Amazon EventBridge - Guía del usuario€¦ · Las marcas comerciales y la imagen comercial de Amazon no se pueden utilizar en relación con ningún producto o servicio que no sea

Amazon EventBridgeGuía del usuario

Amazon EventBridge Guía del usuario

Amazon EventBridge: Guía del usuarioCopyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Las marcas comerciales y la imagen comercial de Amazon no se pueden utilizar en relación con ningún producto oservicio que no sea de Amazon de ninguna manera que pueda causar confusión entre los clientes y que menosprecieo desacredite a Amazon. Todas las demás marcas comerciales que no son propiedad de Amazon son propiedad desus respectivos propietarios, que pueden o no estar afiliados, conectados o patrocinados por Amazon.


Table of Contents¿Qué es Amazon EventBridge? ............................................................................................................ 1

Cómo funciona ........................................................................................................................... 1Requisitos previos y de instalación ........................................................................................................ 3

Inscribirse en Amazon Web Services (AWS) ................................................................................... 3Inicie sesión en la consola de Amazon EventBridge ......................................................................... 3Credenciales de ......................................................................................................................... 3Configurar laAWS Command Line Interface .................................................................................... 4Puntos de enlace regionales ........................................................................................................ 4

Introducción ....................................................................................................................................... 5Crear regla ................................................................................................................................ 5

Buses de eventos ............................................................................................................................... 7Permisos para buses de eventos .................................................................................................. 8

Administración de permisos de bus de eventos ....................................................................... 8Ejemplos de políticas: Enviar eventos al bus predeterminado en una cuenta diferente .................. 10Ejemplos de políticas: Enviar eventos a un bus personalizado en una cuenta diferente ................. 10Ejemplos de políticas: Enviar eventos a la misma cuenta y restringir actualizaciones .................... 11Ejemplos de políticas: Enviar eventos solo desde una regla específica al bus en una regióndiferente .......................................................................................................................... 11Ejemplos de políticas: Enviar eventos sólo de una región específica a otra región ........................ 12Ejemplos de políticas: Denegar el envío de eventos desde regiones específicas ......................... 13

Creación de un bus de eventos .................................................................................................. 14Eventos ........................................................................................................................................... 15

Pattern de eventos .................................................................................................................... 17Crear patrones de eventos ................................................................................................. 17Ejemplo de eventos y patrones de eventos ........................................................................... 18Valores nulos y cadenas vacías .......................................................................................... 20Matrices ........................................................................................................................... 21Filtrar en función del contenido ........................................................................................... 22

Agregar eventos con PutEvents .................................................................................................. 25Manejo de errores conPutEvents ...................................................................................... 26Envío de eventos mediante elAWS CLI ................................................................................ 27Calcular tamaños de entrada de eventos PutEvent ................................................................ 29

Reglas ............................................................................................................................................. 30Crear una regla que se ejecute cuando se reciben eventos ............................................................. 31Crear una regla que se ejecute según una programación ................................................................ 33

Expresiones Cron ............................................................................................................. 33Expresiones de frecuencia ................................................................................................. 36Crear regla ...................................................................................................................... 36

Deshabilitación o eliminación de una regla ................................................................................... 38Uso de colas de mensajes fallidos .............................................................................................. 39

Consideraciones sobre el uso de una cola de mensajes fallidos ............................................... 39Concesión de permisos a la cola de mensajes fallidos ............................................................ 40Cómo reenviar eventos de una cola de mensajes fallidos ........................................................ 40

implementación ................................................................................................................................. 42Destinos disponibles en la consola EventBridge ............................................................................ 42Parámetros de destino ............................................................................................................... 42Permissions ............................................................................................................................. 43Configuración de destinos .......................................................................................................... 44

Destinos de API ............................................................................................................... 45API Gateway .................................................................................................................... 53Eventos entre cuentas ....................................................................................................... 55Eventos entre regiones ...................................................................................................... 57Mismos eventos de cuenta ................................................................................................. 58

Transformar la entrada de destino ............................................................................................... 60

iii


Variables predefinidas ....................................................................................................... 60Ejemplos de transformación de entrada ................................................................................ 60Transformar la entrada mediante la API de EventBridge ......................................................... 62Problemas comunes con la transformación de entrada ........................................................... 62

Archivar y reproducir ......................................................................................................................... 63Eventos de archivado ................................................................................................................ 64Reproduciendo eventos archivados ............................................................................................. 66

Esquemas ........................................................................................................................................ 68Búsqueda de un esquema ......................................................................................................... 69Registros de esquemas ............................................................................................................. 70Creación de un esquema ........................................................................................................... 71

Crear un esquema mediante una plantilla ............................................................................. 71Modificación de una plantilla de esquema directamente en la consola ....................................... 72Crear un esquema a partir del JSON de un evento ................................................................ 73Crear un esquema a partir de eventos en un bus de eventos ................................................... 75

Codigo Binding ......................................................................................................................... 76Eventos deAWSServicios de .............................................................................................................. 77RelacionadoAWSservices ................................................................................................................... 81

Puntos de enlace de la VPC de tipo interfaz ................................................................................. 82Availability ........................................................................................................................ 82Creación de un punto de enlace de la VPC para EventBridge .................................................. 83

AWS X-Ray ............................................................................................................................. 84Recepción de eventos de un socio de SaaS ......................................................................................... 85

Integraciones de socios SaaS compatibles ................................................................................... 85Configuración de EventBridge ..................................................................................................... 86Cree una regla para los eventos de socios de Saas ....................................................................... 87Recibir eventos deSalesForce ..................................................................................................... 89

Paso 1: Configurar Amazon AppFlow para que utiliceSalesForceComo origen de eventos desocios ............................................................................................................................. 89Paso 2: Configurar EventBridge para recibirSalesForceEventos de ........................................... 90

Tutoriales ......................................................................................................................................... 92Crear regla basada en la llamada a la API de CloudTrail ................................................................ 93

Paso 1: Creación de una regla ........................................................................................... 94Paso 2: Confirmar ............................................................................................................. 95Paso 3: Limpiar los recursos .............................................................................................. 95

Descargar enlaces de código para eventos mediante el registro de esquema de EventBridge ................ 96Estados del grupo de Auto Scaling de registros ............................................................................. 97

Paso 1: Creación de una función de Lambda ........................................................................ 97Paso 2: Creación de una regla ........................................................................................... 97Paso 3: Comprobación de la regla de .................................................................................. 98Paso 4: Confirmar éxito ..................................................................................................... 95Paso 5: Limpiar los recursos .............................................................................................. 95

RegistroAWSLlamadas a la API ................................................................................................ 100Paso 1: Creación de unAWS CloudTrailRegistro de seguimiento de ........................................ 100Paso 2: Creación de unAWS Lambdafunción ....................................................................... 100Paso 3: Creación de una regla .......................................................................................... 101Paso 4: Comprobación de la regla de ................................................................................ 101Paso 5: Confirme el éxito ................................................................................................... 95Paso 6: Limpiar los recursos .............................................................................................. 95

Registre los estados de la instancia Amazon EC2 ........................................................................ 103Paso 1: Creación de unAWS Lambdafunción ....................................................................... 103Paso 2: Creación de una regla .......................................................................................... 103Paso 3: Comprobación de la regla de ................................................................................ 104Paso 4: Confirme el éxito ................................................................................................... 95Paso 5: Limpiar los recursos .............................................................................................. 95

Registra los cambios de estado de las instancias de Amazon EC2 ................................................. 106Paso 1: Creación de una regla .......................................................................................... 106

iv


Paso 2: Confirmar correctamente ........................................................................................ 95Paso 3: Limpiar los recursos .............................................................................................. 95

Registrar operaciones a nivel de objeto de Amazon S3 ................................................................. 108Paso 1: Configurar elAWS CloudTrailRegistro de seguimiento de ............................................ 108Paso 2: Creación de unAWS Lambdafunción ....................................................................... 109Paso 3: Crear una regla ................................................................................................... 109Paso 4: Comprobación de la regla de ................................................................................ 110Paso 5: Confirme el éxito ................................................................................................... 95Paso 6: Limpiar los recursos .............................................................................................. 95

Enviar eventos a una transmisión de Kinesis ............................................................................... 112Prerequisites .................................................................................................................. 112Paso 1: Crear un flujo de Amazon Kinesis .......................................................................... 112Paso 2: Creación de una regla .......................................................................................... 112Paso 3: Comprobación de la regla de ................................................................................ 113Paso 4: Verifique que se haya enviado el evento ................................................................. 113Paso 5: Limpiar los recursos .............................................................................................. 95

Aprenda a transmitir eventos al comando de ejecución de Systems Manager .................................... 115Paso 1: Crear una regla ................................................................................................... 115Paso 2: Confirmar correctamente ........................................................................................ 95Paso 3: Limpiar los recursos .............................................................................................. 95

Ejecutar una tarea de Amazon ECS cuando se cargue un archivo en un bucket de Amazon S3 ............ 117Paso 1: Crear una regla ................................................................................................... 117Paso 2: Confirme correctamente ......................................................................................... 95Paso 3: Limpiar los recursos .............................................................................................. 95

Programar instantáneas automatizadas de Amazon EBS ............................................................... 119Paso 1: Cree la regla ....................................................................................................... 119Paso 2: Comprobación de la regla de ................................................................................ 119Paso 3: Confirmar éxito ..................................................................................................... 95Paso 4: Limpiar los recursos .............................................................................................. 95

Programe compilaciones automatizadas conAWS CodeBuild ......................................................... 121Paso 1: Crear una regla ................................................................................................... 121Paso 2: Confirmar correctamente ........................................................................................ 95Paso 3: Limpiar los recursos .............................................................................................. 95

ScheduleAWS Lambdafunciones ............................................................................................... 123Paso 1: Creación de unAWS Lambdafunción ....................................................................... 123Paso 2: Crear una regla ................................................................................................... 123Paso 3: Comprobación de la regla ..................................................................................... 125Paso 4: Confirmar éxito ..................................................................................................... 95Paso 5: Limpiar los recursos .............................................................................................. 95

Configurar la automatización de Systems Manager de como destino ............................................... 127Paso 1: Crear una regla ................................................................................................... 127Paso 2: Confirmar éxito ..................................................................................................... 95Paso 3: Limpiar los recursos .............................................................................................. 95

Utilice el transformador de entrada para personalizar lo que EventBridge pasa al destino del evento ..... 129Paso 1: Creación de una regla .......................................................................................... 130Paso 2: Confirmar éxito ..................................................................................................... 95Paso 3: Limpiar los recursos .............................................................................................. 95

Seguridad ...................................................................................................................................... 131Protección de los datos ............................................................................................................ 132

Cifrado en reposo ........................................................................................................... 132Cifrado en tránsito ........................................................................................................... 132

Políticas basadas en etiquetas .................................................................................................. 133IAM ....................................................................................................................................... 134

Authentication ................................................................................................................. 134Control de acceso ........................................................................................................... 135Administración del acceso ................................................................................................ 136Usar políticas basadas en identidad (políticas de IAM) .......................................................... 140

v


Uso de políticas basadas en recursos de ............................................................................ 148Políticas de basadas en recursos para esquemas de EventBridge .......................................... 153Referencia de permisos de ............................................................................................... 156Condiciones de política de IAM ......................................................................................... 158

Registrar y monitorear ............................................................................................................. 170Información de EventBridge en CloudTrail ........................................................................... 170Ejemplo: Entradas de archivos de registro de Event ............................................................. 171

Validación de la conformidad .................................................................................................... 173Resiliencia .............................................................................................................................. 174Seguridad de la infraestructura .................................................................................................. 175Análisis de seguridad y vulnerabilidad ........................................................................................ 176

Monitorización ................................................................................................................................. 177Métricas de EventBridge .......................................................................................................... 177Dimensiones de las métricas de EventBridge .............................................................................. 178

Solución de problemas ..................................................................................................................... 179Mi regla se ejecutó pero no se invocó mi función Lambda ............................................................. 179Acabo de crear o modificar una regla, pero no coincidió con un evento de prueba ............................. 180Mi regla no se ejecutó en el momento que especificé en elScheduleExpression ........................... 181Mi regla no funcionó en el momento que esperaba ...................................................................... 181Mi regla coincide con las llamadas a la API de IAM pero no se ejecutó ............................................ 181El rol de IAM asociado a mi regla se ignora cuando se ejecuta la regla ............................................ 181Mi regla tiene un patrón de eventos que se supone que coincide con un recurso, pero no coinciden ...... 182La entrega de mi evento al destino se ha retrasado ..................................................................... 182Algunos eventos no se entregaron en mi destino ......................................................................... 182Mi regla se ejecutó más de una vez en respuesta a un evento ....................................................... 182Cómo evitar bucles infinitos ...................................................................................................... 182Mis eventos no se entregan en la cola de Amazon SQS de destino ................................................ 183Mi regla se ejecuta, pero no veo ningún mensaje publicado en mi tema de Amazon SNS .................... 183Mi tema de Amazon SNS sigue teniendo permisos para EventBridge incluso después de habereliminado la regla asociada al tema de Amazon SNS ................................................................... 184¿Qué claves de condición de IAM puedo utilizar con EventBridge? ................................................. 185¿Cómo puedo saber si las reglas de EventBridge están rotas? ...................................................... 185

Cuotas ........................................................................................................................................... 186Cuotas de EventBridge ............................................................................................................ 186Cuotas de PutEvents por región ................................................................................................ 188Cuotas de PutPartnerEvents por región ...................................................................................... 189Cuotas de invocación por región ............................................................................................... 190

Etiquetas ........................................................................................................................................ 192Historial de revisión ......................................................................................................................... 193................................................................................................................................................... cxcvi

vi

Amazon EventBridge Guía del usuarioCómo funciona

¿Qué es Amazon EventBridge?Amazon EventBridge es un servicio de bus de eventos sin servidor que puede utilizar para conectar susaplicaciones con datos de varios orígenes. EventBridge proporciona una transmisión de datos en tiemporeal desde sus aplicaciones, aplicaciones de software como servicio (SaaS) yAWSservicios a objetivoscomoAWS Lambdafunciones, extremos de invocación HTTP utilizando destinos API o buses de eventos enotrosAWSCuentas.

Note

EventBridge se llamaba anteriormente Amazon CloudWatch Events. El bus de eventospredeterminado y las reglas que creó en CloudWatch Events también se muestran en la consolaEventBridge. EventBridge utiliza la misma API de eventos de CloudWatch, por lo que el códigoque utiliza la API de eventos de CloudWatch permanece igual. Las nuevas característicasagregadas a EventBridge no se agregan a CloudWatch Events.

Cómo funcionaEventBridge recibe unevent (p. 15), un indicador de un cambio en el entorno, y aplica unReglade (p. 30)para enrutar el evento a untarget (p. 42). Las reglas hacen coincidir los eventos con losdestinos en función de la estructura del evento, denominadaPatrón (p. 17), o según un horario. Porejemplo, cuando una instancia de Amazon EC2 cambia de pendiente a en ejecución, puede tener unaregla que envíe el evento a una función Lambda.

Todos los eventos que llegan a EventBridge están asociados con unBus de eventos (p. 7). Las reglasestán vinculadas a un único bus de eventos, por lo que solo se pueden aplicar a eventos en ese bus deeventos. Su cuenta tiene un bus de eventos predeterminado que recibe eventos deAWS, y puede crearbuses de eventos personalizados para enviar o recibir eventos desde una cuenta o región diferente.

Cuando unAWSEl socio quiere enviar eventos a unAWScuenta de cliente, configuraron unaOrigen delevento (p. 85). A continuación, el cliente debe asociar un bus de eventos al origen de eventos del socio.

EventBridgeDestinos de API (p. 45)son extremos HTTP que puede establecer como destino de unaregla, de la misma manera que enviaría datos de eventos a unAWSservicio o recurso. Al usar destinos deAPI, puede usar llamadas a API REST para enrutar eventos entreAWS, aplicaciones SaaS integradas ysus aplicaciones fuera deAWS. Cuando se crea un destino API, se especifica una conexión que se va autilizar para él. Cada conexión incluye los detalles sobre el tipo de autorización y los parámetros que sevan a utilizar para autorizar con el extremo de destino de la API.

Para personalizar el texto de un evento antes de que EventBridge lo pase a un destino, utilice laherramientaTransformador de entrada (p. 60)para editar la información antes de que vaya al destino.

PuedeArchivado (p. 64), o guardar, eventos y, a continuación,Reproducir (p. 66)En un momentoposterior desde el archivo. El archivado es útil para probar una aplicación porque tiene un almacén deeventos para usar en lugar de tener que esperar a nuevos eventos.

Cuando crea aplicaciones sin servidor que utilizan EventBridge, puede ser útil conocer el patrón deeventos de eventos típicos sin tener que generar el evento. Los patrones de eventos se describenenEsquemas (p. 68), que están disponibles para todos los eventos generados porAWSen EventBridge.También puede crear o cargar esquemas personalizados para eventos que no provienen deAWSServiciosde . Una vez que tenga un esquema para un evento, puede descargar enlaces de código para lenguajesde programación populares.

1

Amazon EventBridge Guía del usuarioCómo funciona

Para organizarAWSo para realizar un seguimiento de los costos en EventBridge, puede asignar unaetiqueta personalizada oetiqueta (p. 192), aAWSde AWS. UsoPolíticas basadas en etiquetas (p. 133),puede controlar lo que los recursos pueden y lo que no pueden hacer dentro de EventBridge.

Además de las políticas basadas en etiquetas, EventBridge admitebasado enidentidades (p. 140)yBasado en recursos (p. 148)Para controlar el acceso a EventBridge. Utilicedirectivas basadas en identidades para controlar los permisos de un grupo, rol o usuario. Utilice políticasbasadas en recursos para conceder permisos específicos a cada recurso, como una función de Lambda ouna cola de Amazon SNS.

2

Amazon EventBridge Guía del usuarioInscribirse en Amazon Web Services (AWS)

Configuración y requisitos previos deAmazon EventBridge

Para utilizar Amazon EventBridge, necesita unAWSaccount. Su cuenta le permite utilizar servicios comoAmazon EC2 para generar eventos que se pueden visualizar en la consola de EventBridge. Tambiénpuede instalar y configurar laAWS Command Line Interface(AWS CLI) para usar una interfaz de línea decomandos para ver eventos.

Temas• Inscribirse en Amazon Web Services (AWS) (p. 3)• Inicie sesión en la consola de Amazon EventBridge (p. 3)• Credenciales de (p. 3)• Configurar laAWS Command Line Interface (p. 4)• Puntos de enlace regionales (p. 4)

Inscribirse en Amazon Web Services (AWS)Al crear una cuenta, la registramos de forma automática para todosAWS, pero solo pagará por losservicios que utilice.

Si ya tiene una cuenta de , puede omitir este paso. Si no dispone de una cuenta de , utilice el siguienteprocedimiento para crear una.

Para registrarse y obtener una cuenta de

1. Abra https://portal.aws.amazon.com/billing/signup.2. Siga las instrucciones en línea.

Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código deverificación en el teclado del teléfono.

Inicie sesión en la consola de Amazon EventBridgePara iniciar sesión en la consola de Amazon EventBridge

• Inicie sesión enAWS Management Consoley abra la consola de Amazon EventBridge enhttps://console.aws.amazon.com/events/.

Credenciales deAunque puede utilizar las credenciales del usuario raíz para obtener acceso a EventBridge, lerecomendamos que utiliceAWS Identity and Access Management(IAM) en su lugar. Si está utilizando unacuenta de IAM para obtener acceso a EventBridge, debe contar con los siguientes permisos:

{

3

http://portal.aws.amazon.com/billing/signup

https://console.aws.amazon.com/events/


Amazon EventBridge Guía del usuarioConfigurar laAWS Command Line Interface

"Version": "2012-10-17", "Statement": [ { "Action": [ "events:*", "iam:PassRole" ], "Effect": "Allow", "Resource": "*" } ]}

Para obtener más información, consulte Authentication (p. 134).

Configurar laAWS Command Line InterfacePuede utilizarAWS CLIpara realizar operaciones de EventBridge.

Para obtener información acerca de cómo instalar y configurar laAWS CLI, consulteConfiguración inicial delaAWS Command Line Interfaceen laAWS Command Line InterfaceGuía del usuario.

Puntos de enlace regionalesDebe habilitar los extremos regionales predeterminados para utilizar EventBridge. Para obtener másinformación, consulteActivación y desactivaciónAWS STSen unAWSRegiónen laGuía del usuario de IAM.

4

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html

Amazon EventBridge Guía del usuarioCrear regla

Introducción a Amazon EventBridgeLa base de EventBridge es crearReglas de (p. 30)Esa rutaEventos de (p. 15)a untarget (p. 42).En esta sección, creará una regla básica. Para ver tutoriales sobre escenarios específicos y destinosespecíficos, consulteEn Amazon EventBridge (p. 92).

Crear una regla en Amazon EventBridgePara crear una regla para eventos, especifique una acción que se debe realizar cuando EventBridge recibaun evento que coincida con el patrón de eventos de la regla. Cuando coincide un evento, EventBridgeenvía el evento al destino especificado y desencadena la acción definida en la regla.

Cuando unAWSen suAWSSi emite un evento, siempre va alBus de eventos (p. 7)Para su cuentade. Para escribir una regla que coincida con los eventos deAWSEn su cuenta, debe asociarla al bus deeventos predeterminado.

Para crear una regla de para unAWSServicio

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccione Rules (Reglas).3. Elija Create rule.4. Escriba un nombre y una descripción de la regla.

Una regla no puede tener el mismo nombre que otra regla de la misma región y del mismo bus deeventos.

5. En Define pattern (Definir patrón), elija Event pattern (Patrón de evento).6. Elija Pre-defined pattern by service (Patrón predefinido por servicio).7. En Service provider (Proveedor de servicios), elija AWS.8. En Service name (Nombre del servicio), elija el nombre del servicio que emite el evento.9. En Event type (Tipo de evento), elija All Events (Todos los eventos) o elija el tipo de evento que desea

utilizar para esta regla. Si elige All Events (Todos los eventos), todos los eventos emitidos por esteservicio de AWS coincidirán con la regla.

Para personalizar el patrón de eventos, elijaEditarRealice sus cambios y elijaSave (Guardar).10. En Select event bus (Seleccionar bus de eventos), elija el bus de eventos que desea asociar a esta

regla. Si desea que esta regla coincida con eventos procedentes de su cuenta de, seleccione AWSBusde eventos predeterminado. Cuando un servicio de AWS en su cuenta emite un evento, siempre va albus de eventos predeterminado de su cuenta.

11. ParaSeleccionar objetivos, elija laAWSServicio de que desea actuar cuando EventBridge detecte unevento del tipo seleccionado.

12. Los campos mostrados varían en función del servicio que elija. Introduzca la información específica deeste tipo de destino según sea necesario.

13. Para muchos tipos de destino, EventBridge necesita permisos para enviar eventos al destino. En estoscasos, EventBridge puede crear el rol de IAM necesario para que se ejecute la regla.

• Para crear un rol de IAM automáticamente, elijaCrear un nuevo rol para este recurso específico• Para usar una función de IAM que creó anteriormente, elijaUso de una función existente

14. ParaReintentar la cola de mensajes fallidos de:, enDirectriz de los reintentos:

5



a. ParaEdad máxima del evento, introduzca un valor entre un minuto (00:01) y 24 horas (24:00).b. ParaIntentos de reintentoIntroduzca un número entre 0 y 185.

15. ParaCola de mensajes fallidosElija si desea utilizar una cola de Amazon SQS estándar como una colade mensajes fallidos. EventBridge envía eventos que coincidan con esta regla a la cola de mensajesmuertos si no se entregan correctamente al destino. Aplique alguna de las siguientes acciones:• SeleccionarNone (Ninguno)Para no usar una cola de mensajes fallidos.• SeleccionarSeleccione una cola de Amazon SQS en elAWSPara usar como cola de mensajes

fallidosEn la lista desplegable, seleccione la cola que desea usar.• SeleccionarSeleccione una cola de Amazon SQS en otroAWSCuenta como una cola de

mensajes fallidosY, a continuación, introduzca el ARN de la cola de que va a usar. Debe adjuntaruna directiva basada en recursos a la cola que otorgue permiso a EventBridge para enviarlemensajes. Para obtener más información, consulte Concesión de permisos a la cola de mensajesfallidos (p. 40).

16. (Opcional) Elija Add target (Añadir destino) para añadir otro destino para esta regla.17. (Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información, consulte

etiquetas de Amazon EventBridge (p. 192).18. Seleccione Create (Crear).

6


Amazon EventBridgeUn bus de eventos es una canalización que recibeEventos de (p. 15). Reglas (p. 30)asociados conel bus de eventos evalúan los eventos a medida que llegan. Cada regla comprueba si un evento coincidecon los criterios de la regla. Al asociar una regla a un bus de eventos específico, por lo que la regla solo seaplica a los eventos recibidos por dicho bus de eventos.

Para administrar los permisos de un bus de eventos, puede configurar unPolítica basada enrecursos (p. 148)por ello. APolítica basada en recursosespecifica qué eventos permitir y qué entidadestienen permiso para crear o modificar reglas o destinos para un evento. Por ejemplo, puede utilizar unadirectiva en un bus de eventos para permitir o denegar eventos de orígenes como una regla o un bus deeventos en unAWSoAWSRegión . Mediante el uso de directivas, puede agregar todos los eventos de suaplicación u organización en una sola cuenta y Región.

Puede configurar hasta 300 reglas para cada bus de eventos. Si tiene más de 300 reglas en su entorno,puede crear buses de eventos personalizados en su cuenta y luego asociar 300 reglas adicionales a cadabus de eventos. Puede personalizar la forma en que se reciben los eventos en su cuenta creando busesde eventos con diferentes permisos para diferentes servicios.

Los autobuses de eventos más comunes son:

• El bus de eventos predeterminado en cada cuenta de recibe eventos deAWSServicios de .• Un bus de eventos personalizado envía eventos a o recibe eventos de una cuenta diferente.• Un bus de eventos personalizado envía eventos a o recibe eventos de una región diferente para agregar

eventos en una única ubicación.• Un bus de eventos asociado recibe eventos de un socio SaaS. Para obtener más información, consulte

Recepción de eventos de un socio SaaS con Amazon EventBridge (p. 85).

Temas• Permisos para autobuses de eventos de Amazon EventBridge (p. 8)• Creación de un bus de eventos de Amazon EventBridge (p. 14)

7

Amazon EventBridge Guía del usuarioPermisos para buses de eventos

Permisos para autobuses de eventos de AmazonEventBridge

El valor de tiempo de espera predeterminado deBus de eventos (p. 7)en suAWSLa cuenta sólopermiteEventos de (p. 15)desde una cuenta. Puede conceder permisos adicionales a un bus deeventos adjuntando unPolítica basada en recursos (p. 148). Con una directiva basada en recursos,puede permitir quePutEvents,PutRule, yPutTargetsLas llamadas a API desde otra cuenta. Tambiénpuede utilizarCondiciones de IAM (p. 158)en la directiva para conceder permisos a una organización,apliqueetiquetas (p. 192)o filtrar eventos solo a aquellos de una regla o cuenta específica. Puedeestablecer una política basada en recursos para un bus de eventos cuando lo cree o posteriormente.

API de EventBridge que aceptan un bus deeventosNamecomoPutRule,PutTargets,DeleteRule,RemoveTargets,DisableRule,yEnableRuletambién acepta el bus de eventos ARN. Utilice estos parámetros para hacer referenciaa buses de eventos entre cuentas o entre regiones a través de las API. Por ejemplo, puede llamaraPutRulepara crear unRegla de (p. 30)en un bus de eventos en una cuenta diferente sin necesidad deasumir un rol.

Puede utilizar las directivas de ejemplo de este tema para conceder permiso para enviar eventos a otracuenta o región. Para obtener información sobre cómo crear una regla para enviar eventos a otra cuenta oregión, consulteEnvío y recepción de eventos de Amazon EventBridge entreAWScuentas (p. 55).

Temas• Administración de permisos de bus de eventos (p. 8)• Ejemplos de políticas: Enviar eventos al bus predeterminado en una cuenta diferente (p. 10)• Ejemplos de políticas: Enviar eventos a un bus personalizado en una cuenta diferente (p. 10)• Ejemplos de políticas: Enviar eventos a la misma cuenta y restringir actualizaciones (p. 11)• Ejemplos de políticas: Enviar eventos solo desde una regla específica al bus en una región

diferente (p. 11)• Ejemplos de políticas: Enviar eventos sólo de una región específica a otra región (p. 12)• Ejemplos de políticas: Denegar el envío de eventos desde regiones específicas (p. 13)

Administración de permisos de bus de eventosUtilice el siguiente procedimiento para modificar los permisos de un bus de eventos existente. Para obtenerinformación acerca de cómo utilizarAWS CloudFormationPara crear una política de bus de eventos,consulteAWS::Events::EventBusPolicy.

Para administrar permisos para un bus de eventos existente

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación izquierdo, elijaBuses de eventos.3. EnNombre, elija el nombre del bus de eventos para administrar permisos.

Si se adjunta una directiva de recursos al bus de eventos, se muestra la directiva.4. SeleccionarAdministración de permisosy, a continuación, realice una de las siguientes cosas:

• Introduzca la directiva que incluye los permisos para conceder al bus de eventos. Puede pegar enuna directiva de otro origen o introducir el JSON para la directiva.

• Para utilizar una plantilla para la directiva, elijaCargar plantilla. Modifique la directiva segúncorresponda para su entorno y agregue acciones adicionales que autorice al principal de ladirectiva a utilizar.

8

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-events-eventbuspolicy.html


Amazon EventBridge Guía del usuarioAdministración de permisos de bus de eventos

5. Elija Update (Actualizar).

La plantilla proporciona instrucciones de directiva de ejemplo que puede personalizar para su cuenta yentorno. La plantilla no es una política válida. Puede modificar la plantilla para su caso de uso o puedecopiar una de las directivas de ejemplo y personalizarla.

La plantilla carga directivas que incluyen un ejemplo de cómo conceder permisos a una cuenta para usarelPutEvents, cómo conceder permisos a una organización y cómo conceder permisos a la cuenta paraadministrar reglas en la cuenta. Puede personalizar la plantilla para su cuenta específica y, a continuación,eliminar las demás secciones de la plantilla. Más adelante en este tema se incluyen ejemplos de políticasde ejemplo.

Si intenta actualizar los permisos para el bus pero la directiva contiene un error, un mensaje de error indicael problema específico de la directiva.

