システムポリシーがビジネス要件を満たせない場合は、最小権限の原則を実装するためにカスタムポリシーを作成できます。カスタムポリシーを使用すると、権限をきめ細かく制御し、リソースアクセスセキュリティを向上させることができます。このトピックでは、EventBridge でカスタムポリシーが使用される一般的なシナリオについて説明します。また、サンプルポリシーも提供します。
カスタムポリシーとは
Resource Access Management (RAM) ポリシーは、システムポリシーとカスタムポリシーに分類されます。カスタムポリシーは自分で管理する必要があります。
カスタムポリシーを作成した後、ポリシーで指定された権限をプリンシパルに付与するために、RAM ユーザー、ユーザーグループ、または RAM ロールにアタッチする必要があります。
プリンシパルにアタッチされていない RAM ポリシーは削除できます。RAM ポリシーがプリンシパルにアタッチされている場合は、RAM ポリシーを削除する前に、プリンシパルからデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートしています。RAM が提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。
参考資料
一般的なシナリオとサンプルポリシー
RAM ユーザーにイベントバスの管理を承認するために使用されるカスタムポリシーを定義するには、次のコードを使用できます。
{ "Statement":[ { "Effect":"Allow", "Action":[ "eventbridge:CreateEventBus", "eventbridge:GetEventBus", "eventbridge:DeleteEventBus", "eventbridge:ListEventBuses" ], "Resource":"acs:eventbridge:*:*:eventbus/*" } ], "Version":"1" }RAM ユーザーにイベントストリームの管理を承認するために使用されるカスタムポリシーを定義するには、次のコードを使用できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "eventbridge:CreateEventStreaming", "eventbridge:StartEventStreaming", "eventbridge:GetEventStreaming", "eventbridge:DeleteEventStreaming", "eventbridge:ListEventStreamings", "eventbridge:UpdateEventStreaming", "eventbridge:PauseEventStreaming" ], "Resource": "acs:eventbridge:*:*:eventstreaming/*" } ] }
承認情報
カスタムポリシーを使用する前に、ビジネスの権限管理要件と EventBridge の承認情報を理解する必要があります。詳細については、RAM 認証 をご参照ください。