本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理對您 Amazon EventBridge 資源的存取許可
<a name="eb-manage-iam-access"></a>

您可以使用以[身分識別為基礎](eb-use-identity-based.md)或[以資源為基礎](eb-use-resource-based.md)的政策來管理 EventBridge 資源 (例如[規則](eb-rules.md)或[事件](eb-events.md)) 的存取權。

## EventBridge 資源
<a name="eb-arn-format"></a>

EventBridge 資源和子資源各與唯一的 Amazon Resource Name (ARN) 相關聯。您會使用 EventBridge 中的 ARN 來建立事件模式。如需 ARNs 的詳細資訊，請參閱《》中的 [Amazon Resource Names (ARN) AWS 和服務命名空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)*Amazon Web Services 一般參考*。



如需 EventBridge 為使用資源所提供的作業清單，請參閱 [Amazon EventBridge 許可參考](eb-permissions-reference.md)。

**注意**  
中的大多數服務 AWS 會將冒號 (`:`) 或正斜線 (`/`) 視為 ARNs中的相同字元。但是，EventBridge 會在[事件模式](eb-event-patterns.md)和規則中使用完全相符。在建立事件模式時，請務必使用正確的 ARN 字元，使這些字元符合您要比對事件中的 ARN 語法。

下表顯示 EventBridge 的資源。


| 資源類型 | ARN 格式 | 
| --- | --- | 
|  存檔  |  `arn:aws:events:region:account:archive/archive-name`  | 
|  重新播放  |  `arn:aws:events:region:account:replay/replay-name`  | 
|  規則  |  `arn:aws:events:region:account:rule/[event-bus-name]/rule-name`  | 
|  事件匯流排  |  `arn:aws:events:region:account:event-bus/event-bus-name`  | 
|  所有 EventBridge 資源  |  `arn:aws:events:*`  | 
|  在指定區域中，指定之帳戶擁有的所有 EventBridge 資源  |  `arn:aws:events:region:account:*`  | 

以下範例展示如何在您的陳述式中使用其 ARN 指定特定的規則 (*myRule*)。

```
"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"
```

若要透過使用星號 (\$1) 萬用字元指定所有屬於特定帳戶的規則，如下所示。

```
"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"
```

若要指定所有資源，或如果特定的 API 動作不支援 ARN，請在 `Resource` 元素中使用星號 (\$1) 萬用字元，如下所示。

```
"Resource": "*"
```

若要在單一陳述式中指定多項資源或 `PutTargets`，請用逗號分隔其 ARN，如下所示。

```
"Resource": ["arn1", "arn2"]
```

## 資源擁有權
<a name="eb-understanding-resource-ownership"></a>

帳戶擁有帳戶內的資源，無論資源的建立者是誰。資源擁有者就是驗證建立資源請求之*[主體實體](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)*、 根使用者、IAM 使用者或 IAM 角色的帳戶。下列範例說明其如何運作：
+ 如果您使用帳戶的根使用者憑證來建立規則，則您的帳戶即為 EventBridge 資源的擁有者。
+ 如果您在帳戶中建立使用者，並將建立 EventBridge 資源的許可授予該使用者，則該使用者可以建立 EventBridge 資源。不過，使用者所屬的帳戶擁有該 EventBridge 資源。
+ 如果您在您的帳戶中，建立了擁有可建立 EventBridge 資源之許可的 IAM 角色，則任何可能擔任該角色的人都能建立 EventBridge 資源。該角色所屬的帳戶擁有該 EventBridge 資源。

## 管理 資源的存取
<a name="eb-managing-access-resources"></a>

*許可政策*描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

**注意**  
本節著重討論如何在 ​EventBridge 的環境中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件，請參閱《IAM 使用者指南》**中的[什麼是 IAM？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需有關 IAM 政策語法和說明的資訊，請參閱《IAM 使用者指南》**中的 [IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

連接到 IAM 身分的政策稱為*身分類型*政策 (IAM 政策)，而連接到資源的政策參考*資源類型政策*。在 EventBridge 中，您可以合併使用身分類型 (IAM 政策) 和資源類型政策。