### Choose which sections to include in the policy to match your use case. ### ### Be sure to remove all lines that start with ###, including the ### at the end of the line. ###

### The policy must include the following: ###

{ "Version": "2012-10-17", "Statement": [

### To grant permissions for an account to use the PutEvents action, include the following, otherwise delete this section: ###

{

"Sid": "allow_account_to_put_events", "Effect": "Allow", "Principal": { "AWS": "<ACCOUNT_ID>" }, "Action": "events:PutEvents", "Resource": "arn:aws:events:us-east-1:123456789012:event-bus/default" },

### Include the following section to grant permissions to all members of your AWS Organizations to use the PutEvents action ###

{ "Sid": "allow_all_accounts_from_organization_to_put_events", "Effect": "Allow", "Principal": "*", "Action": "events:PutEvents", "Resource": "arn:aws:events:us-east-1:123456789012:event-bus/default", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-yourOrgID" } } },

### Include the following section to grant permissions to the account to manage the rules created in the account ###

{ "Sid": "allow_account_to_manage_rules_they_created", "Effect": "Allow", "Principal": {

9

Amazon EventBridge Guía del usuarioEjemplos de políticas: Enviar eventos al bus

predeterminado en una cuenta diferente

"AWS": "<ACCOUNT_ID>" }, "Action": [ "events:PutRule", "events:PutTargets", "events:DeleteRule", "events:RemoveTargets", "events:DisableRule", "events:EnableRule", "events:TagResource", "events:UntagResource", "events:DescribeRule", "events:ListTargetsByRule", "events:ListTagsForResource"], "Resource": "arn:aws:events:us-east-1:123456789012:rule/default", "Condition": { "StringEqualsIfExists": { "events:creatorAccount": "<ACCOUNT_ID>" } } }] }

Ejemplos de políticas: Enviar eventos al buspredeterminado en una cuenta diferenteEn el siguiente ejemplo de directiva se concede permiso a la cuenta 111122223333 para utilizar todas lasoperaciones de API en el bus de eventos predeterminado en la cuenta 123456789012.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "sid1", "Effect": "Allow", "Principal": {"AWS":"arn:aws:iam::111112222333:root"}, "Action": "events:*", "Resource": "arn:aws:events:us-east-1:123456789012:event-bus/default" } ] }

Ejemplos de políticas: Enviar eventos a un buspersonalizado en una cuenta diferenteLa siguiente política de ejemplo otorga a la cuenta de permiso para publicar eventos en la cuentadecentral-event-busen la cuenta 123456789012, pero solo para eventos con un valor de origenestablecido encom.exampleCorp.webStorey adetail-typeestablecido ennewOrderCreated.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "WebStoreCrossAccountPublish", "Effect": "Allow", "Action": [ "events:PutEvents" ],

10

Amazon EventBridge Guía del usuarioEjemplos de políticas: Enviar eventos a lamisma cuenta y restringir actualizaciones

"Principal": { "AWS": "111112222333" }, "Resource": "arn:aws:events:us-east-1:123456789012:event-bus/central-event-bus", "Condition": { "StringEquals": { "events:detail-type": "newOrderCreated", "events:source": "com.exampleCorp.webStore" } } } ]}

Ejemplos de políticas: Enviar eventos a la mismacuenta y restringir actualizacionesEn el siguiente ejemplo de directiva se concede permiso a la cuenta 123456789012 para crear,eliminar, actualizar, deshabilitar y habilitar reglas, así como para agregar o quitar destinos. Limita estasreglas que coinciden con los eventos con una fuente decom.exampleCorp.webStore, y utiliza elmétodo"events:creatorAccount": "${aws:PrincipalAccount}"para asegurarse de que sólo lacuenta 123456789012 puede modificar estas reglas y destinos una vez que se hayan creado.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "InvoiceProcessingRuleCreation", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123412341234:root" }, "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:DisableRule", "events:EnableRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:us-east-1:123412341234:rule/central-event-bus/*", "Condition": { "StringEqualsIfExists": { "events:creatorAccount": "${aws:PrincipalAccount}", "events:source": "com.exampleCorp.webStore" } } } ]}

Ejemplos de políticas: Enviar eventos solo desde unaregla específica al bus en una región diferenteLa siguiente política de ejemplo otorga a la cuenta de permiso para enviar eventos que coincidancon una regla denominadaSendToUSE1AnotherAccountEn las regiones de Medio Oriente (Baréin)y EE.UU. Oeste (Oregón) a un bus de eventos llamadoCrossRegionBusEn los EE.UU. Este

11

Amazon EventBridge Guía del usuarioEjemplos de políticas: Enviar eventos sólo

de una región específica a otra región

(Norte de Virginia) en la cuenta 123456789012. La política de ejemplo se agrega al bus de eventosdenominadoCrossRegionBusen la cuenta 123456789012. La directiva permite eventos sólo si coincidencon una regla especificada para el bus de eventos en la cuenta 111122223333. LaConditionrestringeeventos sólo a eventos que coincidan con las reglas con la regla ARN especificada.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "allow_specific_rules_as_cross_region_source", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111112222333:root" }, "Action": "events:PutEvents", "Resource": "arn:aws:events:us-east-1:123456789012:event-bus/CrossRegionBus", "Condition": { "ArnEquals": { "aws:SourceArn": [ "arn:aws:events:us-west-2:111112222333:rule/CrossRegionBus/SendToUSE1AnotherAccount", "arn:aws:events:me-south-1:111112222333:rule/CrossRegionBus/SendToUSE1AnotherAccount" ] } } } ]}

Ejemplos de políticas: Enviar eventos sólo de unaregión específica a otra regiónEl siguiente ejemplo de política otorga permiso a la cuenta 111122223333 para enviar todos los eventosque se generan en las regiones de Oriente Medio (Bahrein) y EE.UU. Oeste (Oregón) al bus de eventosdenominadoCrossRegionBusEn la cuenta 123456789012 en la región EE.UU. Este (Norte de Virginia).La cuenta 111122223333 no tiene permiso para enviar eventos generados en ninguna otra región.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "allow_cross_region_events_from_us-west-2_and_me-south-1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111112222333:root" }, "Action": "events:PutEvents", "Resource": "arn:aws:events:us-east-1:123456789012:event-bus/CrossRegionBus", "Condition": { "ArnEquals": { "aws:SourceArn": [ "arn:aws:events:us-west-2:*:*", "arn:aws:events:me-south-1:*:*" ] } } } ]}

12

Amazon EventBridge Guía del usuarioEjemplos de políticas: Denegar el envíode eventos desde regiones específicas

Ejemplos de políticas: Denegar el envío de eventosdesde regiones específicasLa siguiente directiva de ejemplo asociada a un bus de eventos denominadoCrossRegionBusenla cuenta 123456789012 otorga permiso para que el bus de eventos reciba eventos de la cuenta111122223333, pero no eventos que se generan en la región EE.UU. Oeste (Oregón).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "1_allow_any_events_from_account_111112222333", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111112222333:root" }, "Action": "events:PutEvents", "Resource": "arn:aws:events:us-east-1:123456789012:event-bus/CrossRegionBus" }, { "Sid": "2_deny-all-cross-region-us-west-2-events", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "events:PutEvents", "Resource": "arn:aws:events:us-east-1:123456789012:event-bus/CrossRegionBus", "Condition": { "ArnEquals": { "aws:SourceArn": [ "arn:aws:events:us-west-2:*:*" ] } } } ]}

13

Amazon EventBridge Guía del usuarioCreación de un bus de eventos

Creación de un bus de eventos de AmazonEventBridge

Puede crear un dispositivo personalizadoBus de eventos (p. 7)recibirEventos de (p. 15)de susaplicaciones. Sus aplicaciones también pueden enviar eventos al bus de eventos predeterminado. Cuandocrea un bus de eventos, puede adjuntar unPolítica basada en recursos de la política (p. 148)Paraconceder permisos a otras cuentas de. A continuación, otras cuentas pueden enviar eventos al bus deeventos en la cuenta actual.

Para crear un bus de eventos personalizado

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, elija Event Buses (Buses de eventos).3. Elija Create event bus (Crear bus de eventos).4. Introduzca un nombre para el nuevo bus de eventos.5. Aplique alguna de las siguientes acciones:

• Introduzca la directiva que incluye los permisos para conceder al bus de eventos. Puede pegaren una directiva de otro origen o introducir el JSON para la directiva. Puede utilizar una de laspolíticas de ejemplo y modificarla para su entorno.

• Para utilizar una plantilla para la directiva, elijaCargar plantilla. Modifique la directiva segúncorresponda para su entorno, incluida la adición de acciones adicionales que autorice al principalde la directiva a utilizar.

6. Seleccione Create (Crear).

14



Eventos de Amazon EventBridgeUn registroeventindica un cambio en el entorno como, por ejemplo, unAWS, un servicio o aplicación desocios SaaS o una de sus aplicaciones o servicios. Los siguientes ejemplos corresponden a eventos de:

• Amazon EC2 genera un evento cuando el estado de una instancia cambia de pendiente a ejecutándose.• Amazon EC2 Auto Scaling genera eventos cuando lanza o termina instancias.• AWS CloudTrail publica eventos cuando realiza llamadas al API.

También puede configurar eventos programados que se generan de forma periódica.

Para obtener una lista de servicios que generan eventos, incluidos eventos de ejemplo procedentes decada servicio, consulteEventos deAWSServicios de (p. 77).

Todos los eventos se representan como objetos JSON y tienen una estructura similar y los mismoscampos de nivel superior.

El contenido del campo de nivel superior detail será diferente en función del servicio que haya generado elevento y de cuál sea el evento. La combinación de los campos source y detail-type sirve para identificar loscampos y los valores encontrados en detail. Para consultar ejemplos de eventos generados por serviciosde AWS, consulte Eventos deAWSServicios de (p. 77).

Temas• Patrones de Amazon EventBridge (p. 17)• Agregar eventos de Amazon EventBridge conPutEvents (p. 25)

Los siguientes campos aparecen en un evento:

version

De forma predeterminada, está definido en 0 (cero) en todos los eventos.id

Un UUID de versión 4 que se genera para cada evento. Puede utilizaridPara realizar un seguimientode los eventos mientras se desplazan a destinos a través de reglas.

detail-type

Identifica, en combinación con source, los campos y los valores que aparecen en detail.

Los eventos que ofrece CloudTrail tienenAWS API Call via CloudTrailcomo el valordedetail-type.

origen

Identifica el servicio que ha generado el evento. Todos los eventos que vienen deAWSServicioscomienzan por «aws». Los eventos generados por el cliente pueden tener cualquier valor aquí, salvoque no pueden empezar por "aws". Le recomendamos que utilice cadenas de nombres de dominioinversas que utilicen el estilo de nombres de paquetes de Java.

Para encontrar el valor correcto desourcepara unAWSEn, consulte la tabla deNombres de recursosde Amazon (ARN). Por ejemplo, elsourcePara Amazon CloudFront esaws.cloudfront.

cuenta

El número de 12 dígitos que identifica unAWSaccount.

15

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#genref-aws-service-namespaces

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#genref-aws-service-namespaces


tiempo

La marca temporal del evento, que puede especificar el servicio que origina el evento. Si el eventoabarca un intervalo de tiempo, el servicio puede notificar la hora de inicio, por lo que este valor podríaser anterior al momento en que se recibe el evento.

region

Identifica elAWSRegión en que se originó el evento.recursos

Una matriz JSON que contiene ARN que identifican recursos que participan en el evento. El servicioque genera el evento determina si se deben incluir estos ARN. Por ejemplo, los cambios de estadode instancia de EC2 incluyen los ARN de instancia de EC2, los eventos de Auto Scaling incluyenlos ARN tanto para instancias como para grupos de Auto Scaling, pero las llamadas al API conAWSCloudTrailno incluyen ARN de recursos.

detail

Un objeto JSON que contiene información sobre el evento. El servicio que genera el evento determinael contenido de este campo. El contenido de detalle puede ser tan simple como dos campos.AWS Loseventos de llamadas al API tienen objetos de detalle con aproximadamente 50 campos anidados envarios niveles de profundidad.

El siguiente evento de Amazon EventBridge indica que se está terminando una instancia de Amazon EC2.

{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "EC2 Instance State-change Notification", "source": "aws.ec2", "account": "111122223333", "time": "2017-12-22T18:43:48Z", "region": "us-west-1", "resources": [ "arn:aws:ec2:us-west-1:123456789012:instance/i-1234567890abcdef0" ], "detail": { "instance-id": " i-1234567890abcdef0", "state": "terminated" }}

16

Amazon EventBridge Guía del usuarioPattern de eventos

Patrones de Amazon EventBridgeLos patrones de eventos tienen la misma estructura que losEventos de (p. 15)Coincidencia.Reglas (p. 30)Utilice patrones de eventos para seleccionar eventos y enviarlos a destinos. Un patrón deeventos coincide con un evento o bien no coincide.

Temas• Crear patrones de eventos (p. 17)• Ejemplo de eventos y patrones de eventos (p. 18)• Coincidencia de valores nulos y cadenas vacías en patrones de eventos de Amazon

EventBridge (p. 20)• Arreglos en patrones de eventos de Amazon EventBridge (p. 21)• Filtrado de contenido en patrones de eventos de Amazon EventBridge (p. 22)

El siguiente evento muestra unAWSde Amazon EC2.

{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "EC2 Instance State-change Notification", "source": "aws.ec2", "account": "111122223333", "time": "2017-12-22T18:43:48Z", "region": "us-west-1", "resources": [ "arn:aws:ec2:us-west-1:123456789012:instance/i-1234567890abcdef0" ], "detail": { "instance-id": "i-1234567890abcdef0", "state": "terminated" }}

El siguiente patrón de eventos procesAmazon EC2 losinstance-terminationrápidamente.

{ "source": ["aws.ec2"], "detail-type": ["EC2 Instance State-change Notification"], "detail": { "state": ["terminated"] }}

Crear patrones de eventosPara crear un patrón de evento, especifique los campos de un evento que desea que coincidacon el patrón de evento. Especifique sólo los campos que utilice para la coincidencia. El ejemplode patrón de eventos anterior solo proporciona valores para tres campos: los campos de nivelsuperior“source”y“detail-type”, y el“state”dentro del campo“detail”campo de objeto.EventBridge ignora todos los demás campos del evento al aplicar la regla.

Para que un patrón de eventos coincida con un evento, el evento debe contener todos los nombres decampos enumerados en el patrón de eventos. Los nombres de los campos también deben aparecer en elevento con la misma estructura de anidación.

17

Amazon EventBridge Guía del usuarioEjemplo de eventos y patrones de eventos

EventBridge ignora los campos del evento que no están incluidos en el patrón de eventos. El efecto es queexiste un comodín «*» :"*» para los campos que no aparecen en el patrón de eventos.

Los valores que coinciden con los patrones de eventos siguen las reglas JSON. Puede incluir cadenasentre comillas («), números y palabras clavetrue,false, ynull.

Para cadenas, EventBridge utiliza la coincidencia exacta carácter a carácter sin necesidad de cambio demayúsculas/minúsculas o cualquier otra normalización de cadenas.

Para los números, EventBridge utiliza la representación de cadenas. Por ejemplo, 300, 300.0 y 3.0e2 no seconsideran iguales.

Cuando escribe patrones de eventos para que coincidan con los eventos, puede usar laherramientaTestEventPatternAPI o latest-event-patternCLI para probar que su patrón coincidecon los eventos correctos. Para obtener más información, consulteTestEventPattern.

Valores para los que se desea encontrar coincidenciasEn un patrón de eventos, el valor que se desea encontrar coincidencias está en una matriz JSON, rodeadapor corchetes («[», «]») para que pueda proporcionar varios valores. Por ejemplo, para hacer coincidireventos de Amazon EC2 oAWS Fargate, puede usar el siguiente patrón, que coincide con eventos dondeel valor para"source"campo es"aws.ec2"or"aws.fargate".

{ "source": ["aws.ec2", "aws.fargate"]}

Ejemplo de eventos y patrones de eventosPuede utilizar todos los valores y tipos de datos JSON para hacer coincidir eventos. En los siguientesejemplos se muestran los eventos y los patrones de eventos que coinciden con ellos.

Coincidencia de camposPuede buscar coincidencias con el valor de un campo. Tenga en cuenta el siguiente evento de AmazonEC2 Auto Scaling.

{ "version": "0", "id": "3e3c153a-8339-4e30-8c35-687ebef853fe", "detail-type": "EC2 Instance Launch Successful", "source": "aws.autoscaling", "account": "123456789012", "time": "2015-11-11T21:31:47Z", "region": "us-east-1", "resources": [], "detail": { "eventVersion": "", "responseElements": null }}

Para el evento anterior, puede utilizar la opción“responseElements”para que coincida.

{ "source": ["aws.autoscaling"], "detail-type": ["EC2 Instance Launch Successful"],

18

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_TestEventPattern.html

Amazon EventBridge Guía del usuarioEjemplo de eventos y patrones de eventos

"detail": { "responseElements": [null] }}

Coincidencia de valoresConsidere el siguiente evento de Amazon Macie Classic, que está truncado.

{ "version": "0", "id": "3e355723-fca9-4de3-9fd7-154c289d6b59", "detail-type": "Macie Alert", "source": "aws.macie", "account": "123456789012", "time": "2017-04-24T22:28:49Z", "region": "us-east-1", "resources": [ "arn:aws:macie:us-east-1:123456789012:trigger/trigger_id/alert/alert_id", "arn:aws:macie:us-east-1:123456789012:trigger/trigger_id" ], "detail": { "notification-type": "ALERT_CREATED", "name": "Scanning bucket policies", "tags": [ "Custom_Alert", "Insider" ], "url": "https://lb00.us-east-1.macie.aws.amazon.com/111122223333/posts/alert_id", "alert-arn": "arn:aws:macie:us-east-1:123456789012:trigger/trigger_id/alert/alert_", "risk-score": 80, "trigger": { "rule-arn": "arn:aws:macie:us-east-1:123456789012:trigger/trigger_id", "alert-type": "basic", "created-at": "2017-01-02 19:54:00.644000", "description": "Alerting on failed enumeration of large number of bucket policie "risk": 8 },"created-at": "2017-04-18T00:21:12.059000",...

El siguiente patrón de eventos coincide con cualquier evento que tenga una puntuación de riesgo de 80 yun riesgo de desencadenador de 8.

{ "source": ["aws.macie"], "detail-type": ["Macie Alert"], "detail": { "risk-score": [80], "trigger": { "risk": [8] } }}

19

Amazon EventBridge Guía del usuarioValores nulos y cadenas vacías

Coincidencia de valores nulos y cadenas vacías enpatrones de eventos de Amazon EventBridgePuede crear unapattern de eventos (p. 17)que coincide con un campo en unevent (p. 15)Que tenga unvalor nulo o sea una cadena vacía. Considere el siguiente evento de de ejemplo.

{ "version": "0", "id": "3e3c153a-8339-4e30-8c35-687ebef853fe", "detail-type": "EC2 Instance Launch Successful", "source": "aws.autoscaling", "account": "123456789012", "time": "2015-11-11T21:31:47Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "", "responseElements": null }}

Para hacer coincidir los eventos donde el valor deeventVersionEs una cadena vacía, utilice el siguientepatrón de eventos, que coincide con el evento anterior.

{ "detail": { "eventVersion": [""] }}

Para hacer coincidir los eventos donde el valor deresponseElementses nulo, utilice el siguiente patrónde eventos, que coincide con el evento anterior.

{ "detail": { "responseElements": [null] }}

Note

Los valores nulos y las cadenas vacías no son intercambiables en coincidencia de patrones. Unpatrón de evento que coincide con cadenas vacías no coincide con los valores denull.

20

Amazon EventBridge Guía del usuarioMatrices

Arreglos en patrones de eventos de AmazonEventBridgeEl valor de cada campo en unpattern de eventos (p. 17)Es una gama que contiene uno o varios valores. Unpatrón de evento coincide con elevent (p. 15)Si alguno de los valores de la matriz coincide con el valor enel evento. Si el valor del evento es una matriz, entonces el patrón del evento coincide si la intersección dela matriz del patrón de eventos y la matriz de eventos no está vacía.

Por ejemplo, considere un patrón de eventos que incluya el siguiente campo.

"resources": [ "arn:aws:ec2:us-east-1:123456789012:instance/i-b188560f", "arn:aws:ec2:us-east-1:111122223333:instance/i-b188560f", "arn:aws:ec2:us-east-1:444455556666:instance/i-b188560f",]

El patrón de eventos anterior coincide con un evento que incluye el siguiente campo, porque el primerelemento de la matriz del patrón de eventos coincide con el segundo elemento de la matriz de eventos.

"resources": [ "arn:aws:autoscaling:us-east-1:123456789012:autoScalingGroup:eb56d16b-bbf0-401d-b893-d5978ed4a025:autoScalingGroupName/ASGTerminate", "arn:aws:ec2:us-east-1:123456789012:instance/i-b188560f" ]

21

Amazon EventBridge Guía del usuarioFiltrar en función del contenido

Filtrado de contenido en patrones de eventos deAmazon EventBridgeAmazon EventBridge admite el filtrado de contenido declarativo mediantepatrones de eventos (p. 17). Conel filtrado de contenido, puede crear patrones de eventos complejos que coincidan solo con eventos encondiciones muy específicas. Por ejemplo, puede crear un patrón de evento que coincida con un eventocuando un campo deevent (p. 15)Está dentro de un intervalo numérico específico, si el evento proviene deuna dirección IP específica o solo si un campo específico no existe en el JSON del evento.

Tipos de filtros• Coincidencia de prefijo (p. 22)• Coincidencia "anything-but" (p. 22)• Coincidencia numérica (p. 23)• coincidencia de direcciones IP (p. 23)• Coincidencia Exists (p. 23)• Ejemplo complejo con múltiples coincidencias (p. 24)

Coincidencia de prefijoPuede buscar coincidencias de un evento en función del prefijo de un valor en el origen del evento. Puedeusar coincidencia de prefijos para valores de cadena.

Por ejemplo, el siguiente patrón de eventos coincidiría con cualquier evento en el que el"time"comenzócon"2017-10-02"tales como"time": "2017-10-02T18:43:48Z".

{ "time": [ { "prefix": "2017-10-02" } ],}

Coincidencia "anything-but"Cualquiera -butcoincide con cualquier cosa excepto lo que se proporciona en la regla.

Puede utilizar cualquier coincidencia, excepto coincidencia con cadenas y valores numéricos, incluidaslistas que contienen solo cadenas o solo números.

El siguiente patrón de eventos muestra cualquier cosa, excepto la coincidencia con cadenas y números.

{ "detail": { "state": [ { "anything-but": "initializing" } ] }}

{ "detail": { "x-limit": [ { "anything-but": 123 } ] }}

El siguiente patrón de eventos muestra cualquier cosa que no coincida con una lista de cadenas.

{

22


"detail": { "state": [ { "anything-but": [ "stopped", "overloaded" ] } ] }}

El siguiente patrón de eventos muestra cualquier cosa que no coincida con una lista de números.

{ "detail": { "x-limit": [ { "anything-but": [ 100, 200, 300 ] } ] }}

El siguiente patrón de eventos muestra cualquier cosa que no coincida con cualquier evento que no tengael prefijo"init"en la"state".

{ "detail": { "state": [ { "anything-but": { "prefix": "init" } } ] }}

Coincidencia numéricaLa coincidencia numérica funciona con valores que son números JSON. Está limitada a valores entre-1.0e9 y +1.0e9 inclusive, con 15 dígitos de precisión o seis dígitos a la derecha del punto decimal.

A continuación, se muestra la coincidencia numérica para un patrón de eventos que coincide solo con loseventos que son verdaderos para todos los campos.

{ "detail": { "c-count": [ { "numeric": [ ">", 0, "<=", 5 ] } ], "d-count": [ { "numeric": [ "<", 10 ] } ], "x-limit": [ { "numeric": [ "=", 3.018e2 ] } ] }}

coincidencia de direcciones IPPuede utilizar la coincidencia de direcciones IP para direcciones IPv4 e IPv6. El siguiente patrón deeventos muestra la coincidencia de direcciones IP con direcciones IP que comienzan con 10.0.0 y terminancon un número entre 0 y 24.

{ "detail": { "sourceIPAddress": [ { "cidr": "10.0.0.0/24" } ] }}

Coincidencia ExistsCoincidencia ExistsFunciona sobre la presencia o ausencia de un campo en el JSON del evento.

La coincidencia Exists solo funciona en nodos secundarios. No funciona en nodos intermedios.

El siguiente patrón de eventos coincide con cualquier evento que no tenga undetail.c-count.

23


{ "detail": { "c-count": [ { "exists": false } ] }}

El patrón de eventos anterior coincide con el siguiente evento.

{ "detail-type": [ "EC2 Instance State-change Notification" ], "resources": [ "arn:aws:ec2:us-east-1:123456789012:instance/i-02ebd4584a2ebd341" ], "detail": { "state": [ "initializing", "running" ] }}

El patrón de evento anterior NO coincide con el evento siguiente porque tiene undetail.c-count.

{ "detail-type": [ "EC2 Instance State-change Notification" ], "resources": [ "arn:aws:ec2:us-east-1:123456789012:instance/i-02ebd4584a2ebd341" ], "detail": { "state": [ "initializing", "running" ] "c-count" : { "c1" : 100 } }}

Ejemplo complejo con múltiples coincidenciasPuede combinar varias reglas de coincidencia en un patrón de eventos más complejo. Por ejemplo, elsiguiente patrón de eventos combinaanything-butynumeric.

{ "time": [ { "prefix": "2017-10-02" } ], "detail": { "state": [ { "anything-but": "initializing" } ], "c-count": [ { "numeric": [ ">", 0, "<=", 5 ] } ], "d-count": [ { "numeric": [ "<", 10 ] } ], "x-limit": [ { "anything-but": [ 100, 200, 300 ] } ] }}

24

Amazon EventBridge Guía del usuarioAgregar eventos con PutEvents

Agregar eventos de Amazon EventBridgeconPutEvents

LaPutEventsla acción envía variosEventos de (p. 15)A EventBridge en una única solicitud. Para obtenermás información, consultePutEventsen laReferencia de API de Amazon EventBridgeyput-eventsen laAWSCLIReferencia de los comandos de la.

Cada solicitud PutEvents puede admitir un número limitado de entradas. Para obtener más información,consulte Cuotas de Amazon EventBridge (p. 186). La operación PutEvents intenta procesar todas lasentradas en el orden natural de la solicitud. Después de llamarPutEvents, EventBridge asigna a cadaevento un identificador único.

Temas• Manejo de errores conPutEvents (p. 26)• Envío de eventos mediante elAWS CLI (p. 27)• Cálculo del tamaño de la entrada de PutEvents de Amazon EventBridge (p. 29)

El siguiente ejemplo de código Java envía dos eventos idénticos a EventBridge.

AWS SDK for Java Version 2.x

EventBridgeClient eventBridgeClient = EventBridgeClient.builder().build();

PutEventsRequestEntry requestEntry = PutEventsRequestEntry.builder() .resources("resource1", "resource2") .source("com.mycompany.myapp") .detailType("myDetailType") .detail("{ \"key1\": \"value1\", \"key2\": \"value2\" }") .build();

List <PutEventsRequestEntry > requestEntries = new ArrayList <PutEventsRequestEntry > ();requestEntries.add(requestEntry);

PutEventsRequest eventsRequest = PutEventsRequest.builder() .entries(requestEntries) .build();

PutEventsResponse result = eventBridgeClient.putEvents(eventsRequest);

for (PutEventsResultEntry resultEntry: result.entries()) { if (resultEntry.eventId() != null) { System.out.println("Event Id: " + resultEntry.eventId()); } else { System.out.println("PutEvents failed with Error Code: " + resultEntry.errorCode()); }}

AWS SDK for Java Version 1.0

EventBridgeClient eventBridgeClient = EventBridgeClient.builder().build();

25

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutEvents.html

https://docs.aws.amazon.com/cli/latest/reference/events/put-events.html

Amazon EventBridge Guía del usuarioManejo de errores conPutEvents

PutEventsRequestEntry requestEntry = new PutEventsRequestEntry() .withTime(new Date()) .withSource("com.mycompany.myapp") .withDetailType("myDetailType") .withResources("resource1", "resource2") .withDetail("{ \"key1\": \"value1\", \"key2\": \"value2\" }");

PutEventsRequest request = new PutEventsRequest() .withEntries(requestEntry, requestEntry);

PutEventsResult result = awsEventsClient.putEvents(request);

for (PutEventsResultEntry resultEntry : result.getEntries()) { if (resultEntry.getEventId() != null) { System.out.println("Event Id: " + resultEntry.getEventId()); } else { System.out.println("Injection failed with Error Code: " + resultEntry.getErrorCode()); }}

Después de ejecutar este código, elPutEventsEl resultado incluye una gama de entradas de respuesta.Cada entrada en la matriz de respuestas corresponde a una entrada en la matriz de solicitudes en ordendesde el principio hasta el final de la solicitud y la respuesta. La matriz de respuesta Entries siempreincluye el mismo número de entradas que la matriz de solicitud.

Manejo de errores conPutEventsDe forma predeterminada, si falla una entrada individual dentro de una solicitud, EventBridge continúaprocesando el resto de las entradas de la solicitud. Una respuestaEntriespuede incluir entradas exitosasy fallidas. Debe detectar las entradas fallidas e incluirlas en una llamada siguiente.

Las entradas de resultados correctas incluyen unIdLas entradas con resultado incorrectoincluyenErrorCodeyErrorMessageValores válidos.ErrorCodeEn describe el tipo deerror.ErrorMessageproporciona más información sobre el error. El siguiente ejemplo tiene tres entradasde resultados para unPutEventsrequest. La segunda entrada no se realiza correctamente.

{ "FailedEntryCount": 1, "Entries": [ { "EventId": "11710aed-b79e-4468-a20b-bb3c0c3b4860" }, { "ErrorCode": "InternalFailure", "ErrorMessage": "Internal Service Failure" }, { "EventId": "d804d26a-88db-4b66-9eaf-9a11c708ae82" } ]}

Puede incluir entradas que no se hayan realizado correctamente enPutEventssolicitudes. Primero,para averiguar si hay entradas fallidas en la solicitud, marque la casillaFailedRecordCountparámetroenPutEventsResult. Si no es cero, puede agregar cadaEntryque tiene unErrorCodeque no es nulopara una solicitud posterior. En el siguiente ejemplo se muestra un controlador de errores.

PutEventsRequestEntry requestEntry = new PutEventsRequestEntry() .withTime(new Date())

26

Amazon EventBridge Guía del usuarioEnvío de eventos mediante elAWS CLI

.withSource("com.mycompany.myapp") .withDetailType("myDetailType") .withResources("resource1", "resource2") .withDetail("{ \"key1\": \"value1\", \"key2\": \"value2\" }");

List<PutEventsRequestEntry> putEventsRequestEntryList = new ArrayList<>();for (int i = 0; i < 3; i++) { putEventsRequestEntryList.add(requestEntry);}

PutEventsRequest putEventsRequest = new PutEventsRequest();putEventsRequest.withEntries(putEventsRequestEntryList);PutEventsResult putEventsResult = awsEventsClient.putEvents(putEventsRequest);

while (putEventsResult.getFailedEntryCount() > 0) { final List<PutEventsRequestEntry> failedEntriesList = new ArrayList<>(); final List<PutEventsResultEntry> PutEventsResultEntryList = putEventsResult.getEntries(); for (int i = 0; i < PutEventsResultEntryList.size(); i++) { final PutEventsRequestEntry putEventsRequestEntry = putEventsRequestEntryList.get(i); final PutEventsResultEntry putEventsResultEntry = PutEventsResultEntryList.get(i); if (putEventsResultEntry.getErrorCode() != null) { failedEntriesList.add(putEventsRequestEntry); } } putEventsRequestEntryList = failedEntriesList; putEventsRequest.setEntries(putEventsRequestEntryList); putEventsResult = awsEventsClient.putEvents(putEventsRequest); }

Envío de eventos mediante elAWS CLIPuede utilizar elAWS CLIPara enviar eventos personalizados a EventBridge para que puedan procesarse.El siguiente ejemplo pone un evento personalizado en EventBridge:

aws events put-events \--entries '[{"Time": "2016-01-14T01:02:03Z", "Source": "com.mycompany.myapp", "Resources": ["resource1", "resource2"], "DetailType": "myDetailType", "Detail": "{ \"key1\": \"value1\", \"key2\": \"value2\" }"}]'

También puede crear un archivo JSON que contenga eventos personalizados.

[ { "Time": "2016-01-14T01:02:03Z", "Source": "com.mycompany.myapp", "Resources": [ "resource1", "resource2" ], "DetailType": "myDetailType", "Detail": "{ \"key1\": \"value1\", \"key2\": \"value2\" }" }]

A continuación, para utilizar el comandoAWS CLIPara leer las entradas procedentes de este archivo yenviar eventos, en un símbolo del sistema, escriba:

aws events put-events --entries file://entries.json

27

Amazon EventBridge Guía del usuarioEnvío de eventos mediante elAWS CLI

28

Amazon EventBridge Guía del usuarioCalcular tamaños de entrada de eventos PutEvent

Cálculo del tamaño de la entrada de PutEvents deAmazon EventBridgePuede enviar personalizadosEventos de (p. 15)a EventBridge mediante el métodoPutEventsaction.Puede incluir en un lote varios eventos en una única solicitud para mayor eficacia. El tamaño total de laentrada debe ser inferior a 256 KB. Puede calcular el tamaño de entrada antes de enviar los eventos.

Note

El límite de tamaño se impone en laEntrada. Aunque la entrada tenga un tamaño inferior al límite,laeventEn EventBridge es siempre mayor que el tamaño de la entrada debido a los caracteresnecesarios y las claves de la representación JSON del evento. Para obtener más información,consulte Eventos de Amazon EventBridge (p. 15).

