イベントバスにイベントをルートする方法 - EventBridge

EventBridge を使用すると、同じ Alibaba Cloud アカウント内、または別の Alibaba Cloud アカウントにイベントをルートできます。イベントルールを使用してイベントをフィルターし、同じまたは別の Alibaba Cloud アカウントの EventBridge バスにルートできます。このトピックでは、EventBridge にイベントをルートするための前提条件、背景情報、使用上の注意、およびプロシージャについて説明します。

前提条件

EventBridge のアクティブ化と権限の付与

背景情報

機能 1: 同一アカウント内ルーティング

次の図は、イベントが同じ Alibaba Cloud アカウント内でルートされるシナリオを示しています。このシナリオでは、デフォルトイベントバスとカスタムイベントバス A、B、C はすべて Alibaba Cloud アカウント A に属しています。これらのイベントバスのいずれかから、同じアカウント内の他のカスタムイベントバスにイベントをルートして、一元的に処理できます。同账号路由

機能 2: アカウント間ルーティング

次の図は、イベントが Alibaba Cloud アカウント間でルートされるシナリオを示しています。このシナリオでは、Alibaba Cloud アカウント A と Alibaba Cloud アカウント B は、同じ組織または関連する組織に属しています。送信側アカウント (アカウント A) の Resource Access Management (RAM) ユーザーから受信側アカウント (アカウント B) のイベントバスにイベントをルートして、一元的に処理できます。プロシージャは次のとおりです。

受信側アカウント (アカウント B) は RAM ロールを作成します。信頼できるエンティティは送信側アカウント (アカウント A) です。
アカウント B は RAM ロールにイベントを公開する権限を付与します。その後、アカウント A は RAM ロールを偽装してアカウント B にイベントを公開できます。
アカウント B は RAM ロールの信頼ポリシーを変更して、Alibaba Cloud サービスにイベントを公開する権限を付与します。その後、アカウント B の Alibaba Cloud サービスは RAM ロールを偽装してアカウント B にイベントを公開できます。
アカウント A はイベントルールを作成して、アカウント B のバスにイベントをルートします。

説明

受信側アカウントのイベントバスは、複数の送信側アカウントからのイベントを受け入れることができます。これらのイベントの aliyunoriginalaccountid 拡張フィールドは、ソースアカウントを識別します。受信側アカウントは、aliyunoriginalaccountid フィールドに基づいてイベントをフィルターできます。

使用上の注意

同一アカウント内ルーティングとアカウント間ルーティングの両方で、異なるリージョン間のイベントのルーティングがサポートされます。
デフォルトイベントバスからのイベントは、カスタムイベントバスにのみルートできます。カスタムイベントバスからのイベントも、別のカスタムイベントバスにのみルートできます。

同一アカウント内でのイベントのルート

EventBridge コンソールにログインします。左側のナビゲーションウィンドウで、[イベントバス] をクリックします。
上部のナビゲーションバーでリージョンを選択します。[イベントバス] ページで、[default] (システムイベントバス) をクリックします。
左側のナビゲーションウィンドウで、[イベントルール] をクリックします。表示されたページで、[ルールの作成] をクリックします。
[ルールの作成] ウィザードで、次のステップを実行します。
1. [基本情報の設定] タブで、ルールの [名前] と [説明] を設定し、[次へ] をクリックします。
2. [イベントパターンの設定] タブで、次のパラメーターを設定し、[次へ] をクリックします。
  - イベントソース: イベントを配信する Alibaba Cloud 公式イベントソースを選択します。
  - イベントタイプ: 配信するイベントタイプを選択します。
  - パターン内容: イベントパターンを入力します。
3. [ターゲットの設定] タで、次のパラメーターを設定し、[作成] をクリックします。
  - サービスタイプ: [EventBridge] を選択します。
  - ターゲットタイプ: [同一アカウントバス] を選択します。
  - リージョン: 宛先イベントバスが配置されているリージョンを選択します。
  - イベントバス: 宛先イベントバスを選択します。
  - イベント: デフォルト値は [完全なイベント] です。CloudEvents 1.0 プロトコルに準拠した完全なイベント構造が、変換なしで配信されます。
  説明
  イベントルールには最大 5 つのターゲットを追加できます。
宛先イベントバスでイベントをクエリできます。詳細については、「イベントのクエリ」をご参照ください。

