Saltar al contenido
Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post
Acerca de re:Post

¿Cómo puedo configurar los destinos entre cuentas en EventBridge?

4 minutos de lectura
0

Quiero configurar una regla de Amazon EventBridge para enviar notificaciones de un evento de una cuenta de AWS a un destino de otra cuenta.

Resolución

Creación de una regla en la cuenta de origen

Crea una regla para enviar eventos a otra cuenta.

Nota: La regla y el destino de EventBridge deben estar en la misma región de AWS. Puedes configurar destinos entre cuentas solo para los siguientes destinos:

  • API de Amazon API Gateway
  • Aplicaciones de Amazon Kinesis Data Streams
  • Funciones de AWS Lambda
  • Temas de Amazon Simple Notification Service (Amazon SNS)
  • Colas de Amazon Simple Queue Service (Amazon SQS)

Configuración de los permisos de IAM en la cuenta de origen

Asegúrate de que el rol de ejecución de AWS Identity and Access Management (IAM) que asignaste al destino de la regla de EventBridge tenga una relación de confianza con EventBridge. La política de confianza debe incluir events.amazonaws.com como entidad de confianza. Además, asegúrate de que la política de IAM del rol de ejecución incluya los permisos necesarios para publicar en tu destino.

Ejemplo de relación de confianza:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Ejemplo de política de IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": [
                "arn:aws:sns:Region:Account-ID-of-SNS-Topic:test"
            ]
        }
    ]
}

Nota: Sustituye sns:Publish por los permisos necesarios para tu destino y arn:aws:sns:Region:Account-ID-of-SNS-Topic:test por el nombre de recurso de Amazon (ARN) del recurso de destino.

Configuración de los permisos de IAM en la cuenta de destino

La política basada en los recursos de tu destino debe conceder a EventBridge los permisos necesarios para acceder a tu destino. Revisa la política de IAM de tu recurso de destino para confirmar que tiene los permisos necesarios.

Ejemplo de política de IAM para temas de Amazon SNS:

{
      "Sid": "AWSEvents_ArticleEvent_Id4950650036948",
      "Effect": "Allow",
      "Principal": {
        "AWS": "IAMRole"
      },
      "Action": "sns:Publish",
      "Resource": "arn:aws:sns:Region:Account-ID-of-SNS-topic:test"
    }

Nota: Sustituye IAMRole por el ARN del rol de ejecución de la cuenta de origen y arn:aws:sns:Region:Account-ID-of-SNS-topic:test por el ARN del tema de SNS.

(Para temas con SSE activado) Confirmar que el destino tiene los permisos de AWS KMS necesarios

Tu destino debe utilizar una clave administrada por el cliente de AWS Key Management Service (AWS KMS). Esta clave de AWS KMS debe incluir una política de claves personalizada que conceda permiso a EventBridge para usar la clave.

Para configurar los permisos de AWS KMS necesarios, sigue estos pasos:

  1. Crea una nueva clave administrada por el cliente en la misma cuenta que tu recurso de destino. Asegúrate de que la política de claves de AWS KMS tenga los permisos necesarios para que EventBridge acceda a la clave administrada por el cliente.
    Ejemplo de política: 
    {
    "Sid": "AWSEvents_ArticleEvent_Id4950650036948",
    "Effect": "Allow",
    "Principal": {
        "AWS": "IAMRole"
    },
    "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
    "Resource": "KMS-key-arn"
}
    Nota: Sustituye IAMRole por el ARN del rol de ejecución de IAM y KMS-key-ARN por el ARN de la clave de AWS KMS.
  2. Usa la clave administrada por el cliente para configurar el cifrado en el servidor (SSE).
    Nota: Las instrucciones para configurar el SSE son las mismas para todos los tipos de destino.
  3. Asegúrate de que el rol de ejecución de la regla de EventBridge tenga una política que permita la acción de la API kms:Decrypt.
    Ejemplo de política: 
    {    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
            "Resource": "KMS-key-arn"
        }
    ]
}
    Nota: Sustituye KMS-key-arn por el ARN de la clave de AWS KMS.

Solución de problemas

Si tu tema de SNS no recibe notificaciones de eventos, consulta ¿Por qué mi tema de Amazon SNS no recibió las notificaciones de EventBridge?

Si tu función de Lambda no recibe notificaciones de eventos, consulta ¿Por qué la regla de EventBridge no ha activado la función de Lambda?

Si tu cola de Amazon SQS no recibe notificaciones de eventos, consulta Why is my Amazon SQS queue not receiving EventBridge notifications? (¿Por qué mi cola de Amazon SQS no recibe notificaciones de EventBridge?)

Para ver más pasos de solución de problemas, consulta ¿Cómo soluciono los problemas relacionados con las reglas de EventBridge entre cuentas o regiones?

Temas
Application IntegrationServerless
Etiquetas
Amazon EventBridge
Idioma
Español
OFICIAL DE AWSActualizada hace 4 meses
Sin comentarios

Contenido relevante