EventBridge calcula el valorPutEventsRequestEntrytamaño de la siguiente manera:

• Si se especifica, el parámetroTimees de 14 bytes.• LaSourceyDetailTypeLos parámetros son el número de bytes para sus formatos cifrados con UTF-8.• Si se especifica, el parámetroDetailparámetro es el número de bytes para su formato cifrado con

UTF-8.• Si se especifica, cada entrada de la propiedadResourcesEl parámetro es el número de bytes para sus

formatos cifrados con UTF-8.

El siguiente ejemplo de código Java calcula el tamaño de unPutEventsRequestEntryUn objeto.

int getSize(PutEventsRequestEntry entry) { int size = 0; if (entry.getTime() != null) { size += 14; } size += entry.getSource().getBytes(StandardCharsets.UTF_8).length; size += entry.getDetailType().getBytes(StandardCharsets.UTF_8).length; if (entry.getDetail() != null) { size += entry.getDetail().getBytes(StandardCharsets.UTF_8).length; } if (entry.getResources() != null) { for (String resource : entry.getResources()) { if (resource != null) { size += resource.getBytes(StandardCharsets.UTF_8).length; } } } return size;}

Note

Si el tamaño de entrada es mayor que 256 KB, se recomienda colocar el evento en un objeto deAmazon S3 e incluir un vínculo a ese objeto en el cuadroPutEventsEntrada.

29


Reglas de Amazon EventBridgeUna regla coincide con la entradaEventos de (p. 15)y los envía adestinos (p. 42)Para procesar. Unaregla única pueden enviar un evento a varios destinos, que luego se ejecutan en paralelo. Las reglas sebasan en unPatrón eventos (p. 17)O un programa. UnaPatrón eventosdefine la estructura de eventos y loscampos con los que coincide una regla. Las reglas que se basan en una programación realizan una accióna intervalos regulares.

AWSpueden crear y administrar reglas de EventBridge en suAWSCuenta de que se necesitan paradeterminadas funciones en dichos servicios. Se denominan reglas administradas.

Cuando un servicio crea una regla administrada, también puede crear unPolítica de IAM (p. 134)queconcede permiso a ese servicio para crear la regla. Las políticas de IAM creadas de esta manera seasignan de forma reducida con permisos de nivel de recursos para permitir la creación solo de las reglasnecesarias.

Puede eliminar reglas administradas mediante el comandoForzar eliminación, pero solo debe eliminarlos siestá seguro de que el otro servicio ya no necesita la regla. De lo contrario, eliminar una regla administradahace que las características que dependen de él dejen de funcionar.

Temas• Creación de reglas de Amazon EventBridge que reaccionen a eventos (p. 31)• Creación de una regla de Amazon EventBridge que se ejecute según una programación (p. 33)• Deshabilitar o eliminar una regla de Amazon EventBridge (p. 38)• Política de reintentos de eventos y uso de colas de mensajes fallidos (p. 39)

30

Amazon EventBridge Guía del usuarioCrear una regla que se ejecute cuando se reciben eventos

Creación de reglas de Amazon EventBridge quereaccionen a eventos

Para crear unRegla de (p. 30): paraEventos de (p. 15), especifique una acción que se debe realizar cuandoEventBridge reciba un evento que coincida con elUn patrón de eventos (p. 17)En la regla. Cuando unevento coincide, EventBridge envía el evento a latarget (p. 42)y desencadena la acción definida en laregla.

Para crear una regla que reaccione a eventos



5. En Define pattern (Definir patrón), elija Event pattern (Patrón de evento).6. Elija Pre-defined pattern by service (Patrón predefinido por servicio).7. En Service provider (Proveedor de servicios), elija AWS.8. En Service name (Nombre del servicio), elija el nombre del servicio que emite el evento.9. En Event type (Tipo de evento), elija All Events (Todos los eventos) o elija el tipo de evento que desea

utilizar para esta regla. Si elige All Events (Todos los eventos), todos los eventos emitidos por esteservicio de AWS coincidirán con la regla.

Para personalizar el patrón de eventos, elijaEditarRealice sus cambios y, a continuación, elijaSave(Guardar).

10. En Select event bus (Seleccionar bus de eventos), elija el bus de eventos que desea asociar a estaregla. Si desea que esta regla coincida con eventos procedentes de su cuenta de, seleccione AWSBusde eventos predeterminado. Cuando un servicio de AWS en su cuenta emite un evento, siempre va albus de eventos predeterminado de su cuenta.

11. ParaSeleccionar objetivos, elija la opciónAWSSi desea actuar cuando EventBridge detecte un eventodel tipo seleccionado.

12. Los campos mostrados varían en función del servicio de que elija. Introduzca la información específicade este tipo de destino según sea necesario.

13. En muchos tipos de destino, EventBridge necesita permisos para enviar eventos al destino. En estoscasos, EventBridge puede crear el rol de IAM necesario para que se ejecute la regla.

• Para crear una función de IAM automáticamente, elijaCrear un nuevo rol para este recursoespecífico

• Para usar una función de IAM que creó anteriormente, elijaUtilizar función existente14. ParaReintentar la cola de mensajes fallidos:EnReintento de la política:

a. ParaEdad máxima del evento, introduzca un valor entre un minuto (00:01) y 24 horas (24:00).b. ParaIntentos de reintentoEscriba un número entre 0 y 185.

15. ParaCola de mensajes fallidosElija si desea utilizar una cola estándar de Amazon SQS como una colade mensajes fallidos. EventBridge envía eventos que coinciden con esta regla a la cola de mensajesmuertos si no se entregan correctamente al destino. Aplique alguna de las siguientes acciones:• SeleccionarNone (Ninguno)Para no usar una cola de mensajes fallidos.• SeleccionarSeleccione una cola de Amazon SQS en elAWSPara usar como cola de mensajes

fallidosEn la lista desplegable, seleccione la cola de que va a usar.

31


Amazon EventBridge Guía del usuarioCrear una regla que se ejecute cuando se reciben eventos

• SeleccionarSeleccione una cola de Amazon SQS en otraAWSUna cola de mensajes fallidosY, acontinuación, introduzca el ARN de la cola de que va a usar. Debe adjuntar una directiva basadaen recursos a la cola que otorgue permiso a EventBridge para enviarle mensajes. Para obtenermás información, consulte Concesión de permisos a la cola de mensajes fallidos (p. 40).



32

Amazon EventBridge Guía del usuarioCrear una regla que se ejecute según una programación

Creación de una regla de Amazon EventBridge quese ejecute según una programación

ARegla de (p. 30)puede ejecutarse en respuesta a unevent (p. 15)o en intervalos de tiempo determinados.Por ejemplo, para ejecutar periódicamente unAWS Lambda, puede crear una regla para ejecutar segúnuna programación. Puede crear reglas que se ejecuten en función de una programación medianteexpresiones Cron o rate. Todos los eventos programados utilizan la zona horaria UTC+0, y la precisiónmínima es de un minuto. Su regla programada se ejecuta dentro de ese minuto, pero no en el segundo 0preciso.

EventBridge admite expresiones cron y expresiones rate. Las expresiones rate son más fáciles de definiry expresiones Cron ofrecen un control detallado de programación. Por ejemplo, con una expresión Cron,puede definir una regla que se ejecute a una hora especificada en un determinado día de cada semana omes. Por el contrario, las expresiones rate ejecutan una regla a una frecuencia periódica, como una vezcada hora o una vez cada día.

Note

EventBridge no proporciona precisión de segundo nivel en expresiones de programación. Lamejor resolución al utilizar una expresión Cron es un minuto. Debido a la naturaleza distribuida delos servicios de destino y del EventBridge, puede haber un retraso de varios segundos entre elmomento en que la regla programada se activa y el momento en que el servicio de destino ejecutael recurso de destino.

Formatos• Expresiones Cron (p. 33)• Expresiones de frecuencia (p. 36)• Crear regla (p. 36)

Expresiones CronLas expresiones Cron tienen seis campos obligatorios, que están separados por un espacio en blanco.

Sintaxis

cron(fields)

Campo Valores Caracteres comodín

Minutes 0-59 , - * /

Hours 0-23 , - * /

Day-of-month 1-31 , - * ? / L W

Month 1-12 o JAN-DEC , - * /

Day-of-week 1-7 o SUN-SAT , - * ? #

Year 1970-2199 , - * /

33

Amazon EventBridge Guía del usuarioExpresiones Cron

Wildcards

• El carácter comodín , (coma) incluye valores adicionales. En el campo Mes, JAN, FEB, MAR incluyeenero, febrero y marzo.

• El - (guion) especifica intervalos. En el campo Day, 1-15 incluye los días del 1 al 15 del mesespecificado.

• El * (asterisco) incluye todos los valores del campo. En el campo Horas,*Incluye cada hora. No puedeusar*En los campos Day-of-month y Day-of-week. Si lo utiliza en uno, debe utilizar ? en el otro.

• La/El comodín (barra inclinada) especifica incrementos. En el campo Minutes, puede escribir 1/10 paraespecificar cada décimo minuto, empezando desde el primer minuto de la hora (por ejemplo, los minutos11, 21 y 31, etc.).

• La?El comodín (signo de interrogación) especifica cualquier. En el campo Day-of-month puedeintroducir7y si cualquier día de la semana era aceptable, puede ingresar?en el campo Day-of-week.

• El comodín L en los campos Day-of-month o Day-of-week especifica el último día del mes o de lasemana.

• El comodín W en el campo Day-of-month especifica un día de la semana. En el campo Day-of-month (Díadel mes), 3W especifica el día de la semana más cercano al tercer día del mes.

• El comodín # en el campo Day-of-week especifica una instancia concreta del día de la semana de unmes. Por ejemplo, 3#2 sería el segundo martes del mes: el número 3 hace referencia al martes, ya quees el tercer día de la semana en el calendario anglosajón, mientras que 2 hace referencia al segundo díade ese tipo dentro de un mes.

Note

Si utiliza un carácter '#', sólo puede definir una expresión en el campo día de la semana. Porejemplo,"3#1,6#3"no es válido porque se interpreta como dos expresiones.

Limitations

• No se pueden especificar los campos Day-of-month y Day-of-week en la misma expresión Cron. Siespecifica un valor o un * (asterisco) en uno de los campos, debe utilizar un?(signo de interrogación) enel otro.

• No se admiten las expresiones Cron que conducen a frecuencias superiores a 1 minuto.

Examples

Puede utilizar las siguientes cadenas cron de ejemplo al crear una regla con programa.

Minutos Hours Día del mes Month Día de lasemana

Year Significado

0 10 * * ? * Ejecutar alas 10.00h (UTC+0)todos losdías

15 12 * * ? * Ejecutar alas 12.15h (UTC+0)todos losdías

0 18 ? * MON-FRI * Ejecutar alas 18:00

34

Amazon EventBridge Guía del usuarioExpresiones Cron

Minutos Hours Día del mes Month Día de lasemana

Year Significado

(UTC+0)de lunes aviernes

0 8 1 * ? * Ejecutara las 8:00(UTC+0)cada primerdía del mes

0/15 * * * ? * Ejecutarcada 15minutos

0/10 * ? * MON-FRI * Ejecutarcada 10minutosde lunes aviernes

0/5 8-17 ? * MON-FRI * Ejecutarcada 5minutosde lunes aviernes entrelas 8.00 ylas 17.55 h(UTC+0)

0/30 20-2 ? * MON-FRI * Corre cada30 minutosde lunesa viernesentre las10:00pm deldía de iniciohasta las2:00am deldía siguiente(UTC)

En el siguiente ejemplo crea una regla que se ejecuta cada día a las 12.00 UTC+0.

aws events put-rule --schedule-expression "cron(0 12 * * ? *)" --name MyRule1

En el siguiente ejemplo crea una regla que se ejecuta cada día, a las 2:05 y 2:35 UTC+0.

aws events put-rule --schedule-expression "cron(5,35 14 * * ? *)" --name MyRule2

En el siguiente ejemplo crea una regla que se ejecuta a las 10.15 UTC+0 del último viernes de cada mesentre los años 2019 y 2022.

35

Amazon EventBridge Guía del usuarioExpresiones de frecuencia

aws events put-rule --schedule-expression "cron(15 10 ? * 6L 2019-2022)" --name MyRule3

Expresiones de frecuenciaAExpresiones rateSe inicia al crear la regla de evento programado y, a continuación, se ejecuta en funciónde una programación definida.

Las expresiones rate tienen dos campos obligatorios separados por un espacio en blanco.

Sintaxis

rate(value unit)

value

Un número positivo.unidad

La unidad de tiempo. Se requieren diferentes unidades para valores de 1, como minute, y valoressuperiores a 1, como minutes.

Valores válidos: minuto | minutos | hora | horas | día | días

Limitations

Si el valor es igual a 1, entonces la unidad debe ser singular. Si el valor es mayor que 1, la unidad debeser plural. Por ejemplo, las frecuencias rate (1 hours) y rate) no son válidas, pero rate (1 hour) y rate) sonválidas.

Examples

En los siguientes ejemplos se muestra cómo utilizar expresiones rate con elAWS CLI put-rule. El primerejemplo activa la regla cada minuto, el segundo ejemplo la activa cada cinco minutos, el siguiente la activauna vez cada hora y el tercero la activa una vez al día.

aws events put-rule --schedule-expression "rate(1 minute)" --name MyRule2

aws events put-rule --schedule-expression "rate(5 minutes)" --name MyRule3

aws events put-rule --schedule-expression "rate(1 hour)" --name MyRule4

aws events put-rule --schedule-expression "rate(1 day)" --name MyRule5

Crear reglaLos siguientes pasos le guiarán por cómo crear una regla de EventBridge que se active en función de unaprogramación periódica.

Note

Solo puede crear reglas programadas utilizando el bus de eventos predeterminado.

36


Para crear una regla de que se ejecute en función de una programación periódica



5. En Define pattern (Definir patrón), elija Schedule (Programar).6. Seleccione Fixed rate of (Tasa fija de) y especifique la frecuencia con la que se va a ejecutar la tarea o

seleccione Cron expression (Expresión Cron) y especifique una expresión Cron que determine cuándodebe activarse la tarea.

7. En Select event bus (Seleccionar bus de eventos), elija AWS default event bus (Bus de eventospredeterminado). Solo puede crear reglas programadas en el bus de eventos predeterminado.

8. En Select targets (Seleccionar destinos), elija el servicio de AWS que va a actuar según laprogramación especificada.

9. En el resto de los campos de esta sección, especifique los datos concretos de este tipo de destino, sies necesario.

10. Para muchos tipos de destino, EventBridge necesita permiso para enviar eventos al destino. En estoscasos, EventBridge puede crear el rol de IAM necesario para que se ejecute la regla. Aplica alguna deestas cosas:

• Para crear un rol de IAM automáticamente, elijaCree un nuevo rol para este recurso específico• Para utilizar un rol de IAM que haya creado antes, elijaUsar rol existente

11. ParaReintentar la cola de directivas y mensajes fallidos:, enReintento de la política:

a. ParaEdad máxima del evento, introduzca un valor entre 1 minuto (00:01) y 24 horas (24:00).b. ParaIntentos de reintento, introduzca un número entre 0 y 185.

12. ParaCola de mensajes fallidos, elija si desea utilizar una cola de Amazon SQS estándar como unacola de mensajes fallidos. EventBridge envía eventos que coincidan con esta regla a la cola demensajes muertos si no puede entregarlos al destino. Aplique alguna de las siguientes acciones:• SeleccionarNone (Ninguno)Para no utilizar una cola de mensajes fallidos.• SeleccionarSeleccione una cola de Amazon SQS en elAWSPara usar como cola de mensajes

fallidosy, a continuación, seleccione la cola que desee utilizar en la lista desplegable.• SeleccionarSeleccione una cola de Amazon SQS en otroAWSCola de mensajes fallidosy, a

continuación, introduzca el ARN de la cola a utilizar. Debe adjuntar una directiva basada enrecursos a la cola que otorgue permiso a EventBridge para enviarle mensajes. Para obtener másinformación, consulte Concesión de permisos a la cola de mensajes fallidos (p. 40).



37


Amazon EventBridge Guía del usuarioDeshabilitación o eliminación de una regla

Deshabilitar o eliminar una regla de AmazonEventBridge

Para detener unaRegla de (p. 30)desde el procesamientoEventos de (p. 15)o ejecutándose según unaprogramación, puede eliminar o deshabilitar la regla. Los siguientes pasos le guían por el proceso deeliminación o deshabilitación de una regla de EventBridge.

Para eliminar o desactivar una regla

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccione Rules (Reglas).

En Event bus (Bus de eventos), seleccione el bus de eventos asociado a la regla.3. Aplique alguna de las siguientes acciones:

a. Para eliminar una regla, seleccione el botón que aparece junto a la regla y elija Actions, Delete,Delete.

Si la regla es una regla administrada, escriba el nombre de la regla para confirmar que se tratade una regla administrada y que la eliminación puede detener la funcionalidad en el servicio queha creado la regla. Para continuar, introduzca el nombre de la regla y elija Force delete (Forzareliminación).

b. Para desactivar temporalmente una regla, seleccione el botón que aparece junto a la regla y elijaDisable (Deshabilitar), Disable (Deshabilitar).

No puede deshabilitar una regla administrada.

38


Amazon EventBridge Guía del usuarioUso de colas de mensajes fallidos

Política de reintentos de eventos y uso de colas demensajes fallidos

A veces unaevent (p. 15)no se entrega correctamente a latarget (p. 42)especificada en unaReglade (p. 30). Esto puede ocurrir cuando, por ejemplo, el recurso de destino no está disponible, cuandoEventBridge carece de permiso para el recurso de destino o debido a condiciones de red. Cuandoun evento no se entrega correctamente a un destino, EventBridge vuelve a intentar enviar el evento.Establece la cantidad de tiempo que intenta y el número de intentos de reintento en elPolítica dereintentospara el destino. De forma predeterminada, EventBridge vuelve a intentar enviar el eventodurante 24 horas y hasta 185 veces con unretroceso exponencial yJitter, o retardo aleatorizado. Si no seentrega un evento después de agotar todos los intentos de reintento, el evento se elimina y EventBridgeno continúa procesándolo. Para evitar la pérdida de eventos después de que no se entregan a un destino,puede configurar una cola de mensajes fallidos (DLQ) y enviarle todos los eventos fallidos para suprocesamiento posterior.

Las DLQs de EventBridge son colas estándar de Amazon SQS que EventBridge utiliza para almacenareventos que no se pudieron entregar correctamente a un destino. Al crear una regla y agregar un destino,puede elegir si desea o no utilizar un DLQ. Cuando configura un DLQ, puede conservar cualquier eventoque no se haya entregado correctamente. A continuación, puede resolver el problema que dio lugar a laentrega de eventos fallida y procesar los eventos en un momento posterior.

Los errores de eventos se manejan de diferentes maneras. Algunos eventos se descartan o se envíana un DLQ sin ningún intento de reintento. Por ejemplo, en el caso de errores que resultan de la falta depermisos para un destino o de un recurso de destino que ya no existe, todos los intentos de reintento fallanhasta que se realice una acción para resolver el problema subyacente. En lugar de volver a intentarlo,EventBridge envía estos eventos directamente al DLQ, si tiene uno.

Cuando se produce un error en la entrega de un evento, EventBridge publica un evento en las métricas deAmazon CloudWatch que indican que un destinoinvocationerror. Si utiliza un DLQ, se envían métricasadicionales a CloudWatch, comoInvocationsSentToDLQyInvocationsFailedToBeSentToDLQ.Para obtener más información acerca de las métricas de EventBridge, consulteSupervisión de AmazonEventBridge (p. 177).

Temas• Consideraciones sobre el uso de una cola de mensajes fallidos (p. 39)• Concesión de permisos a la cola de mensajes fallidos (p. 40)• Cómo reenviar eventos de una cola de mensajes fallidos (p. 40)

Consideraciones sobre el uso de una cola demensajes fallidosTenga en cuenta lo siguiente al configurar un DLQ para EventBridge.

• Solocolas estándarCompatible con. No se puede utilizar una cola FIFO para un DLQ en EventBridge.• EventBridge incluye metadatos de eventos y atributos de mensaje en el mensaje, incluidos: el código de

error, el mensaje de error, la condición de reintento agotado, el ARN de regla, los intentos de reintento yel ARN de destino. Los valores se pueden utilizar para identificar un evento y la causa de la falla.

• Permisos para DLQs de la misma cuenta:• Si agrega un destino a una regla a través de la consola y elige una cola de Amazon SQS en la misma

cuenta, unPolítica basada en recursos (p. 148)que otorga a EventBridge acceso a la cola se adjuntaa la cola por usted.

39

http://aws.amazon.com/blogs/architecture/exponential-backoff-and-jitter/

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/standard-queues.html

Amazon EventBridge Guía del usuarioConcesión de permisos a la cola de mensajes fallidos

• Si usa la herramientaPutTargetsde la API de EventBridge para agregar o actualizar un destinopara una regla, y elige una cola de Amazon SQS en la misma cuenta, debe conceder permisosmanualmente a la cola seleccionada. Para obtener más información, consulte Concesión de permisosa la cola de mensajes fallidos (p. 40).

• Permisos para el uso de colas de Amazon SQS desde unAWSaccount.• Si crea una regla desde la consola, las colas de otras cuentas no se mostrarán para que la seleccione.

Debe proporcionar el ARN para la cola en la otra cuenta y, a continuación, adjuntar manualmente unadirectiva basada en recursos para conceder permiso a la cola. Para obtener más información, consulteConcesión de permisos a la cola de mensajes fallidos (p. 40).

• Si crea una regla mediante la API, debe adjuntar manualmente una política basada en recursosa las colas de SQS en otra cuenta que se utilice como cola de cartas muertas. Para obtener másinformación, consulte Concesión de permisos a la cola de mensajes fallidos (p. 40).

• La cola de Amazon SQS que utiliza debe estar en la misma región en la que crea la regla.

Concesión de permisos a la cola de mensajes fallidosCuando configura un DLQ para un destino de una regla, EventBridge envía los eventos con invocacionesfallidas a la cola de Amazon SQS seleccionada. Para entregar eventos correctamente a la cola,EventBridge debe disponer de permiso para hacerlo. Cuando configura un destino para una regla yselecciona un DLQ mediante la consola de EventBridge, los permisos se agregan automáticamente. Sicrea una regla usando la API o usa una cola que está en unaAWS, debe crear manualmente una directivabasada en recursos que otorgue los permisos necesarios y, a continuación, adjuntarla a la cola.

La siguiente política basada en recursos muestra cómo conceder los permisos necesarios para queEventBridge envíe mensajes de eventos a una cola de Amazon SQS. En el ejemplo de directiva seotorgan permisos al servicio EventBridge para utilizar elSendMessagepara enviar mensajes a una colallamada «MyEventDLQ». La cola debe estar en la región us-west-2 enAWS123456789012 cuenta.LaConditionpermite sólo las solicitudes que provienen de una regla llamada «MyTestRule» que se creaen la región us-west-2 en elAWS123456789012 cuenta.

{ "Sid": "Dead-letter queue permissions", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:us-west-2:123456789012:MyEventDLQ", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:events:us-west-2:123456789012:rule/MyTestRule" } }}

Para adjuntar la política a la cola, utilice la consola de Amazon SQS, abra la cola y, a continuación, elijala opciónPolítica de accesoy edite la directiva. También puede utilizar laAWS CLI, para obtener másinformación consultePermisos de Amazon SQS (p. 151).

Cómo reenviar eventos de una cola de mensajesfallidosLos mensajes se pueden sacar de la DLQ se pueden sacar de dos formas:

40

Amazon EventBridge Guía del usuarioCómo reenviar eventos de una cola de mensajes fallidos

• Evite escribir la lógica de consumo de Amazon SQS: configure su DLQ como fuente de eventos en lafunción Lambda para drenar su DLQ.

• Escribir la lógica del consumidor de Amazon SQS: utilice la API de Amazon SQS,AWSSDK, oAWSCLIpara escribir lógica de consumidor personalizada para sondeo, procesamiento y eliminación de losmensajes en el DLQ.

41

Amazon EventBridge Guía del usuarioDestinos disponibles en la consola EventBridge

Objetivos de Amazon EventBridgeAtargetes un recurso o endpoint que EventBridge envía unevent (p. 15)a cuando el evento coincida con elpatrón de evento definido para unRegla de (p. 30). La regla procesa elevent (p. 15)y envía la informaciónpertinente al destino. Para entregar datos de eventos a un destino, EventBridge necesita permiso paraacceder al recurso de destino. Puede definir hasta cinco destinos para cada regla.

Cuando agrega destinos a una regla y esa regla se ejecuta poco después, es posible que no se invoqueninmediatamente los destinos nuevos o actualizados. Espere un breve período de tiempo para que loscambios surtan efecto.

Destinos disponibles en la consola EventBridgePuede configurar los siguientes destinos para eventos en la consola EventBridge:

• Destino de API (p. 45)• API Gateway (p. 53)• AWS Batchcola de trabajos• Grupo Amazon CloudWatch Logs• Proyecto de AWS CodeBuild• AWS CodePipeline• Amazon Elastic Compute Cloud (Amazon EC2)CreateSnapshotLlamada a la API• Amazon EC2RebootInstancesLlamada a la API• Amazon EC2StopInstancesLlamada a la API• Amazon EC2TerminateInstancesLlamada a la API• Tarea de Amazon ECS• Bus de eventos en unAWScuenta oAWSRegión (p. 55)• Transmisión de entrega Firehose (Amazon Kinesis Data Firehose)• Plan de respuesta de InventManager• Plantilla de evaluación del Inspector (Amazon Kinesis Data Streams)• Transmisión de Kinesis (flujos de datos de Kinesis)• AWS LambdaFunción de• Clúster de Amazon Redshift (ejecución de instrucciones API de datos)• Pipeline de SageMaker• Tema de Amazon SNS• Cola de Amazon SQS (incluida una cola FIFO)• Automatización de Amazon EC2 Systems Manager (SSM)• SSM OpsItem• Run Command SSM• AWS Step Functions máquina de estado

Parámetros de destinoEstos objetivos aceptan parámetros.

42

https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-creation.html#incident-tracking-auto-eventbridge

Amazon EventBridge Guía del usuarioPermissions

• Para un destino de flujo de datos de Kinesis, puede especificar a qué fragmento va el evento mediante laherramientaKinesisParametersParámetro de.

• Para invocar comandos en varias instancias de Amazon EC2 con una regla, puede utilizar laherramientaRunCommandParameters.

• Para pasar datos a un punto de enlace de API Gateway, puede utilizar laHttpParameters,incluida la sintaxis de ruta JSON dinámica opcional. CualquieraHttpParametersValor del campo(exceptoHeaderParameters) pueden contener rutas JSON en lugar de valores estáticos (porejemplo$.detail.state). Dichas rutas se reemplazan dinámicamente en tiempo de ejecución condatos de la propia carga del evento en la ruta especificada. La sintaxis admitida para rutas JSON deparámetros dinámicos es la misma que para Target InputTransformers. Para obtener más información,consulte the section called “Transformar la entrada de destino” (p. 60).

• Para transferir datos a un clúster de Amazon Redshift, puede utilizar laherramientaRedshiftDataParameters, incluida la sintaxis de ruta JSON dinámica opcional.

• Para pasar datos a una canalización de SageMaker, puede usar laherramientaSageMakerPipelineParameters, incluida la sintaxis de ruta JSON dinámica opcional.

Input,InputPath, yInputTransformerson los parámetros opcionales y mutuamente excluyentes deun objetivo. Cuando se ejecuta una regla, el comportamiento es el siguiente:

• Si no especifica ningún parámetro para el destino, entonces todo el evento se pasa al destino en formatoJSON. Sin embargo, si el destino es un Amazon EC2Runo una tarea de Amazon ECS, el evento no sepasa al destino.

• Si especificaInputen forma de JSON válido, entonces el evento coincidente se reemplaza con esteJSON.

• Si especificaInputPathen forma de JsonPath, solo la parte del evento que se especifica en la ruta sepasa al destino. Por ejemplo, si especifica$.detail, solo se pasa la parte de detalle del evento.

• Si especificaInputTransformer, uno o más JsonPaths especificados se extraen del evento y seutilizan como valores en una plantilla que especifique como entrada para el destino.

Cuando especifiqueInputPathorInputTransformer, debe usar la notación de puntos JSON, no la decorchete.

PermissionsPara realizar llamadas a la API sobre los recursos que posee, EventBridge necesita permisoadecuado. ParaAWS Lambday recursos de Amazon SNS, EventBridge utilizaPolíticas de basadas enrecursos (p. 148). Para instancias de EC2, flujos de datos Kinesis y máquinas de estado Step Functions,EventBridge utiliza las funciones de IAM que se especifican en laRoleARNparámetro enPutTargets.Puede invocar un extremo REST de API Gateway con autorización de IAM configurada, pero el rol esopcional si no ha configurado la autorización. Para obtener más información, consulte Amazon EventBridgeyAWS Identity and Access Management (p. 134).

Si otra cuenta está en la misma región y le ha concedido permiso, puede enviar eventos a esa cuenta.Para obtener más información, consulte Envío y recepción de eventos de Amazon EventBridgeentreAWScuentas (p. 55).

43

Amazon EventBridge Guía del usuarioConfiguración de destinos

Configuración de destinosObtenga información sobre cómo configurar los valores de los destinos de EventBridge.

Destinos:• Destinos de API (p. 45)• Destinos de Amazon EventBridge para Amazon API Gateway (p. 53)• Envío y recepción de eventos de Amazon EventBridge entreAWScuentas (p. 55)• Envío y recepción de eventos de Amazon EventBridge entreAWSRegiones de (p. 57)• Envío y recepción de eventos de Amazon EventBridge entre buses de eventos en la misma cuenta y

Región (p. 58)

44

Amazon EventBridge Guía del usuarioDestinos de API

Destinos de APIAmazon EventBridgeDestinos de APIson extremos HTTP que puede invocar comotarget (p. 42)de unReglade (p. 30), similar a la forma en que invocas unAWSservicio o recurso como destino. Usando destinosde API, puede enrutarEventos de (p. 15)entreAWSServicios de, aplicaciones de software como servicio(SaaS) y aplicaciones fuera deAWSmediante llamadas a la API de REST. Cuando se especifica un destinode API como destino de una regla, EventBridge invoca el extremo HTTP para cualquier evento quecoincida con elpattern de eventos (p. 17)especificado en la regla y, a continuación, entrega la informacióndel evento con la solicitud. Con EventBridge, puede utilizar cualquier método HTTP excepto CONNECTy TRACE para la solicitud. Los métodos HTTP más comunes a utilizar son PUT y POST. Tambiénpuede utilizar transformadores de entrada para personalizar el evento a los parámetros de un extremoHTTP específico. Para obtener más información, consulte Transformar la entrada de destino de AmazonEventBridge (p. 60).

Important

Las solicitudes de EventBridge a un extremo de destino API deben tener un tiempo de esperamáximo de ejecución de cliente de 5 segundos. Si el extremo de destino tarda más de 5 segundosen responder, EventBridge agota el tiempo de espera de la solicitud. EventBridge reintenta lassolicitudes agotadas hasta los máximos configurados en la política de reintento. Por defecto, losmáximos son 24 horas y 185 veces. Después de la cantidad máxima de reintentos, los eventos seenvían aCola de mensajes fallidos (p. 39)Si tiene uno.De lo contrario, el evento se elimina.

En este tema:• Conexiones para destinos de API (p. 45)• Cree un destino de API (p. 47)• Rol vinculado a un servicio para destinos API (p. 48)• Encabezados incluidos en las solicitudes a destinos de API (p. 48)• Códigos de error de destino API (p. 49)• Cómo afecta la tasa de invocación a la entrega de eventos (p. 49)• Asociados de destino de API (p. 49)

Conexiones para destinos de APICuando se crea un destino API, se especifica una conexión que se va a utilizar para él.AconexiónEspecifica el tipo de autorización y los parámetros que se utilizarán para autorizar con el puntode enlace de destino de la API. Puede elegir una conexión existente de su cuenta o crear una conexióncuando cree un destino API. EventBridge admite la autorización Basic, OAuth y API Key.