アカウント間でのイベントのルート

ステップ 1: RAM ロールの作成

受信側アカウント (アカウント B) を使用して RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[アイデンティティ] > [ロール] を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] ページで、[プリンシパルタイプ] パラメーターを [クラウドアカウント] に設定し、Alibaba Cloud アカウントを指定してから、[OK] をクリックします。
- 現在のアカウント: Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールに RAM ロールを偽装させる場合は、[現在のアカウント] を選択します。
- 他のアカウント: 別の Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールに RAM ロールを偽装させる場合は、[他のアカウント] を選択し、Alibaba Cloud アカウントの ID を入力します。このオプションは、異なる Alibaba Cloud アカウントに属するリソースに対する権限を付与するために提供されています。詳細については、「Alibaba Cloud アカウント間でのリソースへのアクセス」をご参照ください。Alibaba Cloud アカウントの ID は、セキュリティ設定ページで表示できます。
ロール情報を設定します。
1. [ロール名] を入力します。
2. 任意: [説明] を入力します。
3. Alibaba Cloud アカウントについては、[他の Alibaba Cloud アカウント] を選択し、送信側アカウント (アカウント A) の ID を入力してから、[OK] をクリックします。

ステップ 2: RAM ロールに権限を付与する

受信側アカウント (アカウント B) を使用して RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[アイデンティティ] > [ロール] を選択します。
[ロール] ページで、管理する RAM ロールを見つけ、[アクション] 列の [権限の付与] をクリックします。
複数の RAM ロールを選択し、RAM ロールリストの下部にある [権限の付与] をクリックして、一度に複数の RAM ロールに権限を付与することもできます。
[権限の追加] パネルで、RAM ロールに権限を付与します。
1. 権限付与の範囲を選択します。
  - アカウント: 権限は現在の Alibaba Cloud アカウント内で有効になります。
  - リソースグループ: 権限は指定されたリソースグループ内で有効になります。
    説明
    リソースグループ別に権限を付与するには、Alibaba Cloud サービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループと連携するサービス」をご参照ください。
2. プリンシパルを指定します。
  プリンシパルは、権限を付与する RAM ロールです。現在の RAM ロールはデフォルトで指定されています。他の RAM ロールを追加することもできます。
3. ポリシーを選択します。
  [ポリシー名] リストで AliyunEventBridgePutEventsPolicy を見つけて選択し、[OK] をクリックします。
  説明
  一度に最大 5 つのポリシーをアタッチできます。さらにポリシーをアタッチするには、操作を繰り返します。
  システムポリシーが要件を満たさない場合は、カスタムポリシーを作成して詳細な権限管理を行うことができます。これにより、特定のイベントバスに対する権限を送信側アカウントに付与できます。詳細については、「カスタムポリシーの作成」をご参照ください。

ステップ 3: 信頼ポリシーの変更

受信側アカウント (アカウント B) を使用して RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[アイデンティティ] > [ロール] を選択します。
[ロール] ページで、作成した RAM ロールの名前をクリックします。
[信頼ポリシー] タブで、[信頼ポリシーの編集] をクリックします。
信頼ポリシードキュメントを変更し、[保存] をクリックします。
以下は信頼ポリシーのサンプルです。
```
{
    "Statement":[
        {
            "Action":"sts:AssumeRole",
            "Effect":"Allow",
            "Principal":{
                "Service":[
                    "${Account A}@eventbridge.aliyuncs.com"
                ]
            }
        }
    ],
    "Version":"1"
}
```
設定が完了すると、送信側アカウント (アカウント A) の EventBridge が RAM ロールを偽装できるようになります。

ステップ 4: イベントルールの作成

送信側アカウント (アカウント A) を使用して EventBridge コンソールにログインします。左側のナビゲーションウィンドウで、[イベントバス] をクリックします。
上部のナビゲーションバーでリージョンを選択します。[イベントバス] ページで、[default] (システムイベントバス) をクリックします。
左側のナビゲーションウィンドウで、[イベントルール] をクリックします。表示されたページで、[ルールの作成] をクリックします。
[ルールの作成] ウィザードで、次のステップを実行します。
1. [基本情報の設定] タブで、ルールの [名前] と [説明] を設定し、[次へ] をクリックします。
2. [イベントパターンの設定] タブで、次のパラメーターを設定し、[次へ] をクリックします。
  - イベントソース: イベントを配信する Alibaba Cloud 公式イベントソースを選択します。
  - イベントタイプ: 配信するイベントタイプを選択します。
  - パターン内容: イベントパターンを入力します。
3. [ターゲットの設定] タブで、次のパラメーターを設定し、[作成] をクリックします。
  - サービスタイプ: [EventBridge] を選択します。
  - ターゲットタイプ: [アカウント間バス] を選択します。
  - リージョン: 宛先アカウントが配置されているリージョンを選択します。
  - アカウント ID: 受信側アカウント (アカウント B) の ID を入力します。
  - バス名: default と入力します。
  - ロール: 作成した RAM ロールの名前を入力します。
  - イベント: デフォルト値は [完全なイベント] です。CloudEvents 1.0 プロトコルに準拠した完全なイベント構造が、変換なしで配信されます。
  説明
  イベントルールには最大 5 つのターゲットを追加できます。
受信側アカウント (アカウント B) を使用してイベントをクエリできます。詳細については、「イベントのクエリ」をご参照ください。