2

是否可以为 EventBridge PutEvents 操作配置基于标签的策略?

我希望,基于 IAM 角色中的标签,我可以控制哪些角色可以访问特定事件总线上的 PutEvents。我尝试使用以下资源策略来做到这一点:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "allow_tags_to_put_events",
    "Effect": "Allow",
    "Principal": "*",
    "Action": "events:PutEvents",
    "Resource": "<event-bus-arn>",
    "Condition": {
      "StringEquals": {
        "aws:RequestTag/stage": "test"
      }
    }
  }]
}

这将允许任何标记stage=test为的 IAM 角色能够 PutEvents。但这似乎不起作用。阅读此https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridge.html表明可能PutEvents不支持该aws:RequestTag条件,但某些操作确实支持,这对我来说似乎非常奇怪。

4

1 回答 1

0

这对我来说似乎非常奇怪。

这并不奇怪。某些条件键仅适用于特定操作而不适用于其他操作,这是相当普遍的。

所以你已经回答了你自己的问题。PutEventsaction 只支持几个键,没有一个是aws:RequestTag

  • 事件:详细类型
  • 事件:来源
  • 事件:eventBusInvocation
  • aws:SourceArn
  • aws:SourceAccount
于 2021-04-15T00:19:17.983 回答