service (Amazon S3), uma política de recursos é anexada a um bucket do Amazon S3.

Para obter mais informações sobre os esquemas do EventBridge e políticas baseadas em recursos, consulte o seguinte:

APIs compatíveis para políticas baseadas em recursos

É possível usar as seguintes APIs com políticas baseadas em recursos para o registro do esquema do EventBridge.

Exemplo de política que concede todas as ações compatíveis a uma conta da AWS

Para o registro do esquema do EventBridge, é preciso sempre anexar uma política baseada em recursos a um registro. Para conceder acesso a um esquema, o ARN do esquema e o ARN do registro na política são especificados.

Para conceder a um usuário acesso a todas as APIs disponíveis para os esquemas do EventBridge, use uma política semelhante à seguinte, substituindo a "Principal" pela ID da conta à qual você deseja conceder acesso.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:*"
            ],
            "Principal": {
                "AWS": [
                    "109876543210" 
                ]
            },
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ]
        }
    ]
}

Exemplo de política que concede ações somente leitura a uma conta da AWS

O exemplo a seguir concede acesso a uma conta somente para as APIs somente para a leitura dos esquemas do EventBridge.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:DescribeRegistry",
                "schemas:ListSchemas",
                "schemas:SearchSchemas",
                "schemas:DescribeSchema",
                "schemas:ListSchemaVersions",
                "schemas:DescribeCodeBinding",
                "schemas:GetCodeBindingSource"
            ],
            "Principal": {
                "AWS": [
                    "109876543210"
                ]
            },
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ]
        }
    ]
}

Exemplo de política que concede todas as ações a uma organização

É possível usar políticas baseadas em recursos com o registro do esquema do EventBridge para conceder acesso a uma organização. Para obter mais informações, consulte o Guia do usuário do AWS Organizations. O exemplo a seguir concede à organização um ID de acesso o-a1b2c3d4e5 ao registro do esquema.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:*"
            ],
            "Principal": "*",
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": [
                        "o-a1b2c3d4e5"
                    ]
                }
            }
        }
    ]
}