Para la autorización de clave básica y API, EventBridge rellena los encabezados de autorizaciónnecesarios para usted. Para la autorización de OAuth, EventBridge también intercambia su ID de cliente ysu secreto por un token de acceso y luego lo administra de forma segura. Al crear una conexión, tambiénpuede incluir los parámetros de encabezado, cuerpo y consulta necesarios para la autorización con unextremo. Puede utilizar la misma conexión para más de un destino API si la autorización para el endpointes la misma.

Cuando crea una conexión y agrega parámetros de autorización, EventBridge crea un secreto enAWSSecrets Manager. El costo de almacenar el secreto de Secrets Manager se incluye con el cargo por usarun destino API. Para obtener más información sobre las prácticas recomendadas para usar secretos condestinos de API, consulteAWS::Events::ApiDestinationen laGuía CloudFormation usuario de.

Note

Para crear o actualizar correctamente una conexión, debe utilizar una cuenta que tengapermiso para utilizar el Secrets Manager. El permiso requerido se incluye en elPolítica de

45

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-events-apidestination.html


AmazonEventBridgeFullAccess (p. 141). El mismo permiso se concede a laRol vinculado alservicio de (p. 48)que se ha creado en tu cuenta para la conexión.

Para crear una conexión

1. Inicie sesión enAWSUtilizando una cuenta que tenga permisos para administrar EventBridge y abrirelConsola EventBridge.

2. En el panel de navegación izquierdo, elijaDestinos de API.3. Desplácese hacia abajo hasta elDestinos de APIA continuación, seleccione la tabla

deConnectionsPestaña.4. Elija Create connection (Crear conexión).5. En la páginaCreación de conexión, introduzca unaConnection name (Nombre de la conexión)Para la

conexión de.6. Escriba unDescripciónPara la conexión de.7. ParaTipo de autorización, seleccione el tipo de autorización que se utilizará para autorizar conexiones

al extremo HTTP especificado para el destino de la API que utiliza esta conexión. Aplique alguna delas siguientes acciones:• SeleccionarBásico (nombre de usuario/contraseña)y, a continuación, ingrese el campoUsername

(Nombre de usuario):yContraseñaPara utilizar para autorizar con el punto de enlace HTTP.• SeleccionarCredenciales de cliente de OAuthy, a continuación, ingrese el campoPunto de enlace

de autorización,Método HTTP,ID de cliente, ySecreto del clientePara utilizar para autorizar con elpunto de enlace.

UNDERParámetros de OAuth Http, agregue cualquier parámetro adicional que se incluya parala autorización con el extremo de autorización. Seleccione unParámetroEn la lista desplegabley, a continuación, escriba unClave deyValor. Para incluir un parámetro adicional, elijaAgregueparámetro.

UNDERInvocación de Parámetros de, agregue los parámetros adicionales que desee incluiren la solicitud de autorización. Para agregar un parámetro, seleccione unaParámetroEn la listadesplegable y, a continuación, escriba unClave deyValor. Para incluir un parámetro adicional,elijaAgregue parámetro.

• SeleccionarClave de APIy, a continuación, ingrese el campoNombre de clave de APIyasociadosValorpara usar para la autorización de la clave API.

UNDERInvocación de Parámetros de, agregue los parámetros adicionales que desee incluiren la solicitud de autorización. Para agregar un parámetro, seleccione unaParámetroEn la listadesplegable y, a continuación, escriba unClave deyValor. Para incluir un parámetro adicional,elijaAgregue parámetro.


Para editar una conexión de

1. Abra el iconoDestinos de APIy, a continuación, elijaConnections.2. En el navegadorConnections, elija la conexión que desea editar.3. En la páginaDetalles de la conexiónPágina, elijaEditar.4. Actualice los valores de la conexión y, a continuación, seleccioneActualización.

Anule la autorización de conexiones

Cuando desautoriza una conexión, elimina todos los parámetros de autorización. La eliminación deparámetros de autorización elimina el secreto de la conexión, por lo que puede reutilizarlo sin tener quecrear una nueva conexión.

46

https://console.aws.amazon.com/events


Note

Debe actualizar todos los destinos de API que utilicen la conexión desautorizada para utilizar unaconexión diferente para enviar solicitudes correctamente al extremo de destino de la API.

Para cancelar la autorización de una conexión

1. En el navegadorConnections, elija la conexión.2. En la páginaDetalles de la conexiónPágina, elijaDesautorizar.3. En el navegador¿Desautorizar la conexión?Escriba el nombre de la conexión y, a continuación,

seleccioneDesautorizar.

El estado de la conexión cambia aDesautorizarHasta que termine el proceso. A continuación, el estadocambia aDesautorizado. Ahora puede editar la conexión para agregar nuevos parámetros de autorización.

Cree un destino de APICada destino API requiere una conexión. AconexiónEspecifica el tipo de autorización y las credencialesque se utilizarán para autorizar con el punto de enlace de destino de la API. Puede elegir una conexiónexistente o crear una conexión al mismo tiempo que crea el destino de la API.

Para crear un destino API

1. Inicie sesión enAWSUtilizando una cuenta que tenga permisos para administrar EventBridge y abrirelConsola EventBridge.

2. En el panel de navegación izquierdo, elijaDestinos de API.3. Desplácese hacia abajo hasta elDestinos de APISeleccione y, a continuación, seleccioneCreación de

destino de API.4. En la páginaCreación de destino de API, introduzca unaNombrepara el destino de la API. Puede

utilizar hasta 64 caracteres en mayúscula o minúscula, números, punto (.), guion (-) o guion bajo (_).

El nombre debe ser exclusivo para su cuenta en la región actual.5. Escriba unDescripciónpara el destino de la API.6. Escriba unPunto de enlace de destino de APIpara el destino de la API. LaPunto de enlace de destino

de APIEs un destino de punto de enlace HTTP para eventos. La información de autorización queincluye en la conexión utilizada para este destino de API se utiliza para autorizar contra este extremo.La dirección URL debe utilizar HTTPS.

7. Escriba elMétodo HTTPPara establecer conexión con elPunto de enlace de destino de API.8. (Opcional) ParaLímite de velocidad de invocación por segundo, ingrese el número máximo de

invocaciones por segundo que se enviarán al punto de enlace de destino de la API.

El límite de velocidad establecido puede afectar a la forma en que EventBridge entrega los eventos.Para obtener más información, consulte Cómo afecta la tasa de invocación a la entrega deeventos (p. 49).

9. ParaConexión aEn, realice una de las siguientes operaciones:• SeleccionarUsar una conexión existenteY, a continuación, seleccione la conexión que se va a

utilizar para este destino de la API.• SeleccionarCrear una conexión de nuevay, a continuación, introduzca los detalles de la conexión

que desea crear. Para obtener más información, consulteConnections (p. 45).10. Seleccione Create (Crear).

Después de crear un destino de API, puede seleccionarlo como destino de unRegla de (p. 30). Parautilizar un destino API, debe proporcionar un rol de IAM con los permisos correctos. Para obtener másinformación, consulte??? (p. 143)

47

https://console.aws.amazon.com/events


Rol vinculado a un servicio para destinos APICuando crea una conexión para un destino de la API, se crea un rol vinculado al serviciodenominadoAWSServiceForAmazonEventBridgeApideSintinationsA la cuenta de. EventBridgeutiliza el rol vinculado al servicio para crear y almacenar un secreto en Secrets Manager. Paraconceder los permisos necesarios a la función vinculada al servicio, EventBridge adjuntaelAmazonEventBridgeApidestinationsServiceReolePolicyPara el rol. La directiva limita los permisosconcedidos sólo a los necesarios para que el rol interactúe con el secreto de la conexión. No se incluyenotros permisos, y el rol solo puede interactuar con las conexiones de su cuenta para administrar el secreto.

La siguiente política es la política de AmazonEventBridgeAPIDEstinationsServiceRolePolicy.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DescribeSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!connection/*" } ]}

Para obtener más información acerca de los roles vinculados a servicios de, consulteUso de rolesvinculados a serviciosen la documentación de IAM.

Encabezados incluidos en las solicitudes a destinos de APIAdemás de los encabezados de autorización definidos para la conexión utilizada para un destino API,EventBridge incluye los siguientes encabezados en cada solicitud.

Clave de encabezado Valor del encabezado

Agente de usuario Amazon/EventBridge/Apidestinations

Content-Type aplicación/json; charset=utf-8

Rango bytes=0-1048575

Accept-Encoding gzip, desinflar

Conexión Close

Longitud del contenido Encabezado de entidad que indica el tamañodel cuerpo de entidad, en bytes, enviado aldestinatario.

Host Encabezado de solicitud que especifica el host yel número de puerto del servidor al que se envía lasolicitud.

48

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html


Códigos de error de destino APICuando EventBridge intenta entregar un evento a un destino API y se produce un error, EventBridge hacelo siguiente:

• Los eventos asociados con los códigos de error 429 y 5xx se vuelven a intentar.• Los eventos asociados con los códigos de error 1xx, 2xx, 3xx y 4xx (excluyendo 429) no se vuelven a

intentar.

Los destinos API de EventBridge leen el encabezado de respuesta HTTPRetry-Afterpara sabercuánto tiempo hay que esperar antes de realizar una solicitud de seguimiento. EventBridge elige el valormás conservador entre la política de reintento definida y laRetry-Aftercabecera. SiRetry-Afteresnegativo, EventBridge detiene el reintento de entrega para ese evento.

Cómo afecta la tasa de invocación a la entrega de eventosSi establece la velocidad de invocación por segundo en un valor mucho menor que el número deinvocaciones generadas, es posible que los eventos no se entreguen dentro del tiempo de reintento de24 horas para los eventos. Por ejemplo, si establece la velocidad de invocación en 10 invocaciones porsegundo, pero se generan miles de eventos por segundo, tendrá rápidamente una acumulación de eventosatrasados que supere las 24 horas. Para asegurarse de que no se pierdan eventos, configure una cola demensajes muertos para enviar eventos con invocaciones fallidas a fin de que pueda procesar los eventosen un momento posterior. Para obtener más información, consulte Política de reintentos de eventos y usode colas de mensajes fallidos (p. 39).

Asociados de destino de APIUtilice la información proporcionada por el siguienteAWSAsociados de negocios para configurar un destinoAPI y una conexión para su servicio o aplicación.

Datadog

URL de extremo de invocación de destino de API

Para obtener una lista completa de puntos de enlace, consulteDatadogReferencia de la API.Tipos de autorización admitidos

Clave de APISe requieren parámetros de autorización adicionales

NingunoDatadog Documentación de

AutenticaciónOperaciones de API de uso común

POST https://api.datadoghq.com/api/v1/events

POST https://http-intake.logs.datadoghq.com/v1/inputInformación adicional

Las direcciones URL de endpoint difieren en función de la ubicación de la organización de Datadog.Para obtener la dirección URL correcta de su organización, consulteDocumentación de.

49

https://docs.datadoghq.com/api/latest/

https://docs.datadoghq.com/api/latest/authentication/

https://docs.datadoghq.com/api/latest/


Freshworks


Para obtener una lista de puntos de enlace, consultehttps://developers.freshworks.com/documentation/Tipos de autorización admitidos

Basic, Clave de APISe requieren parámetros de autorización adicionales

No aplicableFreshworks Documentación de

AutenticaciónOperaciones de API de uso común

https://developers.freshdesk.com/api/#create_ticket

https://developers.freshdesk.com/api/#update_ticket

https://developer.freshsales.io/api/#create_lead

https://developer.freshsales.io/api/#update_leadInformación adicional

Ninguno

MongoDB


https://webhooks.mongodb-realm.com/api/client/v2.0/app/Identificador de aplicación dedominio/service/Nombre del servicio HTTP/incoming_webhook/Nombre del webhook

Tipos de autorización admitidos

Clave de APISe requieren parámetros de autorización adicionales

NingunoMongoDB Documentación de

Clave de API

Proveedores de autenticaciónOperaciones de API de uso común

POST https://webhooks.mongodb-realm.com/api/client/v2.0/app/Identificador de aplicaciónde dominio/service/Nombre del servicio HTTP/incoming_webhook/Nombre del webhook

Información adicional

EventBridgeAtlasmuestra cómo puede usar Realm Webhooks para realizar operaciones CRUD encolecciones en MongoDB Atlas desde endpoints API de EventBridge.

New Relic


Para obtener más información, consulteNuestros centros de datos de la región de la UE y EE.UU..

50

https://developers.freshworks.com/documentation/

https://developers.freshdesk.com/api/#authentication

https://docs.mongodb.com/realm/services/configure/service-webhooks/

https://docs.mongodb.com/realm/authentication/providers/

https://github.com/mongodb-developer/EventbridgeAtlas

https://docs.newrelic.com/docs/using-new-relic/welcome-new-relic/get-started/our-eu-us-region-data-centers/


Eventos

NOSOTRAS...https://insights-collector.newrelic.com/v1/accounts/SU_NEW_RELIC_ACCOUNT_ID/eventos

EU...https://insights-collector.eu01.nr-data.net/v1/accounts/SU_NEW_RELIC_ACCOUNT_ID/eventos

Métricas

NOSOTRAS...https://metric-api.newrelic.com/metric/v1

EU...https://metric-api.eu.newrelic.com/metric/v1

Registros

NOSOTRAS...https://log-api.newrelic.com/log/v1

EU...https://log-api.eu.newrelic.com/log/v1

Rastros

NOSOTRAS...https://trace-api.newrelic.com/trace/v1

EU...https://trace-api.eu.newrelic.com/trace/v1Tipos de autorización admitidos

Clave de APINew Relic Documentación de

Métricas de API

API de eventos

API de registro

Rastreo deOperaciones de API de uso común

Métricas de API

API de eventos

API de registro

Rastreo deInformación adicional

Límites de la API de

Límites de API de eventos

Límites de API de registro

Límites de la API

Salesforce


Para obtener una lista completa de puntos de enlace, consulteSalesforceReferencia de la APITipos de autorización admitidos

Credenciales del cliente de OAuth

51

https://docs.newrelic.com/docs/telemetry-data-platform/ingest-manage-data/ingest-apis/report-metrics-metric-api/

https://docs.newrelic.com/docs/telemetry-data-platform/ingest-manage-data/ingest-apis/introduction-event-api/

https://docs.newrelic.com/docs/logs/log-management/log-api/introduction-log-api/

https://docs.newrelic.com/docs/understand-dependencies/distributed-tracing/trace-api/introduction-trace-api/

https://docs.newrelic.com/docs/telemetry-data-platform/ingest-manage-data/ingest-apis/report-metrics-metric-api/

https://docs.newrelic.com/docs/telemetry-data-platform/ingest-manage-data/ingest-apis/introduction-event-api/

https://docs.newrelic.com/docs/logs/log-management/log-api/introduction-log-api/

https://docs.newrelic.com/docs/understand-dependencies/distributed-tracing/trace-api/introduction-trace-api/

https://docs.newrelic.com/docs/telemetry-data-platform/get-data/apis/metric-api-limits-restricted-attributes/

https://docs.newrelic.com/docs/telemetry-data-platform/ingest-manage-data/ingest-apis/introduction-event-api/#limits

https://docs.newrelic.com/docs/logs/log-management/log-api/introduction-log-api/#limits

https://docs.newrelic.com/docs/understand-dependencies/distributed-tracing/trace-api/trace-api-general-requirements-limits/

https://developer.salesforce.com/docs/atlas.en-us.api_rest.meta/api_rest/resources_list.htm


Se requieren parámetros de autorización adicionales

grant_type

username

passwordSalesforce Documentación de

Guía para desarrolladores de API RESTOperaciones de API de uso común

Trabajos con metadatos de objeto

Uso de registrosInformación adicional

SalesforceAplicación conectadaproporciona el ID de cliente y el secreto de cliente.

El valor grant_type es «password».

Los valores de nombre de usuario y contraseña son deSalesforcecredenciales de usuario.

Splunk


https://SPLUNK_HEC_ENDPOINT:optional_port/servicios/coleccionador/rawTipos de autorización admitidos


NingunoSplunk Documentación de

Para ambos tipos de autorización, necesita un identificador de token HEC. Para obtener másinformación, consulteConfigurar y utilizar HTTP Event Collector enSplunkWeb.

Operaciones de API de uso común

POST https://SPLUNK_HEC_ENDPOINT:optional_port/servicios/coleccionador/rawInformación adicional

Clave API: al configurar el endpoint para EventBridge, el nombre de clave API es «Autorización» y elvalor es el «ID de token Splunk HEC».

Basic (nombre de usuario/contraseña): al configurar el endpoint para EventBridge, el nombre deusuario es «Splunk» y la contraseña es «HEC TokenID».

TriggerMesh


Utilice la información del cuadro de diálogoOrigen de eventos para HTTPPara formular la URLdel punto de enlace. Una URL de extremo incluye el nombre del origen del evento y el espacio denombres de usuario en el siguiente formato:

52

https://developer.salesforce.com/docs/atlas.en-us.api_rest.meta/api_rest/intro_what_is_rest_api.htm

https://developer.salesforce.com/docs/atlas.en-us.api_rest.meta/api_rest/using_resources_working_with_object_metadata.htm

https://developer.salesforce.com/docs/atlas.en-us.api_rest.meta/api_rest/using_resources_working_with_records.htm

https://developer.salesforce.com/docs/atlas.en-us.api_rest.meta/api_rest/intro_oauth_and_connected_apps.htm

https://docs.splunk.com/Documentation/Splunk/8.1.2/Data/UsetheHTTPEventCollector

https://docs.triggermesh.io/sources

Amazon EventBridge Guía del usuarioAPI Gateway

https://Nombre de origen.espacio de nombres de usuario.cloud.triggermesh.io

Incluya los parámetros de autorización básicos en la solicitud al endpoint.Tipos de autorización admitidos

BásicaSe requieren parámetros de autorización adicionales

NingunoTriggerMesh Documentación de

Origen de eventos para HTTPOperaciones de API de uso común

No aplicableInformación adicional

Ninguno

Zendesk


https://developer.zendesk.com/rest_api/docs/support/ticketsTipos de autorización admitidos


NingunoZendesk Documentación de

Seguridad y autenticaciónOperaciones de API de uso común

POST https://Su_ZENDesk_subdominio/api/v2/ticketsInformación adicional

API solicitudes EventBridge hace contar contra los límites de la API de Zendesk. Para obtenerinformación sobre los límites de Zendesk para su plan, consulteLímites de uso.

Para proteger mejor su cuenta y sus datos, le recomendamos utilizar una clave API en lugar de laautenticación básica de nombre de usuario y contraseña.

Destinos de Amazon EventBridge para Amazon APIGatewayPuede utilizar Amazon API Gateway para crear, publicar, mantener y monitorizar API de REST. AmazonEventBridge admite el envío de eventos a un extremo REST de API Gateway. Cuando se especifica unextremo de API Gateway como untarget (p. 42), cadaevent (p. 15)Se envía a los mapas de destino a unasolicitud enviada al punto de enlace.

53

https://docs.triggermesh.io/sources

https://developer.zendesk.com/rest_api/docs/support/introduction#security-and-authentication

https://developer.zendesk.com/rest_api/docs/support/usage_limits

Amazon EventBridge Guía del usuarioAPI Gateway

Important

EventBridge admite usar API GatewayOptimizada para bordeyregionalcomo objetivos. Paraobtener más información sobre los puntos de enlace, consultehttps://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-api-endpoint-types.html.

Puede utilizar un destino de API Gateway para los siguientes casos de uso:

• Para invocar una API REST especificada por el cliente alojada en API Gateway basada enAWSoeventos de terceros.

• Para invocar un extremo periódicamente en una programación.

La información del evento EventBridge JSON se envía como el cuerpo de la solicitud HTTP al extremo.Puede especificar los otros atributos de solicitud en elHttpParameterscomo se indica a continuación:

• PathParameterValuesenumera los valores que corresponden secuencialmente a cualquiervariable de ruta de su ARN de extremo, por ejemplo"arn:aws:execute-api:us-east-1:112233445566:myapi/*/POST/pets/*".

• QueryStringParametersrepresenta los parámetros de cadena de consulta que EventBridge anexa alextremo invocado.

• HeaderParametersdefine encabezados HTTP para agregar a la solicitud.

Note

Por razones de seguridad, no se permiten las siguientes claves de encabezado HTTP:

• Cualquiera prefijo conX-AmzorX-Amzn• Authorization

• Connection

• Content-Encoding

• Content-Length

• Host

• Max-Forwards

• TE

• Transfer-Encoding

• Trailer

• Upgrade

• Via

• WWW-Authenticate

• X-Forwarded-For

Parámetros dinámicosAl invocar un destino de API Gateway, puede agregar datos dinámicamente a los eventos que se envían aldestino. Para obtener más información, consulte the section called “Parámetros de destino” (p. 42).

Reintentos de invocaciónAl igual que con todos los destinos, EventBridge reintenta algunas invocaciones fallidas. Para APIGateway, EventBridge reintenta las respuestas enviadas con un código de estado HTTP 5xx o 429 duranteun máximo de 24 horas conretroceso exponencial y fluctuación. Después de eso, EventBridge publicaunFailedInvocationsEn Amazon CloudWatch. EventBridge no reintenta otros errores HTTP 4xx.

54

https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-api-endpoint-types.html

https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-api-endpoint-types.html

http://aws.amazon.com/blogs/architecture/exponential-backoff-and-jitter/

Amazon EventBridge Guía del usuarioEventos entre cuentas

TimeoutLas solicitudes de API Gateway de EventBridge deben tener un tiempo de espera máximo de ejecuciónde cliente de 5 segundos. Si API Gateway tarda más de 5 segundos en responder, EventBridge agota eltiempo de espera de la solicitud y, a continuación, vuelve a intentar

Envío y recepción de eventos de Amazon EventBridgeentreAWScuentasPuede configurar EventBridge para enviar y recibirEventos de (p. 15)entreAWScuentas. Cuando configuraEventBridge para enviar o recibir eventos entre cuentas, puede especificar quéAWSpueden enviar eventosa o recibir eventos desdeBus de eventos (p. 7)en la cuenta. También puede permitir o denegar eventosdeReglas de (p. 30)asociados con el bus de eventos o eventos de fuentes específicas. Para obtener másinformación, consulteSimplificación del acceso entre cuentas con las políticas de recursos de AmazonEventBridge

Note

Si usaAWS OrganizationsPuede especificar una organización y conceder acceso a todaslas cuentas de esa organización. Para obtener más información, consulte ¿Qué es AWSOrganizations? en la Guía del usuario de AWS Organizations.Note

Si utiliza un plan de respuesta de Incident Manager como destino, todos los planes de respuestaque se comparten con su cuenta están disponibles de forma predeterminada.

Puede enviar y recibir eventos entreAWSCuentas dentro de la misma región en todas las regiones.

Los pasos para configurar EventBridge para enviar eventos a o recibir eventos desde una cuenta diferenteincluyen los siguientes:

• En la páginareceptor, edite los permisos en un bus de eventos para permitir laAWScuentas, unaorganización o todos losAWSpara enviar eventos a la cuenta del receptor.

• En la cuenta remitente, configure una o varias reglas que tengan como destino el bus de eventos de lacuenta receptora.

Si la cuenta del remitente hereda los permisos para enviar eventos porque desde unAWSOrganizationsPor ejemplo, la cuenta remitente también debe tener un rol de IAM con políticas que lohabiliten para enviar eventos a la cuenta receptora. Si utiliza elAWS Management ConsolePara crear laregla destinada al bus de eventos en la cuenta receptora, la función se crea automáticamente. Si utilizala AWS CLI, debe crear el rol manualmente.

• En la cuenta receptora, configure una o varias reglas que coincidan con eventos procedentes de lacuenta remitente.

Los eventos enviados de una cuenta a otra se cargan a la cuenta remitente como eventos personalizados.No se cobra nada a la cuenta receptora. Para obtener más información, consultePrecios de AmazonEventBridge.

Si una cuenta receptora configura una regla que envíe los eventos recibidos de una cuenta remitente a unatercera cuenta, estos eventos no se envían a la tercera cuenta.

Conceder permisos para permitir eventos de otrosAWScuentasPara recibir eventos desde otras organizaciones o cuentas, primero debe editar los permisos delbus de eventos en el que desea recibir eventos. El bus de eventos predeterminado acepta eventosdeAWSservicios, otros autorizadosAWScuentas, yPutEventsLlamadas a. Los permisos para un bus

55

http://aws.amazon.com/blogs/compute/simplifying-cross-account-access-with-amazon-eventbridge-resource-policies/

http://aws.amazon.com/blogs/compute/simplifying-cross-account-access-with-amazon-eventbridge-resource-policies/

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html


http://aws.amazon.com/eventbridge/pricing/


Amazon EventBridge Guía del usuarioEventos entre cuentas

de eventos se conceden o deniegan mediante una directiva basada en recursos adjunta al bus deeventos. En la directiva, puede conceder permisos a otrosAWSusando el ID de cuenta, o a unAWSOrganizationsOrganizar el ID de organización de. Para obtener más información acerca de los permisosdel bus de eventos, incluidos ejemplos de políticas, consultePermisos para autobuses de eventos deAmazon EventBridge (p. 8).

Important

Si decide recibir eventos de todas las cuentas de AWS, asegúrese de crear reglas que coincidansolo con los eventos que recibe de otras cuentas. Para crear reglas más seguras, asegúrese deque el patrón de eventos de cada regla contiene un campo Account con el ID de una o variascuentas desde las que desea recibir eventos. Las reglas que tienen un patrón de eventos quecontiene un campo Account (Cuenta) no coinciden con los eventos enviados desde cuentas queno aparecen en el campo Account. Para obtener más información, consulte Eventos de AmazonEventBridge (p. 15).

Reglas para eventos entreAWScuentasSi su cuenta está configurada para recibir eventos de otras cuentas de AWS, puede escribir reglas quecoincidan con esos eventos. Establecimiento de la propiedad depattern de eventos (p. 17)Para quecoincida con los eventos que recibe de la otra cuenta.

A menos que especifique account en el patrón de eventos de una regla, cualquiera de las reglas de sucuenta, ya sean nuevas o existentes, que coincidan con los eventos que recibe de otras cuentas se activaen función de dichos eventos. Si recibe eventos de otra cuenta y desea que solamente se active una reglaen ese patrón de eventos cuando se genere desde su propia cuenta, debe agregar account y especificarsu propio ID de cuenta en el patrón de eventos de la regla.

Si configura suAWSpara aceptar eventos de todos losAWS, recomendamos encarecidamente queagregueaccountPara cada regla de EventBridge de su cuenta. Esto impide que las reglas de su cuentase activen en eventos de cuentas desconocidas de AWS. Cuando especifique el campo account de laregla, puede especificar los ID de varias cuentas de AWS en dicho campo.

Para que se active una regla cuando se produzca un evento coincidente desde alguna cuenta de AWSa la que haya concedido permisos, no especifique * en el campo account de la regla. Si lo hace, no seencontrarán coincidencias de ningún evento, porque * no aparece nunca en el campo account de unevento. En lugar de ello, omita el campo account de la regla.

Para crear una regla que envíe eventos a unAWScon la consola

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccioneReglas, luego en la pestañaReglaspágina elegirCreación de

regla.3. Escriba un nombre y, opcionalmente, una descripción para la regla.4. ParaOrigen del evento, elijaPatrón de eventos.5. UNDERPatrón de eventosEn, realice una de las siguientes operaciones:

• SeleccionarPatrón predefinido por servicioHaga clic en y luego enproveedor de serviciosyNombredel serviciopara filtrar eventos. Si elige unaAWStambién elija la opciónTipo de evento. Es posibleque deba especificar configuraciones adicionales en función del servicio y el tipo de evento queelija.

• SeleccionarPatrón personalizado, introduzca elPatrón de eventospara usar para la regla y, acontinuación, elijaSave (Guardar).

6. En Select event bus (Seleccionar bus de eventos), elija el bus de eventos que desea asociar a estaregla.

7. UNDERSeleccionar objetivos, paraObjetivoelijaBus de eventos en una cuenta o región diferentey, acontinuación, ingrese el ARN del bus de eventos en una cuenta diferente a la que enviar eventos.

8. Aplique alguna de las siguientes acciones:

56


Amazon EventBridge Guía del usuarioEventos entre regiones

• SeleccionarCrear un nuevo rol para este recurso específicopara que EventBridge cree un nuevorol de IAM que tenga permisos para enviar eventos al bus de eventos especificado.

• SeleccionarUtilizar la función existenteA continuación, seleccione el rol que desea utilizar.Si decide utilizar un rol existente, dicho rol debe tener permisos para enviar eventos al busde eventos en una cuenta diferente. Para obtener más información, consulte Permisos paraautobuses de eventos de Amazon EventBridge (p. 8).

9. Si lo desea, configure una cola de mensajes fallidos para la regla. Para obtener más información,consulte Política de reintentos de eventos y uso de colas de mensajes fallidos (p. 39).

10. SeleccionarCrearPara crear la regla.

Envío y recepción de eventos de Amazon EventBridgeentreAWSRegiones dePuede configurar EventBridge para enviar y recibirEventos de (p. 15)entreAWSRegiones. También puedepermitir o denegar eventos de regiones específicas,Reglas de (p. 30)asociados con el bus de eventos oeventos de fuentes específicas. Para obtener más información, consulteIntroducción del enrutamiento deeventos entre regiones con Amazon EventBridge

La lista actual de regiones de destino admitidas es:

• EE.UU. Este (Norte de Virginia)• EE.UU. Oeste (Oregón)• Europa (Irlanda)

Para crear una regla que envíe eventos a unAWSRegión mediante la consola

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccioneReglas, luego en la pestañaReglaspágina elegirCrear regla.3. Escriba un nombre y, opcionalmente, una descripción para la regla.4. ParaOrigen del evento, elijaPatrón de eventos.5. UNDERPatrón de eventosEn, realice una de las siguientes operaciones:

• SeleccionarPatrón predefinido por servicioHaga clic en y luego enproveedor de serviciosyNombredel serviciopara filtrar eventos. Si elige unaAWStambién elija la opciónTipo de evento. Es posibleque deba especificar configuraciones adicionales en función del servicio y el tipo de evento queelija.

• SeleccionarPatrón personalizado, introduzca elPatrón de eventospara usar para la regla y, acontinuación, elijaSave (Guardar).

6. En Select event bus (Seleccionar bus de eventos), elija el bus de eventos que desea asociar a estaregla.

7. UNDERSeleccionar objetivos, paraObjetivoelijaBus de eventos en una cuenta o región diferentey, acontinuación, ingrese el ARN del bus de eventos en una región diferente a la que enviar eventos.

8. Aplique alguna de las siguientes acciones:• SeleccionarCrear un nuevo rol para este recurso específicopara que EventBridge cree un nuevo

rol de IAM que tenga permisos para enviar eventos al bus de eventos especificado.• SeleccionarUtilizar la función existenteA continuación, seleccione el rol que desea utilizar.

Si decide utilizar un rol existente, dicho rol debe tener permisos para enviar eventos al busde eventos en una región diferente. Para obtener más información, consulte Permisos paraautobuses de eventos de Amazon EventBridge (p. 8).

9. Si lo desea, configure una cola de mensajes fallidos para la regla. Para obtener más información,consulte Política de reintentos de eventos y uso de colas de mensajes fallidos (p. 39).

57

http://aws.amazon.com/blogs/compute/introducing-cross-region-event-routing-with-amazon-eventbridge/

http://aws.amazon.com/blogs/compute/introducing-cross-region-event-routing-with-amazon-eventbridge/


Amazon EventBridge Guía del usuarioMismos eventos de cuenta


Envío y recepción de eventos de Amazon EventBridgeentre buses de eventos en la misma cuenta y RegiónPuede configurar EventBridge para enviar y recibirEventos de (p. 15)entreBuses de eventos (p. 7)en elmismoAWSCuenta y Región de.

