View a markdown version of this page

Enviar eventos para um AWS serviço em outra conta no EventBridge - Amazon EventBridge
Serviços com suportePermissõesCriação de regras destinadas a outras contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Enviar eventos para um AWS serviço em outra conta no EventBridge

EventBridge pode enviar eventos de um barramento de eventos em uma AWS conta para AWS serviços compatíveis em outra conta, simplificando assim a arquitetura de suas soluções orientadas a eventos e reduzindo a latência.

Por exemplo, vamos supor que você tenha um conjunto de barramentos de eventos, hospedados em várias contas, dos quais precise para enviar eventos relacionados à segurança para uma fila do Amazon SQS em uma conta centralizada para análise e processamento assíncronos adicionais.

EventBridge suporta o envio de eventos para alvos de várias contas na mesma região.

Serviços com suporte

EventBridge suporta o envio de eventos para os seguintes alvos em outras AWS contas:

  • Amazon API Gateway APIs

  • Amazon Kinesis Data Streams córregos

  • funções do Lambda

  • Tópicos do Amazon SNS

  • Filas do Amazon SQS

Para ver os preços, consulte os EventBridge preços da Amazon.

Permissões

Habilitar o acesso para entrega de eventos entre contas a AWS serviços como alvos envolve as seguintes etapas:

  • Especificar uma função de execução

  • Anexar uma política de recursos ao destino

Especificar uma função de execução

Especifique uma função de execução EventBridge a ser usada ao enviar eventos para o destino quando a regra for acionada.

Essa função de execução deve estar na mesma conta do barramento de eventos. EventBridge assume essa função ao tentar invocar o alvo, e todas as Políticas de Controle de Serviço (SCPs) que afetam essa conta são aplicadas.

SCPs são um tipo de política organizacional que você pode usar para gerenciar permissões em sua organização. Para saber mais, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations .

Por exemplo, a política a seguir permite que o EventBridge serviço assuma a função de execução:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
       },
      "Action": "sts:AssumeRole"
    }
  ]
}

E a seguinte política permite que a função envie mensagens a filas do Amazon SQS:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:us-east-1:123456789012:queue-name"
    }
  ]
}

Para contas usando AWS Organizations, você pode aplicar um SCP para evitar a invocação de recursos que não pertencem à sua organização, conforme mostrado no exemplo a seguir:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
          {
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Effect": "Deny",
            "Condition": {
                "StringNotEquals": {
                    "aws:ResourceOrgID": "o-1234567890"
                }
            }
        }
    ]
}
nota

Para destinos entre várias contas que não sejam barramentos de eventos, a chamada de PutTarget de uma conta diferente da conta do barramento de eventos, mesmo que forneça uma função de execução da conta de chamada, não é compatível.

Anexar uma política de acesso de recurso ao destino

Os AWS serviços que podem receber eventos entre contas oferecem suporte às políticas baseadas em recursos do IAM. Isso permite a você anexar uma política de acesso de recurso ao destino, para que possa especificar qual conta tem acesso a ela.

Com base em nosso exemplo anterior, a seguinte política permite que a conta de barramento de eventos acesse a fila do Amazon SQS na conta de destino:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Action": [
        "SQS:SendMessage"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:sqs:us-east-1:123456789012:queue-name",
      "Principal": {
      "AWS": "123456789012"
     }
    }
  ]
}

Para obter mais informações, consulte Políticas baseadas em identidade e em recurso no Guia do usuário do AWS Identity and Access Management .

Criação de regras que enviam eventos para AWS serviços em outras contas

Especificar um AWS serviço em outra conta como destino faz parte da criação da regra de barramento de eventos.

Para criar uma regra que envie eventos para um AWS serviço em uma AWS conta diferente usando o console

  1. Siga as etapas no procedimento Criação de regras na Amazon EventBridge.

  2. Na etapa Selecione destinos, quando solicitado a escolher um tipo de destino:

    1. Selecione o serviço da AWS .

    2. Selecione um AWS serviço que ofereça suporte a metas entre contas.

      Para obter mais informações, consulte Serviços com suporte.

    3. Em Local de destino, escolha Destino em outra conta da AWS .

    4. Insira o ARN do recurso de destino para o qual você deseja enviar eventos.

    5. Selecione o nome da função de execução a ser usada na lista suspensa.

    6. Forneça todas as informações adicionais solicitadas para o serviço selecionado. Os campos exibidos variam de acordo com o serviço selecionado.

  3. Conclua a criação da regra seguindo as etapas de procedimento.