**Topics**
+ [身分類型政策 (IAM 政策)](#eb-identity-based-policies)
+ [以資源爲基礎的政策 (IAM 政策)](#eb-resource-based-policies-overview)

### 身分類型政策 (IAM 政策)
<a name="eb-identity-based-policies"></a>

您可以將政策連接到 IAM 身分。例如，您可以執行下列動作：
+ **將許可政策連接至您帳戶中的使用者或群組**：若要授予使用者在 Amazon CloudWatch 主控台檢視日誌的許可，您可以將許可政策連接至使用者，或使用者所屬的群組。
+ **將許可政策連接至角色 (授予跨帳戶許可)**：您可以將身分識別型許可政策連接至 IAM 角色，藉此授予跨帳戶許可。例如，帳戶 A 中的管理員可以建立角色，將跨帳戶許可授予另一個帳戶 B 或服務 AWS ，如下所示：

  1. 帳戶 A 管理員建立 IAM 角色，並將許可政策連接到可授與帳戶 A 中資源許可的角色。

  1. 帳戶 A 管理員會將信任政策連接至將帳戶 B 識別為可擔任角色之主體的角色。

  1. 帳戶 B 管理員接著可以將擔任該角色的許可委派給帳戶 B 中的任何使用者。這樣做可讓帳戶 B 中的使用者建立或存取帳戶 A 中的資源。信任政策中的主體也可以是 AWS 服務主體，以授予擔任該角色所需的許可給 AWS 服務。

  如需使用 IAM 來委派許可的詳細資訊，請參閱《IAM 使用者指南》**中的[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。

您可以建立特定 IAM 政策，限制您帳戶中的使用者有權存取的呼叫和資源，然後將那些政策連接到使用者。如需有關如何建立 IAM 角色，以及探索 EventBridge 的範例 IAM 政策聲明的詳細資訊，請參閱 [管理對您 Amazon EventBridge 資源的存取許可](#eb-manage-iam-access)。

### 以資源爲基礎的政策 (IAM 政策)
<a name="eb-resource-based-policies-overview"></a>

在 EventBridge 中執行規則時，會叫用與規則相關聯的所有[目標](eb-targets.md)，這表示叫用 AWS Lambda 函數、發佈至 Amazon SNS 主題，或將事件轉送至 Amazon Kinesis 串流。若要能夠根據您所擁有的資源進行 API 呼叫，EventBridge 需要適當的許可。針對 Lambda, Amazon SNS 和 Amazon SQS 資源，EventBridge 會使用基於資源的政策。針對 Kinesis 串流，EventBridge 使用 IAM 角色。

如需有關如何建立 IAM 角色，以及探索適用於 EventBridge 的以資源為基礎的範例政策陳述式的詳細資訊，請參閱 [將以資源為基礎的政策用於 Amazon EventBridge](eb-use-resource-based.md)。

## 指定政策元素：動作、效果和主體
<a name="eb-actions-effects-principals"></a>

針對每項 EventBridge 資源，EventBridge 定義一組 API 操作。EventBridge 定義一組您可在政策中指定的動作，以授予這些 API 操作的許可。某些 API 操作可能需要多個動作的許可來執行 API 操作。如需資源與 API 操作的詳細資訊，請參閱 [EventBridge 資源](#eb-arn-format) 與 [Amazon EventBridge 許可參考](eb-permissions-reference.md).

以下是基本的政策元素：
+ **資源**：使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需詳細資訊，請參閱[EventBridge 資源](#eb-arn-format)。
+ **動作**：使用動作關鍵字來識別您要允許或拒絕的資源操作。例如，`events:Describe` 許可允許使用者執行 `Describe` 操作。
+ **效果**：指定**允許**或**拒絕**。如果您未明確授予存取 (允許) 資源，則隱含地拒絕存取。您也可以明確拒絕資源的存取權，這樣做可以確保使用者無法存取資源，即使另有其他政策授與存取。
+ **主體**：在以身分為基礎的政策 (IAM 政策) 中，政策所連接的使用者就是隱含主體。對於資源型政策，您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。

如需 IAM 政策語法和說明的詳細資訊，請參閱《IAM 使用者指南》**中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

如需 EventBridge API 動作表和它們所套用的資源，請參閱 [Amazon EventBridge 許可參考](eb-permissions-reference.md)。

## 在政策中指定條件
<a name="eb-policy-conditions"></a>

當您授予許可時，可以使用存取政策語言來指定政策應該何時生效的條件。例如，建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊，請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。

欲定義條件，您可以使用條件鍵。您可以視需要使用 AWS 條件金鑰和 EventBridge 特定金鑰。如需全 AWS 鍵的完整清單，請參閱《IAM 使用者指南》**中的[可用的條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。如需 EventBridge 專屬索引鍵的完整清單，請參閱 [在 Amazon EventBridge 中使用 IAM 政策條件](eb-use-conditions.md)。