Cuando configura EventBridge para enviar o recibir eventos entre buses de eventos, utiliza roles deIAM en la pestañaremitentepara dar el bus de eventosremitentePara enviar eventos al bus de eventosalreceptorBus de eventos. Usted usaBasado en recursos (p. 148)en la pestañareceptorpara dar el busde eventosreceptorpermiso de bus de eventos para recibir eventos delremitenteBus de eventos. Tambiénpuede permitir o denegar eventos de ciertos buses de eventos,Reglas de (p. 30)asociados con el bus deeventos o eventos de fuentes específicas. Para obtener más información acerca de los permisos del busde eventos, incluidos ejemplos de políticas, consultePermisos para autobuses de eventos de AmazonEventBridge (p. 8).

Los pasos para configurar EventBridge para que envíe eventos o reciba eventos entre buses de eventosde su cuenta incluyen los siguientes:

• Para utilizar una función de IAM existente, debe conceder permisos de bus de eventos del remitente albus de eventos del receptor o permisos del bus de eventos del receptor al bus de eventos del remitente.

• En la páginaremitente, configure una o varias reglas que tengan como destino el bus de eventos delreceptor y cree y el rol de IAM.

• En la páginareceptor, edite los permisos para permitir que los eventos se pasen desde el otro bus deeventos.

• En la páginareceptor, configure una o varias reglas que coincidan con eventos procedentes del bus deeventos remitente.

Note

EventBridge no puede enrutar eventos recibidos de un bus de eventos de remitente a un tercerbus de eventos.

Los eventos enviados desde un bus de eventos a otro se cargan como eventos personalizados. Paraobtener más información, consultePrecios de Amazon EventBridge.

Para enviar eventos a otro bus de eventos, cree una regla con un bus de eventos como destino.

Para crear una regla que envíe eventos a un bus de eventos diferente mediante la consola

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccioneReglas, luego en la pestañaReglasPágina, elijaCrear regla.3. Escriba un nombre y, opcionalmente, una descripción para la regla.4. ParaOrigen del evento, elijaPatrón de eventos.5. UNDERPatrón de eventosEn, realice una de las siguientes operaciones:

• SeleccionarPatrón predefinido por servicioSeleccione y, a continuación, seleccione laopciónproveedor de serviciosyNombre del serviciopara filtrar eventos. Si elige unaAWS, elijatambién la opciónTipo de evento. Es posible que deba especificar configuraciones adicionales enfunción del servicio y el tipo de evento que elija.

• SeleccionarPatrón personalizado, introduzca elPatrón de eventosPara utilizar la regla y, acontinuación, elijaSave (Guardar).

6. ParaSeleccione bus de eventos, seleccione el bus de eventos que desee asociar a esta regla.

58



Amazon EventBridge Guía del usuarioMismos eventos de cuenta

7. UNDERSeleccionar objetivos, paraObjetivo, elijaBus de eventos en la misma cuenta y regióny, acontinuación, en la lista de buses de eventos disponibles, seleccione un bus de eventos diferente alque seleccionó en el paso 6.

8. SeleccionarCrear un nuevo rol para este recurso específicopara que EventBridge cree un nuevo rol deIAM que tenga permisos para enviar eventos al bus de eventos especificado.

9. (Opcional) Configure una cola de mensajes fallidos para la regla. Para obtener más información,consulte Política de reintentos de eventos y uso de colas de mensajes fallidos (p. 39).


59

Amazon EventBridge Guía del usuarioTransformar la entrada de destino

Transformar la entrada de destino de AmazonEventBridge

Puede personalizar el texto desde unevent (p. 15)antes de que EventBridge pase el eventoaltarget (p. 42)de unRegla de (p. 30). Mediante el transformador de entrada en la consola o la API, definevariables que utilizan la ruta JSON para hacer referencia a valores en el origen del evento original. Puededefinir hasta 100 variables asignando a cada una un valor desde la entrada. A continuación, puede utilizaresas variables en la plantilla de entrada como <nombre-variable>.

Para ver un tutorial sobre el uso de transformador de entrada, consulte??? (p. 129).

En este tema:• Variables predefinidas (p. 60)• Ejemplos de transformación de entrada (p. 60)• Transformar la entrada mediante la API de EventBridge (p. 62)• Problemas comunes con la transformación de entrada (p. 62)

Variables predefinidasExisten variables predefinidas que puede utilizar sin definir una ruta JSON. Estas variables estánreservadas y no se pueden crear variables con estos nombres:

• aws.events.rule-arn— El nombre de recurso de Amazon (ARN) de la regla EventBridge.• aws.events.rule-name— El nombre de la regla de EventBridge.• aws.events.event— Una copia del evento original.• aws.events.event.ingestion-time— La hora a la que ha recibido el evento EventBridge.

EventBridge genera esta variable y no se puede sobrescribir.• aws.events.event.json— La carga útil exacta de un evento como una cadena.

Ejemplos de transformación de entradaA continuación se muestra un ejemplo de evento de Amazon EC2.

{ "version": "0", "id": "7bf73129-1428-4cd3-a780-95db273d1602", "detail-type": "EC2 Instance State-change Notification", "source": "aws.ec2", "account": "123456789012", "time": "2015-11-11T21:29:54Z", "region": "us-east-1", "resources": [ "arn:aws:ec2:us-east-1:123456789012:instance/i-abcd1111" ], "detail": { "instance-id": "i-0123456789", "state": "RUNNING" }}

60

Amazon EventBridge Guía del usuarioEjemplos de transformación de entrada

Cuando defina una regla en la consola, seleccione la opción Input Transformer (Transformador de entrada)en Configure input (Configurar entrada). Esta opción muestra dos cuadros de texto: Input Path (Ruta deentrada) e Input Template (Plantilla de entrada).

Ruta de entradaSe utiliza para definir variables. Utilice la ruta JSON para hacer referencia a los elementosen su evento y almacenar esos valores en variables. Por ejemplo, puede crear una ruta de entrada parahacer referencia a valores en el evento de ejemplo escribiendo lo siguiente en el primer cuadro de texto.

{ "instance" : "$.detail.instance-id", "state" : "$.detail.state"}

Esto define dos variables, <instance> y <state>. Puede hacer referencia a estas variables al crear laplantilla de entrada.

La plantilla de entrada es una plantilla para la información que desea pasar a su destino. Puede crear unaplantilla que pase una cadena o JSON al destino. Con el evento anterior y la ruta de entrada, los siguientesejemplos de plantilla de entrada transformarán el evento en la salida de ejemplo antes de enrutarlo a undestino.

Descripción Plantilla Salida

Cadena simple"instance <instance> is in <state>"

"instance i-0123456789 is in RUNNING"

Cadena con comillas concaracteres de escape "instance \"<instance>\" is

in <state>""instance \"i-0123456789\" is in RUNNING"

Tenga en cuenta que este es elcomportamiento de la consola deEventBridge. La AWS CLI aplicabarras diagonales como carácterde escape y el resultado es"instance "i-0123456789"is in RUNNING".

JSON simple{ "instance" : <instance>, "state": <state>}

{ "instance" : "i-0123456789", "state": "RUNNING"}

JSON con cadenas y variables{ "instance" : <instance>, "state": "<state>", "instanceStatus": "instance \"<instance>\" is in <state>"}

{ "instance" : "i-0123456789", "state": "RUNNING", "instanceStatus": "instance \"i-0123456789\" is in RUNNING"}

JSON con una mezcla devariables e información estática {

"instance" : <instance>,{ "instance" : "i-0123456789",

61

Amazon EventBridge Guía del usuarioTransformar la entrada mediante la API de EventBridge

Descripción Plantilla Salida "state": [ 9, <state>, true ], "Transformed" : "Yes"}

"state": [ 9, "RUNNING", true ], "Transformed" : "Yes"}

Incluir variables reservadas enJSON {

"instance" : <instance>, "state": <state>, "ruleArn" : <aws.events.rule-arn>, "ruleName" : <aws.events.rule-name>, "originalEvent" : <aws.events.event>}

{ "instance" : "i-0123456789", "state": "RUNNING", "ruleArn" : "arn:aws:events:us-east-2:123456789012:rule/example", "ruleName" : "example", "originalEvent" : { ... // commented for brevity }}

Incluir variables reservadas enuna cadena "<aws.events.rule-name>

triggered""example triggered"

Transformar la entrada mediante la API deEventBridgePara obtener más información acerca del uso de la API EventBridge para transformar la entrada,consulteUtilizar el transformador de entrada para extraer datos de un evento y especificar esos datos en eldestino.

Problemas comunes con la transformación de entradaEstos son algunos problemas comunes cuando se transforma la entrada en EventBridge:

• Para cadenas, se requieren comillas.• No hay validación al crear la ruta JSON para su plantilla.• Si especifica una variable que coincida con una ruta JSON que no existe en el evento, dicha variable no

se crea ni aparece en la salida.• La ruta JSON que se pasa al destino se minimiza y requiere un valor de escape.• EventBridge no escapa los valores extraídos porRuta de entrada, cuando se rellena la propiedadEntrada

de la plantillapara un objetivo.

62

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html#API_PutTargets_Example_2



Archivo y reproducción de AmazonEventBridge

En EventBridge, puede crear un archivo deEventos de (p. 15)Para que pueda reproducirlos fácilmente másadelante. Por ejemplo, es posible que desee reproducir eventos para recuperarse de errores o para validarnuevas funciones en su aplicación.

Temas• Archivado de eventos de Amazon EventBridge (p. 64)• Reproducción de eventos archivados de Amazon EventBridge (p. 66)

63

Amazon EventBridge Guía del usuarioEventos de archivado

Archivado de eventos de Amazon EventBridgeAl crear un archivo en EventBridge, puede determinar quéEventos de (p. 15)se envían al archivoespecificando unpatrón de eventos (p. 17). EventBridge envía eventos que coinciden con el patrón deeventos al archivo. También se establece el período de retención para almacenar eventos en el archivoantes de que se descarten.

De forma predeterminada, EventBridge cifra los datos de eventos en un archivo mediante el estándar decifrado avanzado de 256 bits (AES-256) en unAWSCMK propiedad de, que ayuda a proteger sus datos delacceso no autorizado.

Para crear un archivo para todos los eventos

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación izquierdo, elijaArchivos.3. SeleccionarCrear archivo.4. UNDERDetalle del archivointroduzca unNombrePara el archivo. El nombre debe ser exclusivo para su

cuenta en la región seleccionada.

No se puede cambiar el nombre después de crear el archivo.5. (Opcional) Introduzca unDescripciónPara el archivo.6. ParaFuenteSeleccione el bus de eventos que se envían al archivo.7. ParaPeríodo de retenciónEn, lleve a cabo una de las siguientes operaciones:

• SeleccionarIndefinidopara conservar los eventos en el archivo y no eliminarlos nunca.• Introduzca el número de días que se conservan los eventos. Después del número de días

especificado, EventBridge elimina los eventos del archivo.8. Elija Next (Siguiente).9. UNDERPatrón de eventos, elijaSin filtrado de eventos.10. SeleccionarCrear archivo.

Para crear un archivo con un patrón de eventos

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación izquierdo, elijaArchivos.3. SeleccionarCrear archivo.4. UNDERDetalle del archivointroduzca unNombrePara el archivo. El nombre debe ser exclusivo para su

cuenta en la región seleccionada.

No se puede cambiar el nombre después de crear el archivo.5. (Opcional) Introduzca unDescripciónPara el archivo.6. ParaFuenteSeleccione el bus de eventos que se envían al archivo.7. En Período de retención, lleve a cabo una de las siguientes operaciones:

• SeleccionarIndefinido* para conservar los eventos en el archivo y no eliminarlos nunca.• Introduzca el número de días que se conservan los eventos. Después del número de días

especificado, EventBridge elimina los eventos del archivo.8. Elija Next (Siguiente).9. UNDERPatrón de eventos, elijaFiltrar eventos por coincidencia de patrones de eventos.10. Aplique alguna de las siguientes acciones:

• SelectPatrónSeleccione, después,Proveedor de servicios. Si eligeAWS, seleccione también lacasillaAWSNombre del servicioyTipo de eventoPara utilizar en el patrón.

64

https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk



Amazon EventBridge Guía del usuarioEventos de archivado

• SelectEditor JSONpara crear un patrón manualmente. También puede copiar el patrón de unaregla y luego pegarlo en el editor JSON.

11. SeleccionarCrear archivo.

Para confirmar que los eventos se envían correctamente al archivo, puede usar laherramientaDescribeArchivede la API de EventBridge para recuperar los detalles del archivo. Elvalor devuelto paraEventCountrefleja el número de eventos en el archivo. Si es 0, no hay eventos en elarchivo.

65

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DescribeArchive.html

Amazon EventBridge Guía del usuarioReproduciendo eventos archivados

Reproducción de eventos archivados de AmazonEventBridge

Después de crear un archivo, puede volver a reproducirEventos de (p. 15)En el archivo. Por ejemplo, siactualiza una aplicación con funcionalidad adicional, puede reproducir eventos históricos para asegurarsede que los eventos se vuelven a procesar para mantener la coherencia de la aplicación. También puedeutilizar un archivo comprimido para reproducir eventos con una nueva funcionalidad. Al reproducir eventos,puede especificar el archivo desde el que se van a reproducir los eventos, la hora de inicio y finalizaciónpara que se reproduzca el evento, elBus de eventos (p. 7), o una o variasReglas de (p. 30)para volver areproducir los eventos.

Los eventos no se reproducen necesariamente en el mismo orden en que se agregaron al archivo.Una reproducción procesa los eventos para que se reproduzcan en función de la hora del evento ylos reproduce en intervalos de un minuto. Si especifica una hora de inicio de evento y una hora definalización de evento que cubra un intervalo de tiempo de 20 minutos, los eventos se reproducenprimero desde el primer minuto de ese intervalo de 20 minutos. Luego se repiten los eventos del segundominuto. Puede utilizar elDescribeReplayde la API de EventBridge para determinar el progreso de unareproducción.EventLastReplayedTimedevuelve la marca de tiempo del último evento reproducido.

Los eventos se reproducen según, pero por separado, elPutEventsLímite de transacciones porsegundoAWSaccount. Puede solicitar un aumento del límite de PutEvents. Para obtener más información,consulteCuotas de Amazon EventBridge.

Note

Puede tener un máximo de 10 repeticiones simultáneas activas porAWSRegión .

Para iniciar una repetición de evento

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación izquierdo, elijaReproducciones.3. SeleccionarIniciar una nueva repetición.4. Introduzca unNombrepara la repetición y, opcionalmente, unDescripción.5. ParaFuente, seleccione el archivo desde el que desea reproducir eventos.6. Para el destino, sólo puede reproducir eventos en el mismo bus de eventos que emitió los eventos.7. ParaEspecificar reglasEn, lleve a cabo una de las siguientes operaciones:

• SeleccionarTodas las reglaspara reproducir eventos a todas las reglas.• SeleccionarEspecificar reglasy, a continuación, seleccione la regla o reglas para reproducir los

eventos.8. UNDERReproducción de marco de tiempoEn, especifique elFecha,Tiempo, yTime zone (Zona

horarioa)para laHora de inicioy laHora de finalización. Sólo los eventos que se produjeron entre elHorade inicioyHora de finalizaciónse repiten.

9. SeleccionarIniciar una repetición.

Cuando se reproducen los eventos del archivado, el estado de la reproducción esCompleted.

Si inicia una repetición y luego desea interrumpirla, puede cancelarla siempre que se encuentreenStartingorEn ejecución.

Para cancelar una repetición

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación izquierdo, elijaReproducciones.

66

https://docs.aws.amazon.com/eventbridge/latest/userguide/cloudwatch-limits-eventbridge.html



Amazon EventBridge Guía del usuarioReproduciendo eventos archivados

3. Seleccione la repetición que cancelar.4. Elija Cancel.

67


Esquemas de Amazon EventBridgeUn esquema define la estructura deEventos de (p. 15)que se envían a EventBridge. EventBridgeproporciona esquemas para todos los eventos generados porAWSServicios de . También puedecrear ocargar esquemas personalizados (p. 71)orinferir esquemas (p. 75)directamente desde los eventosen unBus de eventos (p. 7). Una vez que tenga un esquema para un evento, puede descargar enlacesde código para lenguajes de programación populares y acelerar el desarrollo. Puede trabajar con enlacesde código para esquemas y administrar esquemas desde la consola EventBridge, mediante la API odirectamente en su IDE mediante laAWSConjunto de herramientas. Para crear aplicaciones sin servidorque utilicen eventos, useAWS Serverless Application Model.

EventBridge admite los formatos OpenAPI 3 y JSONSchema Draft4.

ParaAWSToolkit for JetBrainsyAWSToolkit for VS Code, puede explorar o buscar esquemas y descargarenlaces de código para esquemas directamente en su IDE.

Temas• Búsqueda de un esquema de Amazon EventBridge (p. 69)• Registros de esquema de Amazon EventBridge (p. 70)• Creación de un esquema de Amazon EventBridge (p. 71)• Enlaces de código de Amazon EventBridge (p. 76)

68

https://docs.aws.amazon.com/toolkit-for-jetbrains/latest/userguide/eventbridge-schemas.html

https://docs.aws.amazon.com/toolkit-for-vscode/latest/userguide/working-with-aws.html

Amazon EventBridge Guía del usuarioBúsqueda de un esquema

Búsqueda de un esquema de Amazon EventBridgeEventBridge incluyeEsquemas de (p. 68)Para todosAWSque generan eventos. Puede encontrar estosesquemas en la consola de EventBridge, o puede encontrarlos mediante la acción APISearchSchemas.

Para buscar esquemas de paraAWSservicios en la consola de EventBridge

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, elija Schemas (Esquemas).3. En la páginaEsquemas dePágina, seleccioneAWSregistro de esquema de eventos.

<result>

Se muestra la primera página de esquemas disponible.</result>

4. Para buscar un esquema, enBúsquedaAWSesquemas de eventosIntroduzca un término de búsqueda.

Una búsqueda devuelve coincidencias para el nombre y el contenido de los esquemas disponibles y, acontinuación, muestra las versiones del esquema que contienen coincidencias.

5. Abra un esquema de eventos seleccionando el nombre del esquema.

69

https://docs.aws.amazon.com/eventbridge/latest/schema-reference/v1-registries-name-registryname-schemas-search.html


Amazon EventBridge Guía del usuarioRegistros de esquemas

Registros de esquema de Amazon EventBridgeLos registros de esquemas son contenedores para esquemas. Los registros de esquemas recopilany organizan esquemas para que los esquemas estén en grupos lógicos. Los registros de esquemapredeterminados son:

• Todos los esquemas— Todos los esquemas delAWSeventos, detectados y registros de esquemapersonalizados.

• AWSregistro de esquema de eventos— Los esquemas integrados.• Registro de esquema descubierto— Los esquemas descubiertos por la detección de esquemas.

Puede crear registros personalizados para organizar los esquemas que cree o cargue.

Para crear un registro personalizado

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccioneEsquemas deHaga clic en y luego enCrear registro.3. En la páginaDetalles del registro, introduzca unaNombre.4. (Opcional) Escriba una descripción para el nuevo registro.5. Seleccione Create (Crear).

ParaCrear un esquema personalizado (p. 71)en el nuevo registro, seleccioneCreación de esquemaspersonalizados. Para agregar un esquema al registro, seleccione ese registro cuando cree un nuevoesquema.

Para crear un registro mediante la API de, utiliceCreateRegistry. Para obtener más información,consulteReferencia de la API del registro de esquemas de Amazon EventBridge.

Para obtener información sobre el uso del registro de esquemas EventBridge a través deAWSCloudFormation, consulteReferencia del tipo de recurso EventSchemasinAWS CloudFormation.

70


https://docs.aws.amazon.com/eventbridge/latest/schema-reference/v1-registries-name-registryname.html#v1-registries-name-registryname-http-methods

https://docs.aws.amazon.com/eventbridge/latest/schema-reference/index.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_EventSchemas.html

Amazon EventBridge Guía del usuarioCreación de un esquema

Creación de un esquema de Amazon EventBridgeLos esquemas se crean mediante archivos JSON con elEspecificación de OpenAPIo elEspecificaciónJSONSchema Draft4. Puede crear o cargar sus propios esquemas en EventBridge utilizando una plantillao generando un esquema basado en el JSON de unevent (p. 15). También puede inferir el esquema de loseventos en unBus de eventos (p. 7). Para crear un esquema mediante la API del registro de esquemas deEventBridge, utilice laCreateSchemaAcción de la API.

Cuando elija entre los formatos OpenAPI 3 y JSONSchema Draft4, tenga en cuenta las siguientesdiferencias:

• El formato JSONSchema admite palabras clave adicionales que no son compatibles con OpenAPI,como$schema, additionalItems.

• Existen pequeñas diferencias en la forma en que se manejan las palabras clave, comotypeyformat.• OpenAPI no admite hipervínculos JSONSchema Hyper-Esquema en documentos JSON.• Las herramientas para OpenAPI tienden a centrarse en el tiempo de compilación, mientras que las

herramientas para JSONSchema tienden a centrarse en operaciones en tiempo de ejecución, como lasherramientas de cliente para la validación de esquemas.

Se recomienda utilizar el formato JSONSchema para implementar la validación del lado del cliente paraque los eventos enviados a EventBridge se ajusten al esquema. Puede utilizar JSONSchema paradefinir un contrato para documentos JSON válidos y, a continuación, utilizar unValidador de esquemasJSONantes de enviar los eventos asociados.

Después de tener un nuevo esquema, puede descargarenlaces de código (p. 76)para ayudar a crearaplicaciones para eventos con ese esquema.

Temas• Crear un esquema mediante una plantilla (p. 71)• Modificación de una plantilla de esquema directamente en la consola (p. 72)• Crear un esquema a partir del JSON de un evento (p. 73)• Crear un esquema a partir de eventos en un bus de eventos (p. 75)

Crear un esquema mediante una plantillaPuede crear un esquema a partir de una plantilla o editando una plantilla directamente en la consola deEventBridge. Para obtener la plantilla, la descargue de la consola. Puede editar la plantilla para que elesquema coincida con sus eventos. A continuación, sube la nueva plantilla a través de la consola.

Para descargar la plantilla de esquema

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, elija Schema registry (Registro de esquema).3. En la sección Getting started (Introducción) en Schema template (Plantilla de esquema), elija

Download (Descargar).

También puede copiar la plantilla JSON desde el siguiente ejemplo de código.

{ "openapi": "3.0.0", "info": { "version": "1.0.0", "title": "Event"

71

https://swagger.io/specification/

https://json-schema.org/specification-links.html#draft-4

https://json-schema.org/specification-links.html#draft-4

https://docs.aws.amazon.com/eventbridge/latest/schema-reference/v1-registries-name-registryname-schemas-name-schemaname.html#v1-registries-nam

https://json-schema.org/implementations.html

https://json-schema.org/implementations.html


Amazon EventBridge Guía del usuarioModificación de una plantilla de

esquema directamente en la consola

}, "paths": {}, "components": { "schemas": { "Event": { "type": "object", "properties": { "ordinal": { "type": "number", "format": "int64" }, "name": { "type": "string" }, "price": { "type": "number", "format": "double" }, "address": { "type": "string" }, "comments": { "type": "array", "items": { "type": "string" } }, "created_at": { "type": "string", "format": "date-time" } } } } } }

Para cargar una plantilla de esquema

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccioneEsquemas deHaga clic en y luego enCreación de esquemas.3. (Opcional) Seleccione o cree un registro de esquema.4. UNDERDetalles del esquemaEn, escriba un nombre para su esquema.5. (Opcional) Escriba una descripción para el esquema.6. ParaTipo de esquema, elijaOpenAPI 3.0orBorrador de esquema JSON 4.7. En la páginaCrearEn el cuadro de texto, arrastre el archivo de esquema al cuadro de texto o pegue el

origen del esquema.8. Seleccione Create (Crear).

Modificación de una plantilla de esquemadirectamente en la consolaPara editar un esquema en la consola

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccioneEsquemas deHaga clic en y luego enCreación de esquemas.

72



Amazon EventBridge Guía del usuarioCrear un esquema a partir del JSON de un evento

3. (Opcional) Seleccione o cree un registro de esquema.4. UNDERDetalles del esquemaEn, escriba un nombre para su esquema.5. ParaTipo de esquema, elijaOpenAPI 3.0orBorrador de esquema JSON 4.6. (Opcional) Escriba una descripción para el esquema que se va a crear.7. En la páginaCrear, elijaCargar plantilla.8. En el cuadro de texto, edite la plantilla para que el esquema coincida con suEventos de (p. 15).9. Seleccione Create (Crear).

Crear un esquema a partir del JSON de un eventoSi tiene el JSON de un evento, puede crear automáticamente un esquema para ese tipo de evento.

Para crear un esquema basado en el JSON de un evento

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccioneEsquemas deHaga clic en y luego enCreación de esquemas.3. (Opcional) Seleccione o cree un registro de esquema.4. En Schema details (Detalles del esquema) escriba un nombre para su esquema.5. (Opcional) Escriba una descripción para el esquema que ha creado.6. ParaTipo de esquema, elijaOpenAPI 3.0.

No se puede utilizar JSONSchema cuando se crea un esquema a partir del JSON de un evento.7. Seleccione Discover from JSON (Descubrir de JSON)8. En el cuadro de texto en JSON, pegue o arrastre el origen JSON de un evento.

Por ejemplo, puede pegar el origen de estaAWS Step Functionspara una ejecución fallida.

{ "version": "0", "id": "315c1398-40ff-a850-213b-158f73e60175", "detail-type": "Step Functions Execution Status Change", "source": "aws.states", "account": "012345678912", "time": "2019-02-26T19:42:21Z", "region": "us-east-1", "resources": [ "arn:aws:states:us-east-1:012345678912:execution:state-machine-name:execution-name" ], "detail": { "executionArn": "arn:aws:states:us-east-1:012345678912:execution:state-machine-name:execution-name", "stateMachineArn": "arn:aws:states:us-east-1:012345678912:stateMachine:state-machine", "name": "execution-name", "status": "FAILED", "startDate": 1551225146847, "stopDate": 1551225151881, "input": "{}", "output": null }}

9. Elija Discover schema (Detectar esquema).10. EventBridge genera un esquema OpenAPI para el evento. Por ejemplo, se genera el siguiente

esquema para el evento Step Functions anterior.

73


Amazon EventBridge Guía del usuarioCrear un esquema a partir del JSON de un evento

{ "openapi": "3.0.0", "info": { "version": "1.0.0", "title": "StepFunctionsExecutionStatusChange" }, "paths": {}, "components": { "schemas": { "AWSEvent": { "type": "object", "required": ["detail-type", "resources", "detail", "id", "source", "time", "region", "version", "account"], "x-amazon-events-detail-type": "Step Functions Execution Status Change", "x-amazon-events-source": "aws.states", "properties": { "detail": { "$ref": "#/components/schemas/StepFunctionsExecutionStatusChange" }, "account": { "type": "string" }, "detail-type": { "type": "string" }, "id": { "type": "string" }, "region": { "type": "string" }, "resources": { "type": "array", "items": { "type": "string" } }, "source": { "type": "string" }, "time": { "type": "string", "format": "date-time" }, "version": { "type": "string" } } }, "StepFunctionsExecutionStatusChange": { "type": "object", "required": ["output", "input", "executionArn", "name", "stateMachineArn", "startDate", "stopDate", "status"], "properties": { "executionArn": { "type": "string" }, "input": { "type": "string" }, "name": { "type": "string" }, "output": {},

74

Amazon EventBridge Guía del usuarioCrear un esquema a partir de eventos en un bus de eventos

"startDate": { "type": "integer", "format": "int64" }, "stateMachineArn": { "type": "string" }, "status": { "type": "string" }, "stopDate": { "type": "integer", "format": "int64" } } } } }}

11. Una vez generado el esquema, elijaCrear.

Crear un esquema a partir de eventos en un bus deeventosEventBridge puede inferir esquemas descubriendo eventos. Para inferir esquemas, se activa la detecciónde eventos en un bus de eventos. Los esquemas descubiertos por EventBridge aparecen enRegistro deesquemas descubiertosen elEsquemas de(Se ha creado el certificado).

Si cambia el contenido de los eventos en el bus de eventos, EventBridge crea nuevas versiones delesquema de EventBridge relacionado.

Note

Habilitar el descubrimiento de eventos en un bus de eventos puede generar costos. Los primeroscinco millones de eventos procesados cada mes son gratuitos.

Para habilitar la detección de esquemas en un bus de eventos

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, elija Event Buses (Buses de eventos).3. Aplique alguna de las siguientes acciones:

• Para habilitar la detección en elBus de eventos predeterminado, elijaInicie descubrimiento.• Para habilitar la detección en unBus de eventos personalizado, seleccione el botón de opción del

bus de eventos personalizado y, a continuación, elijaInicie descubrimiento.

75


Amazon EventBridge Guía del usuarioCodigo Binding

Enlaces de código de Amazon EventBridgePuede generar enlaces de código para el eventoEsquemas de (p. 68)Para acelerar el desarrollo de Java,Python y TypeScript. Los enlaces de código están disponibles paraAWSeventos de servicio, esquemasquecreate (p. 71), y para los esquemas queGenerate (p. 75)Basado enEventos de (p. 15)en unBus deeventos (p. 7). Puede generar enlaces de código para un esquema mediante la consola EventBridge, elEventBridgeAPI de registro de esquemas, o en su IDE con unAWSConjunto de herramientas.

Para generar enlaces de código a partir de un esquema de EventBridge

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, elija Schemas (Esquemas).3. Encuentre un esquema para el que desee enlaces de código, ya sea explorando los registros de

esquemas o buscando un esquema.4. Seleccione el nombre del esquema.5. En la páginaDetalles del esquemaPágina Web, en elVersionElija, elijaDescargar enlaces de código.6. En la página Download code bindings (Descargar enlaces de código), seleccione el lenguaje de los

enlaces de código que desea descargar.7. Seleccione Download (Descargar).

La descarga puede tardar unos segundos en comenzar. El archivo descargado es un archivo zip deenlaces de código para el lenguaje seleccionado.

76




Eventos deAWSServicios deMuchosAWSservicios generanEventos de (p. 15)que recibe EventBridge. Cuando unAWSEn su cuentaemite un evento, va al bus de eventos predeterminado de su cuenta.

También puede utilizar EventBridge conAWSque no emiten eventos y no aparecen en esta página.AWSCloudTrailes un servicio que registra automáticamente eventos comoAWSLlamadas al API. Puede crearreglas de EventBridge que utilicen la información de CloudTrail. Para obtener más información acerca deCloudTrail, consulte¿Qué es ?AWS CloudTrail?. Para obtener información sobre cómo crear una regla deEventBridge que utilice CloudTrail, consulteTutorial: Crear una regla de Amazon EventBridge paraAWSCloudTrailLlamadas a la API (p. 93).

Todos los eventos que se entregan por CloudTrail tienenAWS API Call via CloudTrailcomo el valordedetail-type.

Algunas coincidencias enAWSLos servicios pueden ser notificados a EventBridge tanto por el propioservicio como por CloudTrail. Por ejemplo, una llamada a la API de Amazon EC2 que inicia o detiene unainstancia genera eventos de EventBridge, así como eventos a través de CloudTrail.

Important

CloudTrail extiende la entrega de eventos a través de EventBridge a los propietarios de recursos.Actualmente, CloudTrail admite tanto a las personas que llaman a la API como a los propietariosde recursos para recibir eventos en sus depósitos de S3 mediante la creación de pistas, y entregaeventos a las personas que llaman a la API a través de EventBridge. Con este cambio, lospropietarios de recursos, además de los llamadores de API, podrán supervisar las llamadasde API entre cuentas a través de EventBridge. La integración de CloudTrail con EventBridgeproporciona una forma conveniente de establecer flujos de trabajo automatizados basados enreglas en respuesta a eventos.El equipo de CloudTrail comenzó a implementar esta actualización el 12 de abril de 2021 y esperacompletar esta actualización en todas las regiones comerciales a principios de este mes. Comoresultado, algunos clientes pueden experimentar un aumento en los eventos de EventBridge quese entregan a través de EventBridge coincidiendo con esta actualización. No se requiere ningunaacción del cliente, pero si tiene alguna pregunta, comuníquese conAWS Support.

No puede usarAWSEventos de llamadas al API con un tamaño superior a 256 KB como patrones deeventos. Para obtener más información acerca de las llamadas al API que puede utilizar, consulteServicioscompatibles con el historial de eventos de CloudTrail.

Note

EACHAWSque genera eventos los envía a EventBridge comoel mejoresfuerzoorGarantizadaEntrega. Entrega del mejor esfuerzosignifica que el servicio intenta enviartodos los eventos a EventBridge, pero en algunos casos raros es posible que no se entregue unevento. Entrega garantizadasignifica que todos los eventos del servicio se entregan correctamentea EventBridge.

En la siguiente tabla se muestranAWSque generan eventos. Elija el nombre del servicio para ver másinformación acerca de cómo funcionan juntos ese servicio y EventBridge.

Servicio Tipo de entrega

Amazon AppFlow Mejor esfuerzo

Auto Scaling de aplicaciones Mejor esfuerzo

AWS Application Cost Profiler Mejor esfuerzo

Amazon Athena Mejor esfuerzo

77

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-supported-services.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-supported-services.html

https://docs.aws.amazon.com/autoscaling/application/userguide/monitoring-eventbridge.html

https://docs.aws.amazon.com/application-cost-profiler/latest/userguide/monitoring-events.html



Amazon Augmented AI

AWS Batch Garantizada

Amazon Braket Garantizada

AWS Certificate Manager Private CertificateAuthority

Mejor esfuerzo

Amazon Chime Mejor esfuerzo

AWS CloudTrail, eventos entregados por Mejor esfuerzo

Amazon CloudWatch Garantizada

AWS CodeArtifact Garantizada

AWS CodeBuild Mejor esfuerzo

AWS CodeCommit Mejor esfuerzo

AWS CodeDeploy Mejor esfuerzo

AWS CodePipeline

AWS Config Mejor esfuerzo

Amazon Connect Mejor esfuerzo

AWSData Exchange Mejor esfuerzo

Administrador de ciclo de vida de datos de Amazon Mejor esfuerzo

AWS DataSync Mejor esfuerzo

AWS Elastic Beanstalk Mejor esfuerzo

Amazon Elastic Block Store (EBS) Mejor esfuerzo

Modificaciones de volúmenes de Amazon ElasticBlock

Mejor esfuerzo

Amazon Elastic Compute Cloud (Amazon EC2) Mejor esfuerzo

Auto Scaling de Amazon EC2 Mejor esfuerzo

Flotas de Amazon EC2 Mejor esfuerzo

Recomendación de reequilibrio de instancias deAmazon EC2

Interrupción de instancias de spot de Amazon EC2 Mejor esfuerzo

Cambio de estado de Amazon EC2

Amazon Elastic Container Registry Mejor esfuerzo

Amazon Elastic Container Service Garantizada

AWS Elemental MediaConvert Garantizada

78

https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-ai-cloudwatch-events.html

https://docs.aws.amazon.com/batch/latest/userguide/batch_cwe_events.html

https://docs.aws.amazon.com/braket/latest/developerguide/braket-monitor-eventbridge.html

https://docs.aws.amazon.com/chime/latest/ag/automating-chime-with-cloudwatch-events.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-and-eventbridge.html

https://docs.aws.amazon.com/codebuild/latest/userguide/sample-build-notifications.html#sample-build-notifications-ref

https://docs.aws.amazon.com/codecommit/latest/userguide/monitoring-events.html

https://docs.aws.amazon.com/codedeploy/latest/userguide/monitoring-cloudwatch-events.html

https://docs.aws.amazon.com/config/latest/developerguide/monitor-config-with-cloudwatchevents.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.eventbridge.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html

https://docs.aws.amazon.com/autoscaling/ec2/userguide/cloud-watch-events.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/rebalance-recommendations.html#monitor-rebalance-recommendations

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/rebalance-recommendations.html#monitor-rebalance-recommendations

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/spot-interruptions.html#spot-instance-termination-notices

https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-eventbridge.html#ecr-eventbridge-bus

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch_event_stream.html

https://docs.aws.amazon.com/mediaconvert/latest/ug/cloudwatch_events.html



AWS Elemental MediaLive Mejor esfuerzo

AWS Elemental MediaPackage Mejor esfuerzo

AWS Elemental MediaStore Garantizada

Amazon EMR Mejor esfuerzo

Amazon GameLift Mejor esfuerzo

AWS Glue Mejor esfuerzo

AWS Glue DataBrew Mejor esfuerzo

AWS Ground Station Mejor esfuerzo

Amazon GuardDuty

AWS Health Mejor esfuerzo

Servicio de vídeos interactivos de Amazon Mejor esfuerzo

AWS IoT Analytics Garantizada

AWS IoT Greengrass V1 Mejor esfuerzo

AWS IoT Greengrass V2 Mejor esfuerzo

AWS Key Management ServiceEliminación deCMK

Garantizada

AWS Key Management ServiceRotación de CMK Mejor esfuerzo

AWS Key Management ServiceVencimiento delmaterial de claves

Mejor esfuerzo

Amazon Location Service Garantizada

Amazon Macie Mejor esfuerzo

Amazon Macie Classic Mejor esfuerzo

Amazon Managed Blockchain Mejor esfuerzo

AWS Managed Services Mejor esfuerzo

AWS Management ConsoleSign-in (Inicio desesión)

AWS OpsWorks Garantizada

AWS Proton Mejor esfuerzo

Amazon QLDB Garantizada

Amazon Redshift Mejor esfuerzo

Amazon Relational Database Service Mejor esfuerzo

AWS Resource Access Manager Mejor esfuerzo

79

https://docs.aws.amazon.com/mediapackage/latest/ug/monitoring-cloudwatch-events.html

https://docs.aws.amazon.com/mediastore/latest/ug/monitoring-automating-with-cloudwatch-events.html

https://docs.aws.amazon.com/ground-station/latest/ug/automating-events.html

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html

https://docs.aws.amazon.com/ivs/latest/userguide/SUE.html

https://docs.aws.amazon.com/greengrass/v1/developerguide/deployment-notifications.html

https://docs.aws.amazon.com/greengrass/v2/developerguide/telemetry.html

https://docs.aws.amazon.com/location/latest/developerguide/location-events.html

https://docs.aws.amazon.com/macie/latest/user/findings-publish-event-schemas.html

https://docs.aws.amazon.com/proton/latest/adminguide/monitoring.html



Amazon SageMaker

Savings Plans Mejor esfuerzo

AWS Security Hub Mejor esfuerzo

AWS Server Migration Service

AWSSigner Garantizada

Amazon Simple Workflow Service Mejor esfuerzo

AWS Step Functions Mejor esfuerzo

AWS Storage Gateway Garantizada

AWS Systems Manager

Cambios de etiqueta en los recursos Mejor esfuerzo

AWS Transit Gateway Mejor esfuerzo

Amazon Translate Garantizada

AWS Trusted Advisor

Amazon WorkSpaces Mejor esfuerzo

AWS X-Ray

80

https://docs.aws.amazon.com/sagemaker/latest/dg/automating-sagemaker-with-eventbridge.html

https://docs.aws.amazon.com/savingsplans/latest/userguide/automating-savingsplans-with-eventbridge.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cloudwatch-events.html

https://docs.aws.amazon.com/step-functions/latest/dg/cw-events.html#cw-events-events

https://docs.aws.amazon.com/translate/latest/dg/monitoring-with-eventbridge.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/cloudwatch-events.html


Amazon EventBridgeAmazon EventBridge funciona con otrosAWSservicios para procesarEventos de (p. 15)o invocarun recurso comotarget (p. 42)de unRegla de (p. 30). Para obtener más información acerca de lasintegraciones de EventBridge con otrosAWS, consulte los siguientes temas:

Temas• Uso de Amazon EventBridge con los puntos de enlace de la VPC (p. 82)• Integración de Amazon EventBridge conAWS X-Ray (p. 84)

81

Amazon EventBridge Guía del usuarioPuntos de enlace de la VPC de tipo interfaz

Uso de Amazon EventBridge con los puntos deenlace de la VPC

Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar suAWS, puede establecer una conexiónprivada entre su VPC y EventBridge. Los recursos de su VPC pueden utilizar esta conexión paracomunicarse con EventBridge.

Con una VPC, puede controlar la configuración de la red, como el rango de direcciones IP, las subredes,las tablas de ruteo y las gateways de red. Para conectar su VPC a EventBridge, debe definir unpunto deenlace de la VPC de la interfazpara EventBridge. El punto de enlace ofrece conectividad escalable deconfianza con EventBridge sin necesidad de utilizar una gateway de Internet, una instancia de conversiónde las direcciones de red (NAT) o una conexión de VPN. Para obtener más información, consulte¿Qué esAmazon VPC?en laGuía del usuario de Amazon VPC.

Puntos de enlace de la VPC de tipo interfaz con tecnología deAWSPrivateLink, que permite lacomunicación privada entreAWSUso de una elastic network interface con direcciones IP privadas. Paraobtener más información, consulteAWSPrivateLink la VPC y de tipo interfaz.

Cuando se utiliza un extremo VPC de interfaz privada,Eventos de (p. 15)su VPC envía a EventBridgeuse ese endpoint. EventBridge luego envía esos eventos a otrosAWSbasados en elReglasde (p. 30)ydestinos (p. 42)que ha configurado. Una vez que los eventos se envían a otro servicio, puederecibirlos a través del extremo público o de un extremo de VPC para ese servicio. Por ejemplo, si crea unaregla para enviar eventos a una cola de Amazon SQS, puede configurar un extremo de VPC de interfazpara que Amazon SQS reciba mensajes de esa cola en su VPC sin utilizar el extremo público.

AvailabilityEventBridge actualmente admite puntos de enlace de la VPC en las regiones siguientes:

• US East (Ohio)• EE.UU. Este (Norte de Virginia)• EE.UU. Oeste (Norte de California)• EE.UU. Oeste (Oregón)• Africa (Cape Town)• Asia Pacific (Mumbai)• Asia Pacific (Hong Kong)• Asia Pacific (Seoul)• Asia Pacífico (Singapur)• Asia Pacífico (Sídney)• Asia Pacífico (Tokio)• Asia Pacific (Osaka)• Canada (Central)• Europe (Frankfurt)• Europa (Irlanda)• Europe (London)• Europe (Milan)• Europe (Paris)• América del Sur (São Paulo)

82

https://docs.aws.amazon.com/vpc/latest/userguide/

https://docs.aws.amazon.com/vpc/latest/userguide/

https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html

Amazon EventBridge Guía del usuarioCreación de un punto de enlace de la VPC para EventBridge

Creación de un punto de enlace de la VPC paraEventBridgePara utilizar EventBridge con su VPC, cree un punto de enlace de la VPC de tipo interfaz para EventBridgey elijacom.amazonaws.Región.eventscomo nombre del servicio. Para obtener más información, consulteCreación de un punto de enlace de interfaz en la Guía del usuario de Amazon VPC.

83

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html

Amazon EventBridge Guía del usuarioAWS X-Ray

Integración de Amazon EventBridge conAWS X-Ray

Puede utilizarAWS X-RayPara rastrearEventos de (p. 15)que pasan a través de EventBridge. EventBridgepasa el encabezado de seguimiento original altarget (p. 42)Para que los servicios de destino puedanrastrear, analizar y depurar.

EventBridge puede pasar un encabezado de seguimiento para un evento solo si el evento proviene deunPutEventsque pasó el contexto de seguimiento. X-Ray no rastrea eventos que se originan de sociosexternos, eventos programados oAWSservices (p. 77), y estas fuentes de eventos no aparecen en el mapade servicio de X-Ray.

X-Ray valida los encabezados de rastreo y los encabezados de rastreo que no son válidos se eliminan. Sinembargo, el evento aún se procesa.

Important

El encabezado de seguimiento esnodisponible en el evento que se entrega al destino deinvocación.

• Si tiene unarchivo de eventos (p. 64), el encabezado de seguimiento no está disponible eneventos archivados. Si vuelve a reproducir eventos archivados, no se incluye el encabezado deseguimiento.

• Si tiene unCola de mensajes fallidos (DLQ) (p. 39), el encabezado de seguimiento se incluyeen elSendMessageque envía el evento al DLQ. Si recupera eventos (mensajes) del DLQmedianteReceiveMessage, el encabezado de seguimiento asociado con el evento se incluyeen el atributo de mensaje de Amazon SQS, pero no se incluye en el mensaje de evento.

Para obtener información acerca de cómo un nodo de evento EventBridge conecta los servicios de origeny destino, consulteVisualización de orígenes y destinos en el mapa de servicios de X-Rayen laAWS X-RayGuía para desarrolladores.

Puede pasar la siguiente información de encabezado de seguimiento a través de EventBridge:

• Encabezado HTTP predeterminado— El SDK de X-Ray rellena automáticamente el encabezadode seguimiento comoX-Amzn-Trace-Idencabezado HTTP para todos los destinos de invocación.Para obtener más información sobre el encabezado HTTP predeterminado, consulteEncabezado deseguimientoen laAWS X-RayGuía para desarrolladores..

• TraceHeaderatributo de sistema–TraceHeaderes unAtribuPutEventsRequestEntryreservadopor EventBridge para llevar el encabezado de rastreo de X-Ray a un destino. Si tambiénutilizaPutEventsRequestEntry,PutEventsRequestEntryInvalida el encabezado de seguimientoHTTP.

Note

El encabezado de seguimiento no cuenta para elPutEventsRequestEntryTamaño de eventos.Para obtener más información, consulte Cálculo del tamaño de la entrada de PutEvents deAmazon EventBridge (p. 29).

84

https://docs.aws.amazon.com/xray/latest/devguide/xray-services-eventbridge.html#xray-services-eventbridge-service-map

https://docs.aws.amazon.com/xray/latest/devguide/xray-concepts.html#xray-concepts-tracingheader

https://docs.aws.amazon.com/xray/latest/devguide/xray-concepts.html#xray-concepts-tracingheader

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutEventsRequestEntry.html

Amazon EventBridge Guía del usuarioIntegraciones de socios SaaS compatibles

Recepción de eventos de un socioSaaS con Amazon EventBridge

Para recibirEventos de (p. 15)De aplicaciones y servicios de socios de SaaS, necesita un origen deeventos de socios del socio. A continuación, puede crear un socioBus de eventos (p. 7)Y asociarlo alorigen de eventos del socio.

Temas• Integraciones de socios SaaS compatibles (p. 85)• Configuración de Amazon EventBridge para recibir eventos de una integración SaaS (p. 86)• Crear una regla que coincida con los eventos de partners de SaaS (p. 87)• Recibir eventos deSalesForce (p. 89)

Integraciones de socios SaaS compatiblesEventBridge admite las siguientes integraciones de socios SaaS:

• Auth0• Blitline• BUIDLHub• Buildkite• Camunda• CleverTap• Datadog• Epsagon• Freshworks• Genesys• GS2• Karte• Kloudless• Mackerel• MongoDB• New Relic• OneLogin• Opsgenie• PagerDuty• Payshield• SailPoint• Saviynt• Segment• Shopify• SignalFx• Site24x7• Stax

85

https://console.aws.amazon.com/events/#/partners/auth0.com?page=overview

https://console.aws.amazon.com/events/#/partners/blitline.com?page=overview

https://console.aws.amazon.com/events/#/partners/buidlhub.com?page=overview

https://console.aws.amazon.com/events/#/partners/buildkite.com?page=overview

https://console.aws.amazon.com/events/#/partners/camunda.com?page=overview

https://console.aws.amazon.com/events/#/partners/clevertap.com?page=overview

https://console.aws.amazon.com/events/#/partners/datadoghq.com?page=overview

https://console.aws.amazon.com/events/#/partners/epsagon.com?page=overview

https://console.aws.amazon.com/events/#/partners/freshworks.com?page=overview

https://console.aws.amazon.com/events/#/partners/genesys.com?page=overview

https://console.aws.amazon.com/events/#/partners/gs2.io?page=overview

https://console.aws.amazon.com/events/#/partners/karte.io?page=overview

https://console.aws.amazon.com/events/#/partners/kloudless.com?page=overview

https://console.aws.amazon.com/events/#/partners/mackerel.io?page=overview

https://console.aws.amazon.com/events/#/partners/mongodb.com?page=overview

https://console.aws.amazon.com/events/#/partners/newrelic.com?page=overview

https://console.aws.amazon.com/events/#/partners/onelogin.com?page=overview

https://console.aws.amazon.com/events/#/partners/opsgenie.com?page=overview

https://console.aws.amazon.com/events/#/partners/pagerduty.com?page=overview

https://console.aws.amazon.com/events/#/partners/payshield.com.au?page=overview

https://console.aws.amazon.com/events/#/partners/sailpoint.com?page=overview

https://console.aws.amazon.com/events/#/partners/saviynt.com?page=overview

https://console.aws.amazon.com/events/#/partners/segment.com?page=overview

https://console.aws.amazon.com/events/#/partners/shopify.com?page=overview

https://console.aws.amazon.com/events/#/partners/signalfx.com?page=overview

https://console.aws.amazon.com/events/#/partners/site24x7.com?page=overview

https://console.aws.amazon.com/events/#/partners/stax.io

Amazon EventBridge Guía del usuarioConfiguración de EventBridge

• SugarCRM• Symantec• Thundra• TriggerMesh• Whispir• Zendesk• API de vendedor de Amazon

Los orígenes de eventos de socios están disponibles en las siguientes regiones.

Code Nombre

us-east-1 EE.UU. Este (Norte de Virginia)

us-east-2 US East (Ohio)

us-west-1 EE.UU. Oeste (Norte de California)

us-west-2 EE.UU. Oeste (Oregón)

ca-central-1 Canada (Central)

eu-central-1 Europe (Frankfurt)

eu-west-1 Europa (Irlanda)

eu-west-2 Europe (London)

eu-west-3 Europe (Paris)

eu-north-1 Europe (Stockholm)

eu-south-1 Europe (Milan)

af-south-1 Africa (Cape Town)

ap-east-1 Asia Pacific (Hong Kong)

ap-northeast-1 Asia Pacífico (Tokio)

ap-northeast-2 Asia Pacific (Seoul)

ap-southeast-1 Asia Pacífico (Singapur)

ap-southeast-2 Asia Pacífico (Sídney)

ap-south-1 Asia Pacific (Mumbai)

sa-east-1 América del Sur (São Paulo)

Configuración de Amazon EventBridge para recibireventos de una integración SaaS

En el siguiente procedimiento se describe cómo configurar EventBridge para que recibaEventosde (p. 15)de un socio de integración SaaS.

86

https://console.aws.amazon.com/events/#/partners/sugarcrm.com?page=overview

https://console.aws.amazon.com/events/#/partners/symantec.com?page=overview

https://console.aws.amazon.com/events/#/partners/thundra.io?page=overview

https://console.aws.amazon.com/events/#/partners/triggermesh.com?page=overview

https://console.aws.amazon.com/events/#/partners/whispir.com?page=overview

https://console.aws.amazon.com/events/#/partners/zendesk.com?page=overview

https://console.aws.amazon.com/events/#/partners/sellingpartnerapi.amazon.com?page=overview

Amazon EventBridge Guía del usuarioCree una regla para los eventos de socios de Saas

Para recibir eventos de un socio de SaaS

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, elija Partner event sources (Orígenes de eventos de socios).3. Busque el socio que desee y elijaConfigurarpara ese socio.4. Para copiar el ID de cuenta en el portapapeles, elijaCopy (Copiar).5. En el panel de navegación, elija Partner event sources (Orígenes de eventos de socios).6. Vaya al sitio web del socio y siga las instrucciones para crear un origen de eventos de socios

utilizando su ID de cuenta. El origen de eventos que cree está disponible solo para su cuenta.7. Vuelva a la consola de EventBridge y elijaOrígenes de eventos de sociosEn el panel de navegación.8. Seleccione el botón situado junto al origen de eventos del socio y, a continuación, elijaAssociate con

bus de eventos.

El estado del origen del evento cambia dePendingDe aActivey el nombre de las actualizacionesde bus de eventos para que coincida con el nombre del origen de eventos del socio. Ahora puedecomenzar a crear reglas que coincidan con los eventos del origen de eventos del socio. Paraobtener más información, consulte Crear una regla que coincida con los eventos de partners deSaaS (p. 87).

Crear una regla que coincida con los eventos departners de SaaS

Antes de que pueda crearReglas de (p. 30): paraEventos de (p. 15)de aplicaciones y servicios de partnersSaaS, necesita un socioBus de eventos (p. 7). A continuación, puede hacer coincidir el bus de eventos delsocio con el origen del evento del socio. Para obtener más información, consulte Recepción de eventos deun socio SaaS con Amazon EventBridge (p. 85).

Para crear una regla que coincida con un evento de un socio SaaS

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccione Rules.3. Elija Create rule.4. Escriba un nombre y una descripción de la regla.5. En Define pattern (Definir patrón), elija Event pattern (Patrón de evento).6. Elija Pre-defined pattern by service (Patrón predefinido por servicio).7. En Service provider (Proveedor de servicios), elija Service partners (Socios de servicios).8. En Service name (Nombre del servicio), elija el nombre del socio.9. En Event type (Tipo de evento), elija All Events (Todos los eventos) o elija el tipo de evento que desea

utilizar para esta regla. Si eligeTodos los eventos, todos los eventos que provienen de este origen deeventos de socios coinciden con la regla.

10. (Opcional) Para personalizar el patrón de eventos, elijaEditarRealice sus cambios y, a continuación,elijaSave (Guardar).

11. ParaBus de eventos de, seleccione el bus de eventos que corresponde a este socio.12. ParaSeleccionar objetivos, elija laAWSque actuará cuando se produzca este tipo de evento.13. En el resto de los campos de esta sección, especifique los datos concretos de este tipo de destino, si

es necesario.14. Para muchos tipos de destino, EventBridge necesita permisos para enviar eventos al destino. En estos

casos, EventBridge puede crear el rol de IAM necesario para que se ejecute la regla:

87



Amazon EventBridge Guía del usuarioCree una regla para los eventos de socios de Saas

• Para crear un rol de IAM automáticamente, elijaCree un nuevo rol de para este recurso específico• Para utilizar un rol de IAM de que haya creado antes, elijaUtilice función existente



88

Amazon EventBridge Guía del usuarioRecibir eventos deSalesForce

Recibir eventos deSalesForcePuede utilizar Amazon EventBridge para recibirEventos de (p. 15)desdeSalesForceconfigurando unflujo enAmazon AppFlowque utilizaSalesForcecomo origen de datos. A continuación, Amazon AppFlowenvíaSalesForcea EventBridge mediante unBus de eventos de socios (p. 85).

Amazon AppFlow encapsula eventos deSalesForceen un sobre de evento de EventBridge. En el siguienteejemplo se muestra unSalesForcerecibido por un bus de eventos asociado de EventBridge.

{ "version": "0", "id": "5c42b99e-e005-43b3-c744-07990c50d2cc", "detail-type": "AccountChangeEvent", "source": "aws.partner/appflow.test/salesforce.com/364228160620/CustomSF-Source-Final", "account": "000000000", "time": "2020-08-20T18:25:51Z", "region": "us-west-2", "resources": [], "detail": { "ChangeEventHeader": { "commitNumber": 248197218874, "commitUser": "0056g000003XW7AAAW", "sequenceNumber": 1, "entityName": "Account", "changeType": "UPDATE", "changedFields": [ "LastModifiedDate", "Region__c" ], "changeOrigin": "com/salesforce/api/soap/49.0;client=SfdcInternalAPI/", "transactionKey": "000035af-b239-0581-9f14-461e4187de11", "commitTimestamp": 1597947935000, "recordIds": [ "0016g00000MLhLeAAL" ] }, "LastModifiedDate": "2020-08-20T18:25:35.000Z", "Region__c": "America" }}

Paso 1: Configurar Amazon AppFlow para queutiliceSalesForceComo origen de eventos de sociosPara enviar eventos a EventBridge, primero debe configurar Amazon AppFlow para queuseSalesForcecomo origen de eventos de socios.

1. En el navegadorAmazon AppFlow, elijaCreación del flujo.2. En el navegadorDetalles de flujo, enNombre de flujoEscriba un nombre para el flujo.3. (Opcional) Escriba una descripción para el flujo y, a continuación, elijaSiguiente.4. EnDetalles de origen, elijaSalesForcedesde lasNombre de origeny, a continuación, elijaConectarPara

crear una conexión de nueva.5. En el navegadorConnect toSalesForce, elijaProducciónorEntorno de pruebaspara laSalesForceEl

medio ambiente.6. En el navegadorConnection name (Nombre de la conexión), escriba un nombre único para la conexión

y, a continuación, elijaContinuar.7. En el cuadro de diálogo SalesForce, haga lo siguiente:

89

http://aws.amazon.com/appflow/

https://console.aws.amazon.com/appflow/

Amazon EventBridge Guía del usuarioPaso 2: Configurar EventBridge

para recibirSalesForceEventos de

a. Ingrese suSalesForcenombre de usuario y contraseña para iniciar sesiónSalesForce.b. SelectSalesForcepara los tipos de datos que Amazon AppFlow debe procesar.

8. En el navegadorSeleccionarSalesForceevent, seleccione el tipo de evento que desea enviar aEventBridge.

9. Para un destino, seleccioneAmazon EventBridge.10. SelectCrear un nuevo origen de eventos de socio.11. (Opcional) Especifique un sufijo único para el origen del evento asociado.12. SeleccionarGenerar origen de eventos de socios.13. Elija un bucket de Amazon S3 para almacenar archivos de carga de eventos que superen los 256 KB.14. En el navegadorActivador de flujo, asegúrese de queEjecutar flujo en el eventoestá seleccionado. Esta

configuración garantiza que el flujo se ejecuta cuando se ejecuta un nuevoSalesForceSe produce unevento.

15. Elija Next (Siguiente).16. Para la asignación de campos, seleccioneAsignar todos los campos directamente. Si lo prefiere,

puede seleccionar los campos de interés en laNombre del campo de origenlista de.

Para obtener más información sobre la asignación de campos, consulteCampos de datos de mapa.17. Elija Next (Siguiente).18. (Opcional) Configure filtros para campos de datos en Amazon AppFlow.19. Elija Next (Siguiente).20. Revise la configuración y seleccioneCreación del flujo.

Con el flujo configurado, Amazon AppFlow crea una nueva fuente de eventos de socio que, a continuación,debe asociar con un bus de eventos de socio en su cuenta.

Paso 2: Configurar EventBridge pararecibirSalesForceEventos deAsegúrese de que el flujo de Amazon AppFlow que se desencadena desdeSalesForcecon EventBridgecomo destino se configura antes de seguir las instrucciones de esta sección.

Para configurar EventBridge para recibirSalesForceEventos de

1. Abra el iconoOrígenes de eventos de sociosen la consola de EventBridge.2. Seleccione laSalesForceque ha creado en el paso 1.3. SeleccionarAsociarse con bus de eventos.4. Validar el nombre del bus de eventos de socios.5. Elija Associate.6. En la consola de Amazon AppFlow, abra el flujo que ha creado y elijaActivar flujo.7. Abra el iconoReglasen la consola de EventBridge.8. Elija Create rule.9. Escriba un nombre único para la regla.10. SeleccionarPatrón de eventosen laDefinir patrónsección.11. ParaPatrón de eventos, seleccionePatrón predefinido por servicio.12. ParaProveedor de servicios, seleccioneTodos los eventos.13. ParaSeleccionar bus de eventos, elijaBus de eventos personalizado o de socios.14. Seleccione el bus de eventos que asoció con el origen de eventos asociado de Amazon AppFlow.

90

https://docs.aws.amazon.com/appflow/latest/userguide/getting-started.html#map-fields

https://console.aws.amazon.com/events/home?#/partners

https://console.aws.amazon.com/events/home?#/rules

Amazon EventBridge Guía del usuarioPaso 2: Configurar EventBridge

para recibirSalesForceEventos de

15. ParaSeleccionar objetivos, elija laAWSque actuará cuando se ejecute la regla. Una regla puede tenerhasta cinco objetivos.


El servicio de destino recibe todos losSalesForceconfigurados para su cuenta. Para filtrar los eventos oenviar algunos eventos a diferentes destinos, puede usar.

Note

Para eventos de más de 256 KB, Amazon AppFlow no envía el evento completo a EventBridge.En su lugar, Amazon AppFlow coloca el evento en un bucket S3 de su cuenta y, a continuación,envía un evento a EventBridge con un puntero al bucket de Amazon S3. Puede usar el punteropara obtener el evento completo del bucket.

91


En Amazon EventBridgeEn los siguientes tutoriales de, aprenará a crear EventBridgeReglas de (p. 30)para ciertas tareasytarget (p. 42).

Tutoriales:• Tutorial: Crear una regla de Amazon EventBridge paraAWS CloudTrailLlamadas a la API (p. 93)• Tutorial: Descargar enlaces de código para eventos mediante el registro de esquema de

EventBridge (p. 96)• Tutorial: Registrar el estado de un grupo de Auto Scaling con EventBridge (p. 97)• Tutorial: RegistroAWSLlamadas al API mediante EventBridge (p. 100)• Tutorial: Registrar el estado de una instancia de Amazon EC2 mediante EventBridge (p. 103)• Tutorial: Registra los cambios de estado de las instancias de Amazon EC2 (p. 106)• Tutorial: Registre las operaciones de nivel de objeto de Amazon S3 mediante EventBridge (p. 108)• Tutorial: Enviar eventos a un flujo de Amazon Kinesis mediante EventBridge (p. 112)• Tutorial: Utilice EventBridge para retransmitir eventos aAWS Systems ManagerRun

Command (p. 115)• Tutorial: Ejecutar una tarea de Amazon ECS cuando se cargue un archivo en un bucket de Amazon

S3 (p. 117)• Tutorial: Programar instantáneas automatizadas de Amazon EBS con EventBridge (p. 119)• Tutorial: Programe compilaciones automatizadas conAWS CodeBuild (p. 121)• Tutorial: ScheduleAWS LambdaUso de EventBridge (p. 123)• Tutorial: EstablezcaAWS Systems Managerautomatización como destino de EventBridge (p. 127)• Tutorial: Utilice el transformador de entrada para personalizar lo que EventBridge pasa al destino del

evento (p. 129)

92

Amazon EventBridge Guía del usuarioCrear regla basada en la llamada a la API de CloudTrail

Tutorial: Crear una regla de Amazon EventBridgeparaAWS CloudTrailLlamadas a la API

Para crear unRegla de (p. 30)que desencadena una acción de unAWSservicio que no generaEventosde (p. 15), puede hacer coincidir las llamadas API realizadas por ese servicio en su lugar.AWSCloudTrailregistra las llamadas de API para algunos servicios. Para obtener más información,consulteConsulte Servicios e integraciones compatibles con CloudTrail..

Las reglas de EventBridge solo funcionan en la región en la que se han creado. Si configura CloudTrailpara realizar un seguimiento de las llamadas a la API en varias regiones, y desea que una regla basada enCloudTrail para cada una de esas regiones, debe crear una regla independiente en cada región en la quedesea realizar un seguimiento.

Todos los eventos que se entregan por CloudTrailAWS API Call via CloudTrailComo el valordedetail-type. Eventos de acciones de API que comienzan con las palabras claveList,Get, obienDescribeno son procesados por EventBridge, con la excepción de los eventos del siguienteAWSSTSAcciones:

• GetFederationToken

• GetSessionToken

Para grabar eventos con undetail-type value of AWS API Call via CloudTrail, se requiere unrastro de CloudTrail con el registro habilitado.

Note

Es posible crear una regla que lleve a unbucle infinito, donde una regla se ejecuta repetidamente.Para evitar bucles infinitos, las reglas no deben ejecutar acciones que coincidan con la mismaregla.Por ejemplo, una regla que detecta que las ACL han cambiado en un bucket de S3 y, acontinuación, ejecuta software para cambiarlas a un nuevo estado, hace que la misma regla seejecute de nuevo.Por ejemplo, la regla puede activarse solo si las ACL tienen un estado incorrecto, en lugar dedespués de cualquier cambio.Un bucle infinito puede generar cargos superiores a los esperados rápidamente. Lerecomendamos que utilice la función de presupuestos, que le avisa cuando los cargossuperan la cuota especificada. Para obtener más información, consulteGestión de costos conpresupuestosen laAWS Billing and Cost ManagementGuía del usuario.

Important

CloudTrail extiende la entrega de eventos a través de EventBridge a los propietarios de recursos.Actualmente, CloudTrail admite tanto a las personas que llaman a la API como a los propietariosde recursos para recibir eventos en sus depósitos de S3 mediante la creación de pistas, y entregaeventos a las personas que llaman a la API a través de EventBridge. Con este cambio, lospropietarios de recursos, además de los llamadores de API, podrán supervisar las llamadasde API entre cuentas a través de EventBridge. La integración de CloudTrail con EventBridgeproporciona una forma conveniente de establecer flujos de trabajo automatizados basados enreglas en respuesta a eventos.El equipo de CloudTrail comenzó a implementar esta actualización el 12 de abril de 2021 y esperacompletar esta actualización en todas las regiones comerciales a principios de este mes. Comoresultado, algunos clientes pueden experimentar un aumento en los eventos de EventBridge quese entregan a través de EventBridge coincidiendo con esta actualización. No se requiere ningunaacción del cliente, pero si tiene alguna pregunta, comuníquese conAWS Support.

Pasos:

93

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html


Amazon EventBridge Guía del usuarioPaso 1: Creación de una regla

• Paso 1: Creación de una regla (p. 94)• Paso 2: Confirmar (p. 95)• Paso 3: Limpiar los recursos (p. 95)

Paso 1: Creación de una reglaCree una regla que se dispare en función de una llamada a la API a través de CloudTrail

Para crear una regla de



5. En Define pattern (Definir patrón), elija Event pattern (Patrón de evento).6. Elija Pre-defined pattern by service (Patrón predefinido por servicio).7. En Service provider (Proveedor de servicios), elija AWS.8. ParaNombre del servicio, elijaCloudTrail.9. ParaTipo de evento, elijaAWSAPI llamada a través de CloudTrail.

Si desea personalizar el patrón de eventos, elija Edit (Editar), realice los cambios y elija Save(Guardar).

10. En Select event bus (Seleccionar bus de eventos), elija AWS default event bus (Bus de eventospredeterminado). Cuando un servicio de AWS en su cuenta emite un evento, siempre va al bus deeventos predeterminado de su cuenta.

11. ParaObjetivo, seleccione hasta 5 destinos para enviarAWSAPI llamada a través de CloudTraila.Configure cualquier configuración adicional para el destino seleccionado. Los ajustes adicionalesvarían según el destino.

Para muchos tipos de destino, como unStep Functions estado, EventBridge necesita permisos paraenviar eventos al recurso de destino. En estos casos, EventBridge puede crear el rol de IAM necesariopara que se ejecute la regla:

• Para crear un rol de IAM automáticamente, elijaCree un rol de nuevo para este recurso específico• Para utilizar un rol de IAM que haya creado antes, elijaUsar rol existente

12. ParaReintentar la cola de mensajes fallidos:, enPolítica de reintento:

a. ParaEdad máxima del evento, introduzca un valor entre 1 minuto (00:01) y 24 horas (24:00).b. ParaIntentos de reintento, introduzca un número entre 0 y 185.

13. ParaCola de mensajes fallidos, elija si desea utilizar una cola de Amazon SQS estándar como unacola de mensajes fallidos. EventBridge envía eventos que coincidan con esta regla a la cola demensajes muertos si no se entregan correctamente al destino. Aplique alguna de las siguientesacciones:• SeleccionarNone (Ninguno)Para no utilizar una cola de mensajes fallidos.• SeleccionarSeleccione una cola de Amazon SQS en elAWSPara usar como cola de mensajes

fallidosY, a continuación, seleccione la cola que desea utilizar en la lista desplegable.• SeleccionarSeleccione una cola de Amazon SQSAWSCuenta como una cola de mensajes

fallidosY, a continuación, introduzca el ARN de la cola de utilizar. Debe adjuntar una directiva

94


Amazon EventBridge Guía del usuarioPaso 2: Confirmar

basada en recursos a la cola que otorgue permiso a EventBridge para enviarle mensajes. Paraobtener más información, consulte Concesión de permisos a la cola de mensajes fallidos (p. 40).



Paso 2: ConfirmarSi ve la regla en la lista de reglas, ha completado correctamente este aprendizaje.

Paso 3: Limpiar los recursosAhora puede eliminar los recursos que creó para este tutorial, a menos que desee conservarlos. AleliminarAWSLos recursos que ya no utilice, se evita gastos innecesariosAWSaccount.

Para eliminar la regla EventBridge

1. Abra el iconoPágina Reglasde la consola de EventBridge.2. Seleccione la regla que ha creado.3. Elija Eliminar.4. Elija Eliminar.

95

https://console.aws.amazon.com/events/home#/rule

Amazon EventBridge Guía del usuarioDescargar enlaces de código para eventos

mediante el registro de esquema de EventBridge

Tutorial: Descargar enlaces de código para eventosmediante el registro de esquema de EventBridge

Puede generarenlaces de código (p. 76): paraesquemas de eventos (p. 68)para acelerar el desarrollo deJava, Python y TypeScript. Puede obtener enlaces de código paraAWS, esquemas que cree y esquemasque genere en función deEventos de (p. 15)en unBus de eventos (p. 7). Puede generar enlaces de códigopara un esquema mediante una de las siguientes opciones:

• Consola EventBridge• API de registro de esquemas EventBridge• Su IDE con unaAWSconjunto de herramientas

En este tutorial, genere y descargue enlaces de código desde un esquema de EventBridge para loseventos de unAWSservicio de.

Para generar enlaces de código a partir de un esquema de EventBridge

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, elija Schemas (Esquemas).3. Seleccione laAWSregistro de esquema de eventosPestaña.4. Busque el esquema para elAWSPara el que desee enlaces de código, ya sea explorando el registro

de esquemas o buscando un esquema.5. Seleccione el nombre del esquema.6. En la páginaDetalles del esquemaPágina Web, en laVersion, seleccioneDescarga de enlaces de

código.7. En la página Download code bindings (Descargar enlaces de código), seleccione el lenguaje de los

enlaces de código que desea descargar.8. Seleccione Download (Descargar).

La descarga puede tardar unos segundos en comenzar. El archivo de descarga será un archivo.zip deenlaces de código para el lenguaje seleccionado.

9. Descomprima el archivo descargado y agréguelo a su proyecto.

El paquete descargado contiene un archivo README que explica cómo configurar las dependenciasdel paquete en varios marcos.

Utilice estos enlaces de código en su propio código para ayudar a crear aplicaciones rápidamenteutilizando este evento de EventBridge.

96


Amazon EventBridge Guía del usuarioEstados del grupo de Auto Scaling de registros

Tutorial: Registrar el estado de un grupo de AutoScaling con EventBridge

Puede ejecutar unAWS Lambdaque registra unEventos de (p. 15)siempre que un grupo de Auto Scalinginicie o termine una instancia de Amazon EC2 que indique si un evento se ha realizado correctamente.

Para obtener información sobre más escenarios que utilizan eventos de Auto Scaling de Amazon EC2 AutoScaling, consulteObtención de eventos de CloudWatch cuando su grupo Auto Scaling se escalaen laGuíadel usuario de Auto Scaling de Amazon EC2.

En este tutorial, creará una función Lambda y creará unRegla de (p. 30)en la consola EventBridge quellama a esa función cuando un grupo de Auto Scaling inicia o termina una instancia.

Pasos:• Paso 1: Creación de una función de Lambda (p. 97)• Paso 2: Creación de una regla (p. 97)• Paso 3: Comprobación de la regla de (p. 98)• Paso 4: Confirmar éxito (p. 95)• Paso 5: Limpiar los recursos (p. 95)

Paso 1: Creación de una función de LambdaCree una función Lambda para registrar los eventos de escalado horizontal y de escalado elevado para sugrupo de Auto Scaling de Auto Scaling.

Para crear una función Lambda, realice el siguiente procedimiento:

1. Abra el iconoAWS Lambdaenhttps://console.aws.amazon.com/lambda/.2. Elija Create function (Crear función).3. Elija Author from scratch.4. Escriba el nombre de la función Lambda. Por ejemplo, asigne un nombre a la función

LogAutoScalingEvent.5. Deje el resto de las opciones como predeterminadas y elijaCreación de función de.6. En la páginaCodeEn la página de funciones, haga doble clic enindex.js.7. Sustituya el código existente por el siguiente código.

'use strict';

exports.handler = (event, context, callback) => { console.log('LogAutoScalingEvent'); console.log('Received event:', JSON.stringify(event, null, 2)); callback(null, 'Finished');};

8. Elija Deploy (Implementar).

Paso 2: Creación de una reglaCree una regla para ejecutar la función Lambda que creó en el paso 1. La regla se ejecuta cuando el grupoAuto Scaling inicia o detiene una instancia.

97

https://docs.aws.amazon.com/lambda/latest/dg/welcome.html

https://docs.aws.amazon.com/autoscaling/latest/userguide/cloud-watch-events.html

https://console.aws.amazon.com/lambda/

Amazon EventBridge Guía del usuarioPaso 3: Comprobación de la regla de


1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccione Rules (Reglas).3. Elija Create rule.4. Escriba un nombre y una descripción de la regla.5. En Define pattern (Definir patrón), haga lo siguiente:

a. Seleccione Event Pattern.b. Elija Predefined by service (Predefinido por servicio).c. En Service provider (Proveedor de servicios), elija AWS.d. En Service Name, elija Auto Scaling.e. En Event Type (Tipo de evento), seleccione Instance Launch and Terminate (Lanzamiento y

terminación de la instancia).f. Para capturar todos los eventos de lanzamiento y terminación de instancia que se hayan realizado

correctamente o que no lo hayan hecho, elija Any instance event (Cualquier evento de instancia).g. De forma predeterminada, la regla coincide con cualquier grupo de Auto Scaling de la región.

Para que la regla coincida con un grupo de Auto Scaling específico, elijaNombre del grupoespecíficoy, a continuación, seleccione uno o varios grupos de Auto Scaling.

6. En Select event bus (Seleccionar bus de eventos), elija AWS default event bus (Bus de eventospredeterminado). Cuando unAWSEn su cuenta emite un evento, va al bus de eventos predeterminadode su cuenta.

7. ParaObjetivo, elijaLambda function.8. ParaFunción, seleccione la función Lambda que ha creado.9. Seleccione Create (Crear).

Paso 3: Comprobación de la regla dePuede probar la regla manualmente escalando un grupo de Auto Scaling para que lance una instancia.Espere unos minutos a que se produzca el evento de escalado horizontal y, a continuación, compruebeque la función Lambda se ha invocado.

Para probar la regla con un grupo de Auto Scaling

1. Para aumentar el tamaño del grupo de Auto Scaling, haga lo siguiente:

a. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.b. En el panel de navegación, seleccione Auto Scaling, Auto Scaling Groups (Grupos de Auto

Scaling).c. Seleccione la casilla del grupo de Auto Scaling de Auto Scaling.d. En la pestaña Details, seleccione Edit. En Desired, aumente la capacidad deseada en 1. Por

ejemplo, si el valor actual es2, introduzca3. La capacidad deseada debe ser menor o igual que eltamaño máximo del grupo. Si el nuevo valor de Desired es mayor que Max, debe actualizar Max.Cuando haya terminado, elija Save.

2. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.3. En el panel de navegación, seleccioneReglas, elija el nombre de la regla que ha creado y, a

continuación, elijaMétricas de la regla.4. Para ver la salida de la función Lambda, haga lo siguiente:

a. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.b. En el panel de navegación, elija Logs.

98


https://console.aws.amazon.com/ec2/


https://console.aws.amazon.com/cloudwatch/

Amazon EventBridge Guía del usuarioPaso 4: Confirmar éxito

c. Seleccione el nombre del grupo de registros para la función Lambda (/aws/lambda/function-name).

d. Seleccione el nombre del flujo de registro para ver los datos proporcionados por la función para lainstancia que ha lanzado.

5. (Opcional) Cuando haya terminado, puede reducir la capacidad deseada en uno para que el grupo deAuto Scaling vuelva a su tamaño anterior.

Paso 4: Confirmar éxitoSi ve el evento Lambda en los registros de CloudWatch, ha completado correctamente este tutorial. Si elevento no está en los registros de CloudWatch, comience a solucionar problemas comprobando que laregla se creó correctamente y, si la regla parece correcta, compruebe que el código de la función Lambdaes correcto.

Paso 5: Limpiar los recursosAhora puede eliminar los recursos que creó para este tutorial, a menos que desee conservarlos.Eliminación deAWSque ya no utilice, se evita gastos innecesarios en suAWSaccount.


1. Abra el iconoPágina Reglasde la consola de EventBridge.2. Seleccione la regla que ha creado.3. Seleccione Delete (Eliminar).4. Seleccione Delete (Eliminar).

Para eliminar la función de Lambda

1. Abra el iconoPágina Functionsde la consola Lambda.2. Seleccione la función de que ha creado.3. Elija Actions, Delete.4. Seleccione Delete (Eliminar).

99


https://console.aws.amazon.com/lambda/home#/functions

Amazon EventBridge Guía del usuarioRegistroAWSLlamadas a la API

Tutorial: RegistroAWSLlamadas al API medianteEventBridge

Puede usar unAWS LambdaFunción para registrarAWSLlamadas a la API. Por ejemplo, puede crearunRegla de (p. 30)para registrar cualquier operación enAmazon EC2o puede limitar esta regla pararegistrar solo una llamada al API específica.

En este tutorial, va a crear unAWS CloudTrail, una función Lambda y una regla en la consola EventBridge.La regla invoca la función Lambda cuando se detiene una instancia de Amazon EC2.

Pasos:• Paso 1: Creación de unAWS CloudTrailRegistro de seguimiento de (p. 100)• Paso 2: Creación de unAWS Lambdafunción (p. 100)• Paso 3: Creación de una regla (p. 101)• Paso 4: Comprobación de la regla de (p. 101)• Paso 5: Confirme el éxito (p. 95)• Paso 6: Limpiar los recursos (p. 95)

Paso 1: Creación de unAWS CloudTrailRegistro deseguimiento deSi ya tiene un registro de seguimiento configurado, vaya al paso 2.

Para crear un registro de seguimiento

1. Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.2. Elija Trails (Registros de seguimiento), Create trail (Crear un registro de seguimiento).3. En Trail name, escriba un nombre para el registro de seguimiento.4. ParaUbicación de almacenamiento, enCree un nuevo bucket de S3.5. ParaAWS KMSaliasEscriba un alias para la clave KMS.6. Elija Next (Siguiente).7. Elija Next (Siguiente).8. Elija Create Trail (Crear registro de seguimiento).

Paso 2: Creación de unAWS LambdafunciónCree una función Lambda para registrar los eventos de llamada al API.

Para crear una función Lambda

1. Abra la consola de AWS Lambda en https://console.aws.amazon.com/lambda/.2. Elija Create function (Crear función).3. Elija Author from scratch.4. Introduzca un nombre y la descripción de la función Lambda. Por ejemplo, asigne un nombre a la

función LogEC2StopInstance.5. Deje el resto de las opciones como los valores predeterminados y elijaCreación de función.6. En la páginaCodeEn la página de funciones, haga doble clic enindex.js.

100


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html


https://console.aws.amazon.com/cloudtrail/



7. Sustituya el código existente por el siguiente código.

'use strict';

exports.handler = (event, context, callback) => { console.log('LogEC2StopInstance'); console.log('Received event:', JSON.stringify(event, null, 2)); callback(null, 'Finished');};


Paso 3: Creación de una reglaCree una regla para ejecutar la función de Lambda que creó en el paso 2 siempre que pare una instanciaAmazon EC2.


1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccione Rules.3. Elija Create rule.4. Escriba un nombre y una descripción de la regla.5. En Define pattern (Definir patrón), haga lo siguiente:

a. Seleccione Event pattern.b. Elija Pre-defined pattern by service (Patrón predefinido por servicio).c. En Service provider (Proveedor de servicios), elija AWS.d. En Service Name (Nombre de servicio), elija EC2.e. ParaTipo de evento, elijaAWSAPI llamada a través de CloudTrail.f. Elija Specific operations (s) (Operaciones específicas) y escriba StopInstances en el cuadro.


7. Paraimplementación, elijaAgregar destino,Función de Lambda.8. En Function (Función), seleccione la función Lambda que ha creado.9. Seleccione Create (Crear).

Paso 4: Comprobación de la regla dePuede probar la regla parando una instancia Amazon EC2 mediante la consola de Amazon EC2. Espereunos minutos hasta que la instancia se detenga y, a continuación, compruebe suAWS Lambdaen laconsola de CloudWatch para verificar que se ejecutó la función.

Para probar la regla parando una instancia

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Lance una instancia. Para obtener más información, consulteLanzar la instanciaen laGuía del usuario

de Amazon EC2 para instancias de Linux.3. Detenga la instancia. Para obtener más información, consulteDetener e iniciar la instanciaen laGuía

del usuario de Amazon EC2 para instancias de Linux.4. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.

101



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html


Amazon EventBridge Guía del usuarioPaso 5: Confirme el éxito

5. En el panel de navegación, elijaReglasEn, elija el nombre de la regla que ha creado y, a continuación,elijaMétricas de la regla.

6. Para ver la salida de la función de Lambda, haga lo siguiente:

a. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.b. En el panel de navegación, elija Logs.c. Seleccione el nombre del grupo de registros para la función de Lambda (/aws/

lambda/function-name).d. Seleccione el nombre del flujo de registro para ver los datos proporcionados por la función para la

instancia que ha detenido.7. (Opcional) Cuando haya finalizado, termine la instancia detenida. Para obtener más información,

consulte Terminar la instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

Paso 5: Confirme el éxitoSi ve el evento Lambda en los registros de CloudWatch, ha completado correctamente este tutorial. Si elevento no está en los registros de CloudWatch, comience a solucionar problemas comprobando que laregla se creó correctamente y, si la regla parece correcta, compruebe que el código de la función Lambdaes correcto.

Paso 6: Limpiar los recursosAhora puede eliminar los recursos que creó para este tutorial, a menos que desee conservarlos. AleliminarAWSNo utilice más, se evita gastos innecesarios en suAWSaccount.

Para eliminar la regla de EventBridge

1. Abra el iconoPágina Reglasde la consola EventBridge.2. Seleccione la regla que ha creado.3. Elija Eliminar.4. Elija Eliminar.


1. Abra el iconoPágina FunctionEn la consola de Lambda.2. Seleccione la función que ha creado.3. Elija Actions (Acciones), Delete (Eliminar).4. Elija Eliminar.

Para eliminar la pista de CloudTrail

1. Abra el iconoPágina Registros de seguimientode la consola de CloudTrail.2. Seleccione la pista de seguimiento que ha creado.3. Elija Eliminar.4. Elija Eliminar.

102


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html



https://console.aws.amazon.com/cloudtrail/home#/trails

Amazon EventBridge Guía del usuarioRegistre los estados de la instancia Amazon EC2

Tutorial: Registrar el estado de una instancia deAmazon EC2 mediante EventBridge

Puede crear unAWS Lambdaque registra un cambio de estado para unAmazon EC2instancia. Entonces,puede crear unRegla de (p. 30)que ejecuta la función Lambda siempre que haya una transición de estadoo una transición a uno o varios estados de interés. En este tutorial, puede registrar el lanzamiento de unanueva instancia.

Pasos:• Paso 1: Creación de unAWS Lambdafunción (p. 103)• Paso 2: Creación de una regla (p. 103)• Paso 3: Comprobación de la regla de (p. 104)• Paso 4: Confirme el éxito (p. 95)• Paso 5: Limpiar los recursos (p. 95)

Paso 1: Creación de unAWS LambdafunciónCree una función Lambda para registrar el cambio de estadoEventos de (p. 15). Cuando se crea la reglaen el paso 2, se especifica esta función.

Para crear una función Lambda, realice el siguiente procedimiento:

1. Abra el iconoAWS Lambdaenhttps://console.aws.amazon.com/lambda/.2. Elija Create function (Crear función).3. Elija Author from scratch.4. Escriba un nombre y la descripción de la función Lambda. Por ejemplo, asigne un nombre a la función

LogEC2InstanceStateChange.5. Deje el resto de las opciones como predeterminados y elijaCree función.6. En la páginaCodeEn la página de funciones, haga doble clic enindex.js.7. Sustituya el código existente por el siguiente código.

'use strict';

exports.handler = (event, context, callback) => { console.log('LogEC2InstanceStateChange'); console.log('Received event:', JSON.stringify(event, null, 2)); callback(null, 'Finished');};


Paso 2: Creación de una reglaCree una regla para ejecutar la función Lambda que creó en el paso 1. La regla se ejecuta cuando lanceuna instancia Amazon EC2.

Para crear la regla EventBridge

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccione Rules (Reglas).

103






3. Elija Create rule.4. Escriba un nombre y una descripción de la regla.5. En Define pattern (Definir patrón), haga lo siguiente:

a. Seleccione Event pattern.b. Elija Pre-defined pattern by service (Patrón predefinido por servicio).c. En Service provider (Proveedor de servicios), elija AWS.d. En Service Name (Nombre de servicio), elija EC2.e. En Event Type (Tipo de evento), elija EC2 Instance State-change Notification (Notificación de

cambio de estado de instancia EC2).f. Seleccione Specific state(s) (Estados específicos), running (en ejecución).g. De forma predeterminada, la regla coincide con cualquier grupo de instancias en la región. Para

que la regla coincida con una instancia específica, seleccione Specific instance(s) (Instanciasespecíficas) y, a continuación, introduzca uno o varios ID de instancias.

6. En Select event bus (Seleccionar bus de eventos), elija AWS default event bus (Bus de eventospredeterminado). Cuando un servicio de AWS en su cuenta emite un evento, siempre va al bus deeventos predeterminado de su cuenta.

7. ParaObjetivo, elijaLambda function.8. ParaFunción, seleccione la función Lambda que ha creado.9. Seleccione Create (Crear).

Paso 3: Comprobación de la regla dePara probar la regla, lance una instancia Amazon EC2. Espera unos minutos a que la instancia se lance einicialice y, a continuación, compruebe que la función Lambda se ha ejecutado.

Para probar la regla lanzando una instancia


de Amazon EC2 para instancias de Linux.3. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.4. En el panel de navegación, seleccioneReglas, elija el nombre de la regla que ha creado y, a

continuación, elijaMétricas de la regla.5. Para ver la salida de la función Lambda, haga lo siguiente:

a. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.b. En el panel de navegación, elija Logs.c. Elija el nombre del grupo de registros para la función Lambda, por ejemplo/aws/

lambda/function-name.d. Elija el nombre del flujo de registro para ver los datos proporcionados por la función para la

instancia que ha lanzado.6. (Opcional) Cuando haya terminado, puede abrir la consola Amazon EC2 y detener o terminar la

instancia que ha lanzado. Para obtener más información, consulte Terminar la instancia en la Guía delusuario de Amazon EC2 para instancias de Linux.

Paso 4: Confirme el éxitoSi ve el evento Lambda en los registros de CloudWatch, ha completado correctamente este tutorial. Si elevento no está en los registros de CloudWatch, comience a solucionar problemas comprobando que la

104






Amazon EventBridge Guía del usuarioPaso 5: Limpiar los recursos

regla se creó correctamente y, si la regla parece correcta, compruebe que el código de la función Lambdaes correcto.

Paso 5: Limpiar los recursosAhora puede eliminar los recursos que creó para este tutorial, a menos que desee conservarlos.Eliminación deAWSlos recursos de que ya no utilice, se evita gastos innecesarios en suAWSaccount.


1. Abra el iconoPágina Reglasde la consola de EventBridge.2. Seleccione la regla que ha creado.3. Seleccione Delete (Eliminar).4. Seleccione Delete (Eliminar).


1. Abra el iconoPágina Functionde la consola de Lambda.2. Seleccione la función que ha creado.3. Elija Actions, Delete.4. Seleccione Delete (Eliminar).

105



Amazon EventBridge Guía del usuarioRegistra los cambios de estado

de las instancias de Amazon EC2

Tutorial: Registra los cambios de estado de lasinstancias de Amazon EC2

En este tutorial, va a crear unRegla de (p. 30)Al provocar notificaciones de cambios de estado deenAmazon EC2para iniciar sesiónAmazon CloudWatch Logs. El seguimiento de las notificaciones decambios de estado puede ayudarle a solucionar problemas con sus aplicaciones o advertirle acerca decosas que necesitan su atención.

Pasos:• Paso 1: Creación de una regla (p. 106)• Paso 2: Confirmar correctamente (p. 95)• Paso 3: Limpiar los recursos (p. 95)

Paso 1: Creación de una reglaPara crear una regla para registrar notificaciones de cambios de estado de Amazon EC2 en losCloudWatch Logs




cambio de estado de instancia EC2).f. Elija Any state (Cualquier estado) y Any instance (Cualquier instancia).

6. En Target (Destino), seleccione CloudWatch log group (Grupo de registros de CloudWatch).7. En Log Group (Grupo de registros), introduzca un nombre para el grupo de registros para recibir las

notificaciones de cambio de estado.8. Seleccione Create (Crear).

Paso 2: Confirmar correctamenteSi ve la regla en la lista de reglas, la ha creado correctamente.

Paso 3: Limpiar los recursosA menos que desee conservarlos, puede eliminar los recursos que creó para este tutorial. AleliminarAWSLos recursos de que ya no utilice, se evita gastos innecesarios en suAWSaccount.

106


https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html




1. Abra el iconoPágina Reglasde la consola EventBridge.2. Seleccione la regla que creó.3. Seleccione Delete (Eliminar).4. Seleccione Delete (Eliminar).

107


Amazon EventBridge Guía del usuarioRegistrar operaciones a nivel de objeto de Amazon S3

Tutorial: Registre las operaciones de nivel de objetode Amazon S3 mediante EventBridge

Puede registrar las operaciones del API de nivel de objeto en suAmazon S3Para los buckets de. Antesde que Amazon EventBridge coincida con estosEventos de (p. 15), debe utilizarAWS CloudTrailparaconfigurar y configurar una pista para recibir estos eventos.

En este tutorial, va a crear un registro de seguimiento de CloudTrail, cree unAWS Lambday, acontinuación, creeRegla de (p. 30)En la consola de EventBridge que invoca esa función en respuesta a unevento de datos S3.

Pasos:• Paso 1: Configurar elAWS CloudTrailRegistro de seguimiento de (p. 108)• Paso 2: Creación de unAWS Lambdafunción (p. 109)• Paso 3: Crear una regla (p. 109)• Paso 4: Comprobación de la regla de (p. 110)• Paso 5: Confirme el éxito (p. 95)• Paso 6: Limpiar los recursos (p. 95)

Paso 1: Configurar elAWS CloudTrailRegistro deseguimiento dePara registrar eventos de datos para un bucket de S3 enAWS CloudTraily EventBridge, primero se creauna pista. ARegistro de seguimiento deCaptura las llamadas al API y eventos relacionados en su cuentay, a continuación, entrega los archivos de registro en un bucket de S3 especificado. Puede actualizar unregistro de seguimiento existente o crear uno.

Para obtener más información, consulteEventos de datosen laAWS CloudTrailGuía del usuario de.

Para crear un registro de seguimiento

1. Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.2. Elija Trails (Registros de seguimiento), Create trail (Crear un registro de seguimiento).3. En Trail name, escriba un nombre para el registro de seguimiento.4. ParaUbicación de almacenamiento, enCree un nuevo bucket de S3.5. ParaAWS KMSaliasEn, escriba un alias para la clave de KMS.6. Elija Next (Siguiente).7. ParaTipo de evento, elijaEventos de datos8. ParaEventos de datosAplique alguna de las siguientes acciones:

• Para registrar eventos de datos para todos los objetos de Amazon S3 de un bucket, especifique unbucket de S3 y un prefijo vacío. Cuando un evento se produce en un objeto de dicho bucket de , elregistro de seguimiento procesa y registra el evento.

• Para registrar eventos de datos para objetos de Amazon S3 concretos en un bucket, especifique unbucket de S3 y el prefijo del objeto. Cuando un evento se produce en un objeto en dicho bucket de yel objeto comienza por el prefijo indicado, el registro de seguimiento procesa y registra el evento.

9. Para cada recurso, elija si desea iniciar sesiónLecturaeventos,Escrituraeventos, o ambos.10. Elija Next (Siguiente).11. Elija Create Trail (Crear registro de seguimiento).

108

https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html



https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html#logging-data-events

https://console.aws.amazon.com/cloudtrail/

Amazon EventBridge Guía del usuarioPaso 2: Creación de unAWS Lambdafunción

Paso 2: Creación de unAWS LambdafunciónCree una función de Lambda para registrar eventos de datos para sus buckets de S3.



función LogS3DataEvents.5. Deje el resto de las opciones como predeterminadas y elijaCreación de función.6. En la páginaCodeEn la página de funciones, haga doble clic enindex.js.7. Sustituya el código existente por el siguiente código.

'use strict';

exports.handler = (event, context, callback) => { console.log('LogS3DataEvents'); console.log('Received event:', JSON.stringify(event, null, 2)); callback(null, 'Finished');};


Paso 3: Crear una reglaCree una regla para ejecutar la función de Lambda que creó en el paso 2. Esta regla se ejecuta enrespuesta a un evento de datos de Amazon S3.



a. Seleccione Event Pattern.b. Elija Pre-defined pattern by service (Patrón predefinido por servicio).c. En Service provider (Proveedor de servicios), elija AWS.d. En Service Name (Nombre de servicio), seleccione Simple Storage Service (S3).e. En Event Type (Tipo de evento), elija Object Level Operations (Operaciones de nivel de objeto).f. Seleccione Specific operation(s) (Operaciones específicas), PutObject.g. De forma predeterminada, la regla coincide con los eventos de datos de todos los buckets de la

región. Para asignar eventos de datos a buckets específicos, elija Specify bucket(s) by name yespecifique uno o varios buckets.


7. Paraimplementación, elijaFunción de Lambda.

109




8. En Function (Función), seleccione la función Lambda que ha creado.9. Seleccione Create (Crear).

Paso 4: Comprobación de la regla dePara probar la regla, coloque un objeto en su bucket de S3. Puede verificar que su función de Lambda fueinvocada.

Para ver los registros para la función de Lambda

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Logs.3. Seleccione el nombre del grupo de registros para la función de Lambda (/aws/lambda/function-

name).4. Seleccione el nombre del flujo de registro para ver los datos proporcionados por la función para la

instancia que ha lanzado.

También puede comprobar los registros de CloudTrail en el bucket de S3 especificado para su registro deseguimiento. Para obtener más información, consulte Obtención y visualización de los archivos de registrode CloudTrail en la Guía del usuario de AWS CloudTrail.

Paso 5: Confirme el éxitoSi ve el evento Lambda en los registros de CloudWatch, ha completado correctamente este tutorial. Si elevento no está en los registros de CloudWatch, comience a solucionar problemas comprobando que laregla se creó correctamente y, si la regla parece correcta, compruebe que el código de la función Lambdaes correcto.

Paso 6: Limpiar los recursosAhora puede eliminar los recursos que creó para este tutorial, a menos que desee conservarlos. AleliminarAWSLos recursos que ya no utilice, se evita gastos innecesarios en suAWSaccount.


1. Abra el iconoPágina Reglasde la consola EventBridge.2. Seleccione la regla que ha creado.3. Elija Eliminar.4. Elija Eliminar.


1. Abra el iconoPágina FunctionEn la consola de Lambda.2. Seleccione la función que ha creado.3. Elija Actions (Acciones), Delete (Eliminar).4. Elija Eliminar.

Para eliminar la pista de CloudTrail

1. Abra el iconoPágina de Trailsde la consola de CloudTrail.

110


https://docs.aws.amazon.com/awscloudtrail/latest/userguide/get-and-view-cloudtrail-log-files.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/get-and-view-cloudtrail-log-files.html



https://console.aws.amazon.com/cloudtrail/home#/trails


2. Seleccione el registro de seguimiento que ha creado.3. Elija Eliminar.4. Elija Eliminar.

111

Amazon EventBridge Guía del usuarioEnviar eventos a una transmisión de Kinesis

Tutorial: Enviar eventos a un flujo de AmazonKinesis mediante EventBridge

Puede enviarAWSLlamada a la APIEventos de (p. 15)en EventBridge a unTransmisiones de AmazonKinesis, cree aplicaciones de Kinesis Data Streams y procese grandes cantidades de datos. En estetutorial, va a crear una secuencia de Kinesis y, a continuación, cree unRegla de (p. 30)en la consola deEventBridge que envía eventos a esa secuencia cuando se ejecuta unAmazon EC2Se detiene la instancia.

Pasos:• Prerequisites (p. 112)• Paso 1: Crear un flujo de Amazon Kinesis (p. 112)• Paso 2: Creación de una regla (p. 112)• Paso 3: Comprobación de la regla de (p. 113)• Paso 4: Verifique que se haya enviado el evento (p. 113)• Paso 5: Limpiar los recursos (p. 95)

PrerequisitesEn este tutorial se utiliza elAWS CLIpara trabajar con secuencias de Kinesis.

Para instalar elAWS CLI, consulte elInstalar, actualizar y desinstalar elAWS CLIVersión 2.

Paso 1: Crear un flujo de Amazon KinesisPara crear una secuencia, en el símbolo del sistema, ejecute el comando decreate-stream AWS CLIElcomando de.

aws kinesis create-stream --stream-name test --shard-count 1

Cuando el estado del flujo sea ACTIVE, el flujo está listo. Para comprobar el estado del flujo, ejecuteeldescribe-streamEl comando de.

aws kinesis describe-stream --stream-name test

Paso 2: Creación de una reglaCree una regla para enviar eventos a su flujo cuando se para una instancia de Amazon EC2.



a. Seleccione Event pattern.b. Elija Pre-defined pattern by service (Patrón predefinido por servicio).c. En Service provider (Proveedor de servicios), elija AWS.

112

https://docs.aws.amazon.com/streams/latest/dev/introduction.html

https://docs.aws.amazon.com/streams/latest/dev/introduction.html


https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html



d. En Service Name (Nombre de servicio), elija EC2.e. En Event Type (Tipo de evento), elija Instance State-change Notification (Notificación de cambio

de estado de instancia).f. Seleccione Specific state(s) (Estados específicos), running (en ejecución).


7. En Targets (Destinos), elija Kinesis stream (Flujo de Kinesis).8. ParaStreamEn el paso 1, seleccione el flujo que creó.9. Elija Create a new role for this specific resource.10. Seleccione Create (Crear).

Paso 3: Comprobación de la regla dePara probar la regla, pare una instancia de Amazon EC2. Espere unos minutos a que la instancia se parey, a continuación, compruebe las métricas de CloudWatch para comprobar que la función se ejecutó.

Para probar la regla parando una instancia


de Amazon EC2 para instancias de Linux.3. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.4. En el panel de navegación, seleccione Rules (Reglas).

Elija el nombre de la regla que ha creado y elija Metrics for the rule (Métricas para la regla).5. (Opcional) Cuando haya finalizado, termine la instancia. Para obtener más información, consulte

Terminar la instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

Paso 4: Verifique que se haya enviado el eventoPuede utilizar el comando deAWS CLIPara obtener el registro del flujo para comprobar que el evento seenvió.

Para obtener el registro

1. Para comenzar a leer desde su secuencia de Kinesis, en el símbolo del sistema, ejecute el comandodeget-shard-iteratorEl comando de.

aws kinesis get-shard-iterator --shard-id shardId-000000000000 --shard-iterator-type TRIM_HORIZON --stream-name test

A continuación, se muestra un ejemplo del resultado.

{ "ShardIterator": "AAAAAAAAAAHSywljv0zEgPX4NyKdZ5wryMzP9yALs8NeKbUjp1IxtZs1Sp+KEd9I6AJ9ZG4lNR1EMi+9Md/nHvtLyxpfhEzYvkTZ4D9DQVz/mBYWRO6OTZRKnW9gd+efGN2aHFdkH1rJl4BL9Wyrk+ghYG22D2T1Da2EyNSH1+LAbK33gQweTJADBdyMwlo5r6PqcP2dzhg="}

2. Para obtener el registro, utilice el siguiente comando get-records. Utilice el iterador de fragmentosde la salida del paso anterior.

113






aws kinesis get-records --shard-iterator AAAAAAAAAAHSywljv0zEgPX4NyKdZ5wryMzP9yALs8NeKbUjp1IxtZs1Sp+KEd9I6AJ9ZG4lNR1EMi+9Md/nHvtLyxpfhEzYvkTZ4D9DQVz/mBYWRO6OTZRKnW9gd+efGN2aHFdkH1rJl4BL9Wyrk+ghYG22D2T1Da2EyNSH1+LAbK33gQweTJADBdyMwlo5r6PqcP2dzhg=

Si el comando se realiza correctamente, solicita registros del flujo para el fragmento especificado.Puede recibir cero o más registros. Los registros devueltos podrían no representar todos los registrosdel flujo. Si no recibe los datos que espera, siga llamando a get-records.

3. Los registros en Kinesis están codificados en Base64. Utilice un descodificador Base64 paradescodificar los datos de modo que pueda comprobar que el evento se envió al flujo en formato JSON.



1. Abra el iconoPágina Reglasde la consola de EventBridge.2. Seleccione la regla que creó.3. Elija Eliminar.4. Elija Eliminar.

Para eliminar el flujo de Kinesis

1. Abra el iconoTransmisiones de datosde la consola Kinesis.2. Seleccione el flujo que ha creado.3. Elija Actions (Acciones), Delete (Eliminar).4. Escribadeleteen el fiekd y elijaEliminar.

114


https://console.aws.amazon.com/kinesis/home#/streams/list

Amazon EventBridge Guía del usuarioAprenda a transmitir eventos al comando

de ejecución de Systems Manager

Tutorial: Utilice EventBridge para retransmitireventos aAWS Systems ManagerRun Command

Puede utilizar Amazon EventBridge para invocarAWS Systems ManagerEjecutar comando y realizaracciones enAmazon EC2instancias cuando específicasEventos de (p. 15)Es habitual. En este tutorial,configure Systems Manager Run Command para ejecutar comandos de shell y configurar cada nuevainstancia que se lance en un grupo de Amazon EC2 Auto Scaling.

Note

En este tutorial se supone que ha asignado una etiqueta al grupo de Auto Scaling de AmazonEC2, conenvironmentcomo la clave yproductionComo valor.

Pasos:• Paso 1: Crear una regla (p. 115)• Paso 2: Confirmar correctamente (p. 95)• Paso 3: Limpiar los recursos (p. 95)

Paso 1: Crear una reglaCree una regla para ejecutar comandos de shell y configurar nuevas instancias de Amazon EC2.



a. Seleccione Event pattern.b. Elija Pre-defined pattern by service (Patrón predefinido por servicio).c. En Service provider (Proveedor de servicios), elija AWS.d. En Service Name, elija Auto Scaling.e. En Event Type (Tipo de evento), seleccione Instance Launch and Terminate (Lanzamiento y

terminación de la instancia).f. Elija Specific instance event(s), EC2 Instance-launch Lifecycle Action.g. De forma predeterminada, la regla coincide con cualquier grupo de Amazon EC2 Auto Scaling

en la región. Para que la regla coincida con un grupo específico, elija Specific group name(s)(Nombres de grupo específicos) y, a continuación, seleccione uno o varios grupos.


7. En Target (Destino), seleccione SSM Run Command (Comando Run de SSM).8. ParaDocumento, elijaAWS-RunShellScript.9. En Target key (Clave de destino), escriba tag:environment. En Target value (s) (Valores de

destino), introduzca production y elija Add (Añadir).10. En Configure automation parameter (s) (Configurar parámetros de automatización), haga lo siguiente:

a. Elija Constant (Constante).

115

https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html



Amazon EventBridge Guía del usuarioPaso 2: Confirmar correctamente

b. En Commands (Comandos), introduzca un comando de shell y elija Add (Añadir). Repita estepaso para todos los comandos que desee ejecutar cuando se lance una instancia.

c. Si es necesario, introduzca la información pertinente en WorkingDirectory y ExecutionTimeout.11. Aplique alguna de las siguientes acciones:

• Para crear un rol de IAM automáticamente, elijaCree un nuevo rol de para este recurso específico.EventBridge crea el rol de IAM necesario para que se ejecute el evento.

• Para utilizar un rol de IAM que creó antes, elijaAprenda a utilizar existente12. Elija Create rule.


Paso 3: Limpiar los recursosAhora puede eliminar los recursos que creó para este tutorial, a menos que desee conservarlos. AleliminarAWSque ya no utilice, se evita gastos innecesarios en suAWSaccount.


1. Abra el iconoPágina Reglasde la consola de EventBridge.2. Seleccione la regla que creó.3. Seleccione Delete (Eliminar).4. Seleccione Delete (Eliminar).

116


Amazon EventBridge Guía del usuarioEjecutar una tarea de Amazon ECS cuando secargue un archivo en un bucket de Amazon S3

Tutorial: Ejecutar una tarea de Amazon ECScuando se cargue un archivo en un bucket deAmazon S3

Puede utilizar EventBridge para ejecutar tareas de Amazon ECS cuandoAWS Eventos de (p. 15)Seejecuta.

En este tutorial, configurará un EventBridgeRegla de (p. 30)que ejecuta unAmazon ECScuando se cargaun archivo en unAmazon S3mediante la operación PUT de Amazon S3.

Note

En este tutorial se supone que ya ha creado la definición de tarea en Amazon ECS.

Paso:• Paso 1: Crear una regla (p. 117)• Paso 2: Confirme correctamente (p. 95)• Paso 3: Limpiar los recursos (p. 95)

Paso 1: Crear una reglaCree una regla para ejecutar una tarea de Amazon ECS cuando se cargue un archivo en un bucket de S3mediante la operación PUT de.



a. Seleccione Event pattern.b. Elija Pre-defined pattern by service (Patrón predefinido por servicio).c. En Service provider (Proveedor de servicios), elija AWS.d. En Service Name (Nombre de servicio), seleccione Simple Storage Service (S3).e. En Event Type (Tipo de evento), elija Object Level Operations (Operaciones de nivel de objeto).f. Seleccione Specific operation(s) (Operaciones específicas), Put Object (Poner objeto).g. Elija Specific bucket(s) by name (Buckets específicos por nombre) e introduzca el nombre del

bucket.6. En Select event bus (Seleccionar bus de eventos), elija AWS default event bus (Bus de eventos

predeterminado). Cuando unAWSEn su cuenta emite un evento, va al bus de eventos predeterminadode su cuenta.

7. En Targets (Destinos), haga lo siguiente:

a. Elija ECS task (Tarea de ECS).b. En Cluster (Clúster) y Task Definition (Definición de tarea), seleccione los recursos que ha creado.c. ParaTipo de lanzamiento, elijaFARGATEorEC2.FARGATEaparece sólo en Regiones dondeAWS

FargateCompatible con .

117

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/Welcome.html

https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html


Amazon EventBridge Guía del usuarioPaso 2: Confirme correctamente

d. (Opcional) Especifique un valor para Task Group (Grupo de tareas). Si Launch Type (Tipode lanzamiento) es FARGATE, puede especificar un valor para Platform Version (Versión deplataforma). Especifique solo la parte numérica de la versión de la plataforma, como 1.1.0.

e. (Opcional) Especifique una revisión de definición de tarea y un recuento de tareas. Si noespecifica una revisión de definición de tarea, EventBridge utiliza la última revisión.

f. Si la definición de la tarea utiliza el modo de red awsvpc, debe especificar las subredes y losgrupos de seguridad. Todas las subredes y los grupos de seguridad deben estar en la mismaVPC.

Si especifica más de un grupo o subred de seguridad, sepárelos con comas pero no conespacios.

En Subnets (Subredes), especifique el valor de subnet-id completo para cada subred, como enel siguiente ejemplo:

subnet-123abcd,subnet-789abcd

g. Elija si desea permitir la asignación automática de la dirección IP pública.h. Aplique alguna de las siguientes acciones:

• Para crear un rol de IAM automáticamente, elija Create a new role for this specific resource(Crear un nuevo rol para este recurso específico).

• Para utilizar una función de IAM que haya creado antes, elija Use existing role (Usar funciónexistente). Debe ser un rol que ya tenga permisos suficientes para invocar la compilación.EventBridge no concede permisos adicionales para el rol que seleccione.


Paso 2: Confirme correctamenteSi ve la regla en la lista de reglas, la ha creado correctamente.




118


Amazon EventBridge Guía del usuarioProgramar instantáneas automatizadas de Amazon EBS

Tutorial: Programar instantáneas automatizadas deAmazon EBS con EventBridge

Puede ejecutar EventBridgeReglas de (p. 30)En un programa. En este tutorial, va a crear una instantáneade unAmazon Elastic Block Store (EBS)(Amazon EBS) según un programa. Puede elegir una frecuenciafija para crear una instantánea cada pocos minutos o utilizar una expresión Cron para crear la instantáneaa una hora concreta del día.

Important

Para crear reglas condestinos (p. 42), debe utilizar elAWS Management Console.

Paso:• Paso 1: Cree la regla (p. 119)• Paso 2: Comprobación de la regla de (p. 119)• Paso 3: Confirmar éxito (p. 95)• Paso 4: Limpiar los recursos (p. 95)

Paso 1: Cree la reglaCree una regla que realice instantáneas de manera programada. Puede utilizar una expresión defrecuencia o una expresión Cron para especificar la programación. Para obtener más información, consulteCreación de una regla de Amazon EventBridge que se ejecute según una programación (p. 33).



a. Elija Schedule.b. Aplique alguna de las siguientes acciones:

• SeleccionarFixed ratey especifique el intervalo de programación, por ejemplo, 5 minutos.• SeleccionarExpresiones cronY especifique una expresión Cron, por ejemplo, cada 15

minutos, de lunes a viernes, a partir de la hora actual.

6. En Select event bus (Seleccionar bus de eventos), elija AWS default event bus (Bus de eventospredeterminado). Sólo puede utilizar el bus de eventos predeterminado para reglas programadas.

7. En Target (Destino), elija EC2 CreateSnapshot API call (Llamada a la API CreateSnapshot de EC2).8. ParaID de volumen de, escriba el ID del volumen de Amazon EBS.9. Elija Create a new role for this specific resource. El nuevo rol concede al destino permisos para

obtener acceso a los recursos en su nombre.10. Seleccione Create (Crear).

Paso 2: Comprobación de la regla dePuede verificar que la regla funciona consultando la primera instantánea después de tomarla.

119

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html



Para probar la regla

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Elastic Block Store, Snapshots (Instantáneas).3. Compruebe que la primera instantánea aparezca en la lista.

Paso 3: Confirmar éxitoSi ve una instantánea en la lista, ha completado correctamente este aprendizaje. Si la instantánea no estáen la lista, comience a solucionar problemas comprobando que la regla se creó correctamente.




120



Amazon EventBridge Guía del usuarioPrograme compilaciones automatizadas conAWS CodeBuild

Tutorial: Programe compilaciones automatizadasconAWS CodeBuild

En este tutorial, programaráCodeBuildPara ejecutar una compilación cada noche a las 20:00 UTC.También puede pasar una constante a CodeBuild para usarla en esta compilación programada. Eneste tutorial, añadimos el paso opcional de pasar un parámetro a CodeBuild, para omitir el valorpredeterminado. Esto no es obligatorio cuando se configura CodeBuild como objetivo.

Para obtener más información acerca de los parámetros que puede pasar, consulteStartBuilden laAWSCodeBuildReferencia de la API. No puede pasar elprojectName, pero puede especificar el proyectomediante el ARN enEl ARN del proyecto..

Pasos:• Paso 1: Crear una regla (p. 121)• Paso 2: Confirmar correctamente (p. 95)• Paso 3: Limpiar los recursos (p. 95)

Paso 1: Crear una reglaCree una regla para programar una compilación de proyecto CodeBuild.



a. Elija Schedule.b. Elija Cron expression (Ecpresión Cron) y especifique lo siguiente como la expresión: 0 20 ? *

MON-FRI *. (por ejemplo, 5 minutos).6. En Select event bus (Seleccionar bus de eventos), elija AWS default event bus (Bus de eventos


7. En Targets (Destinos), elija CodeBuild project (Proyecto de CodeBuild).8. En Project ARN (ARN de proyecto), introduzca el ARN del proyecto de compilación.9. (Opcional) Para pasar un parámetro a CodeBuild, haga lo siguiente:

a. SeleccionarConfiguración de la entraday, a continuación, elijaConstante (texto JSON).b. En el cuadro bajoConstante (texto JSON), introduzca lo siguiente para configurar

la anulación de tiempo de espera a 30 minutos para estas compilacionesprogramadas:{«timeoutInMinutesOverride»: 30}.

10. Aplique alguna de las siguientes acciones:

• Para crear un rol de IAM automáticamente, elijaCree una función nueva para este recursoespecífico.

• Para utilizar un rol de IAM que haya creado antes, elijaUtilizar rol existente. Debe ser un rol queya tenga permisos suficientes para invocar la compilación. EventBridge no concede permisosadicionales para el rol que seleccione.

121

https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html

https://docs.aws.amazon.com/codebuild/latest/APIReference/API_StartBuild.html


Amazon EventBridge Guía del usuarioPaso 2: Confirmar correctamente






122


Amazon EventBridge Guía del usuarioScheduleAWS Lambdafunciones

Tutorial: ScheduleAWS LambdaUso de EventBridgePuede configurar unaRegla de (p. 30)Para ejecutar unaAWS LambdaFunción programada. Este tutorialmuestra cómo utilizar la AWS Management Console o la AWS CLI para crear la regla. Si desea utilizarlaAWS CLIpero no la ha instalado, consulte laInstalar, actualizar y desinstalar elAWS CLIVersión 2.

Para programaciones, EventBridge no proporciona precisión de segundo nivel enProgramación deexpresiones (p. 33). La mejor resolución al utilizar una expresión Cron es un minuto. Debido a la naturalezadistribuida de EventBridge y de los servicios de destino, puede haber un retraso de varios segundos entreel momento en que la regla programada se activa y el momento en que el servicio de destino ejecuta elrecurso de destino.

Paso:• Paso 1: Creación de unAWS Lambdafunción (p. 123)• Paso 2: Crear una regla (p. 123)• Paso 3: Comprobación de la regla (p. 125)• Paso 4: Confirmar éxito (p. 95)• Paso 5: Limpiar los recursos (p. 95)

Paso 1: Creación de unAWS LambdafunciónCree una función Lambda para registrar los eventos programados.



función LogScheduledEvent.5. Deje el resto de las opciones como predeterminados y elijaCrear función.6. En la páginaCodede la página de funciones, haga doble clic enindex.js.7. Sustituya el código existente por el código siguiente.

'use strict';

exports.handler = (event, context, callback) => { console.log('LogScheduledEvent'); console.log('Received event:', JSON.stringify(event, null, 2)); callback(null, 'Finished');};


Paso 2: Crear una reglaCree una regla para ejecutar la función de Lambda que creó en el paso 1 de manera programada.

Puede utilizar la consola de o laAWS CLIPara crear la regla. Para utilizar elAWS CLIEn primer lugar,concede permiso a la regla para invocar su función de Lambda. A continuación, puede crear la regla yañadir la función de Lambda como destino.

123


https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html


Amazon EventBridge Guía del usuarioPaso 2: Crear una regla

Para crear una regla (consola)


a. Elija Schedule.b. SeleccionarFixed rate everyy especifique el intervalo de programación, por ejemplo, 5 minutos.

6. En Select event bus (Seleccionar bus de eventos), elija AWS default event bus (Bus de eventospredeterminado). Las reglas programadas solo se admiten en el bus de eventos predeterminado.

7. En Target (Destino), elijaLambda function (Función Lambda).8. ParaFunciónEn, seleccione la función de Lambda que creó en el paso 1.9. Seleccione Create (Crear).

Para crear una regla (AWS CLI)

1. Para crear una regla que se ejecute de manera programada, utilice laput-rulecomando.

aws events put-rule \--name my-scheduled-rule \--schedule-expression 'rate(5 minutes)'

Cuando se ejecuta esta regla, crea un evento y, a continuación, lo envía a los destinos. El siguiente esun evento de ejemplo.

{ "version": "0", "id": "53dc4d37-cffa-4f76-80c9-8b7d4a4d2eaa", "detail-type": "Scheduled Event", "source": "aws.events", "account": "123456789012", "time": "2015-10-08T16:53:06Z", "region": "us-east-1", "resources": [ "arn:aws:events:us-east-1:123456789012:rule/my-scheduled-rule" ], "detail": {}}

2. Para conceder el principal de servicio EventBridge (events.amazonaws.com) para ejecutar la regla,utilice eladd-permissioncomando.

aws lambda add-permission \--function-name LogScheduledEvent \--statement-id my-scheduled-event \--action 'lambda:InvokeFunction' \--principal events.amazonaws.com \--source-arn arn:aws:events:us-east-1:123456789012:rule/my-scheduled-rule

3. Para añadir la función de Lambda que creó en el paso 1 a la regla, utilice laput-targetscomando.

aws events put-targets --rule my-scheduled-rule --targets file://targets.json

4. Cree el archivo targets.json con el siguiente contenido.

124


Amazon EventBridge Guía del usuarioPaso 3: Comprobación de la regla

[ { "Id": "1", "Arn": "arn:aws:lambda:us-east-1:123456789012:function:LogScheduledEvent" }]

Paso 3: Comprobación de la reglaEspere al menos cinco minutos después de completar el paso 2 y, a continuación, puede comprobar quese invocó la función Lambda.

Para probar la regla

1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccione Rules.3. Elija el nombre de la regla que creó en el paso 2 y, a continuación, elijaMétricas de la regla.4. Para ver la salida de la función de Lambda, haga lo siguiente:

a. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.b. En el panel de navegación, elija Logs.c. Seleccione el nombre del grupo de registro de su función de Lambda (/aws/

lambda/function-name).d. Seleccione el nombre del flujo de registro para ver los datos proporcionados por la función para la

instancia que ha lanzado.

Paso 4: Confirmar éxitoSi ve el evento Lambda en los registros de CloudWatch, ha completado correctamente este tutorial. Si elevento no está en los registros de CloudWatch, comience a solucionar problemas comprobando que laregla se creó correctamente y, si la regla parece correcta, compruebe que el código de la función Lambdaes correcto.

Paso 5: Limpiar los recursosAhora puede eliminar los recursos que creó para este tutorial, a menos que desee conservarlos. AleliminarAWSque ya no utilice, se evita gastos innecesarios a suAWSaccount.




1. Abra el iconoPágina Functionde la consola de Lambda.2. Seleccione la función que ha creado.3. Elija Actions (Acciones), Delete (Eliminar).

125






4. Elija Eliminar.

126

Amazon EventBridge Guía del usuarioConfigurar la automatización de

Systems Manager de como destino

Tutorial: EstablezcaAWS SystemsManagerautomatización como destino deEventBridge

Puede usar EventBridge para invocarAWS Systems ManagerAutomation según un horario regular ocuando se especificaEventos de (p. 15)Se detecten. En este tutorial se presupone que está invocando laautomatización de Systems Manager en función de eventos específicos.

Pasos:• Paso 1: Crear una regla (p. 127)• Paso 2: Confirmar éxito (p. 95)• Paso 3: Limpiar los recursos (p. 95)

Paso 1: Crear una reglaCree una regla para invocar la automatización de Systems Manager.



a. Seleccione Event pattern (Patrón de evento).b. Elija Pre-defined pattern by service (Patrón predefinido por servicio).c. En Service provider (Proveedor de servicios), elija AWS.d. ParaNombre del servicioyTipo de evento, elija el servicio y el tipo de evento. En función del

servicio y el tipo de evento que elija, es posible que tenga que especificar opciones adicionales.6. En Select event bus (Seleccionar bus de eventos), elija AWS default event bus (Bus de eventos


7. En Target (Destino), elija SSM Automation (Automatización de SSM).8. ParaDocumento, seleccione el documento de Systems Manager que desea ejecutar.9. (Opcional) Para especificar una versión del documento, seleccioneConfiguración de versión de

documento.10. En Configure automation parameter(s) (Configurar prámetros de automatización), seleccione No

Parameter(s) (SIn parámetros) o Constant (Constante).

Si selecciona Constant, especifique las constantes que se van a pasar a la ejecución del documento.11. Aplique alguna de las siguientes acciones:

• Para crear un rol de IAM de automáticamente, seleccioneCrear un nuevo rol para este recursoespecíficoEventBridge crea el rol de IAM necesario para que se ejecute el evento.

• Para utilizar un rol de IAM de que haya creado antes, seleccioneUtilizar rol existente12. Seleccione Create (Crear).

127

https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html



Paso 2: Confirmar éxitoSi ve la regla en la lista de reglas, la ha creado correctamente.

Paso 3: Limpiar los recursosAhora puede eliminar los recursos de que haya creado para este tutorial, a menos que desee conservarlos.Al eliminarAWSLos recursos que ya no utilice, se evita gastos innecesarios a suAWSaccount.


1. Abra el iconoPágina Reglasde la consola de EventBridge.2. Seleccione la regla que haya creado.3. Seleccione Delete (Eliminar).4. Seleccione Delete (Eliminar).

128


Amazon EventBridge Guía del usuarioUtilice el transformador de entrada para personalizar

lo que EventBridge pasa al destino del evento

Tutorial: Utilice el transformador de entrada parapersonalizar lo que EventBridge pasa al destino delevento

Puede utilizar la herramientaTransformador de entrada (p. 60)en EventBridge para personalizar el texto deunevent (p. 15)antes de enviarlo al destino de unRegla de (p. 30).

Para ello, defina las rutas JSON del evento y asigne sus salidas a distintas variables. A continuación,puede utilizar estas variables en la plantilla de entrada. Los personajes < and > no pueden ser escapados.Para obtener más información, consulte Transformar la entrada de destino de Amazon EventBridge (p. 60)

Note

Si especifica una variable que coincida con una ruta JSON que no existe en el evento, dichavariable no se crea ni aparece en la salida.

En este tutorial, creará una regla que se ejecuta cuando cualquier instancia cambia de estado. Extraeelinstance-idystatede una instancia Amazon EC2 del evento. A continuación, utilice el transformadorde entrada para colocar dichos datos en el mensaje de que va a un tema de Amazon SNS. La

Por ejemplo, la regla de este tutorial coincide con el siguiente evento de notificación de cambio de estadode la instancia de Amazon EC2.

{ "id":"7bf73129-1428-4cd3-a780-95db273d1602", "detail-type":"EC2 Instance State-change Notification", "source":"aws.ec2", "account":"123456789012", "time":"2015-11-11T21:29:54Z", "region":"us-east-1", "resources":[ "arn:aws:ec2:us-east-1:123456789012:instance/ i-1234567890abcdef0" ], "detail":{ "instance-id":" i-1234567890abcdef0", "state":"stopped" }}

El transformador de entrada asigna elinstancevariable a la variable de$.detail.instance-idlaruta JSON del evento, y lastatevariable a la variable de$.detail.stateRuta JSON. A continuación,EventBridge coloca las variables en la plantilla de entrada «The EC2 instance <instance> has changedstate to <state>.» El resultado es el siguiente mensaje de Amazon SNS.

The EC2 instance i-1234567890abcdef0 has changed state to stopped.

Pasos:• Paso 1: Creación de una regla (p. 130)• Paso 2: Confirmar éxito (p. 95)• Paso 3: Limpiar los recursos (p. 95)

129


Paso 1: Creación de una reglaCree una regla para utilizar el transformador de entrada para personalizar la información de estado deinstancia que va a un destino.


1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.2. En el panel de navegación, seleccione Rules (Reglas).3. Elija Create rule.4. Escriba un nombre y la descripción de la regla.5. En Define pattern (Definir patrón), haga lo siguiente:


cambio de estado de instancia EC2).f. Elija Any state (Cualquier estado), Any instance (Cualquier instancia).


7. En Target (Destino), elija SNS topic (Tema de SNS).8. ParaTema, seleccione el tema de Amazon SNS que desea que se le notifique cuando las instancias

de Amazon EC2 cambian de estado.9. Elija Configure input, Input Transformer.10. En Input Path (Ruta de entrada), escriba {"state": "$.detail.state", "instance": "$.detail.instance-id"}.11. En Input Template (Plantilla de entrada), escriba "la instancia EC2 <instance> ha cambiado al estado

<state>".12. Seleccione Create (Crear).

Paso 2: Confirmar éxitoSi ve la regla en la lista de reglas, la ha creado correctamente.

Paso 3: Limpiar los recursosAhora puede eliminar los recursos que creó para este tutorial, a menos que desee conservarlos. AleliminarAWSrecursos que ya no utilice, se evita gastos innecesarios en suAWSaccount.


1. Abra el iconoPágina Reglasde la consola de EventBridge.2. Seleccione la regla que creó.3. Elija Eliminar.4. Elija Eliminar.

130




Seguridad de Amazon EventBridgeAmazon EventBridge utilizaAWS Identity and Access ManagementPara controlar el acceso aotrosAWSservicios y recursos de. Para obtener información general sobre cómo funciona IAM,consulteInformación general sobre la administración de accesoen laGuía del usuario de IAM. Paraobtener información general de credenciales de seguridad, consulteAWSCredenciales de seguridad deenlaReferencia general de Amazon Web Services.

Temas• Proteger los datos en Amazon EventBridge (p. 132)• Políticas basadas en etiquetas (p. 133)• Amazon EventBridge yAWS Identity and Access Management (p. 134)• Registrar y supervisar en Amazon EventBridge (p. 170)• Validación de la conformidad en Amazon EventBridge (p. 173)• Resistencia de Amazon EventBridge (p. 174)• Seguridad de la infraestructura en Amazon EventBridge (p. 175)• Configuración y análisis de vulnerabilidades en Amazon EventBridge (p. 176)

131

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html

https://docs.aws.amazon.com/general/latest/gr/aws-security-credentials.html

Amazon EventBridge Guía del usuarioProtección de los datos

Proteger los datos en Amazon EventBridgeLaAWS Modelo de responsabilidad compartidaSe aplica a la protección de datos en Amazon EventBridge.Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecutatoda la Nube de AWS . Usted es responsable de mantener el control sobre el contenido alojado en estainfraestructura. Este contenido incluye la configuración de seguridad y las tareas de administración de losservicios de AWS que usted utiliza. Para obtener más información acerca de la privacidad de los datos,consulte las Preguntas frecuentes sobre la privacidad de datos. Para obtener información acerca de laprotección de datos en Europa, consulte la publicación de blog The AWS Shared Responsability Model andGDPR en el Blog de seguridad de AWS.

Para fines de protección de datos, recomendamos proteger las credenciales de Cuenta de AWS yconfigurar cuentas de usuario individuales con AWS Identity and Access Management (IAM). De estamanera, solo se otorgan a cada usuario los permisos necesarios para cumplir con sus obligacioneslaborales. También le recomendamos proteger sus datos de las siguientes formas:

• Utilice Multi-Factor Authentication (MFA) con cada cuenta.• Utilice SSL/TLS para comunicarse con los recursos de AWS. Le recomendamos TLS 1.2 o una versión

posterior.• Configure la API y el registro de actividad del usuario con AWS CloudTrail.• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados

dentro de los servicios de AWS.• Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que le ayuden a detectar

y proteger los datos personales almacenados en Amazon S3.• Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de

línea de comandos o una API, utilice un punto de enlace de FIPS. Para obtener más información acercade los puntos de enlace de FIPS disponibles, consulte Estándar de procesamiento de la informaciónfederal (FIPS) 140-2.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial,como, por ejemplo, direcciones de email de sus clientes, en etiquetas o en los campos de formato libre,como el campo Name (Nombre). Esto incluye cuando trabaje con EventBridge u otrosAWSutilizandola consola, API,AWS CLI, o bienAWSSDK. Los datos que ingresa en etiquetas o campos de formatolibre utilizados para los nombres se pueden utilizar para los registros de facturación o diagnóstico. Siproporciona una URL a un servidor externo, se recomienda encarecidamente que no incluya informaciónsobre las credenciales en la URL para validar la solicitud para ese servidor.

Cifrado en reposoEventBridge cifra los metadatos de eventos y los datos de mensajes que almacena. De formapredeterminada, EventBridge cifra los datos mediante el estándar de cifrado avanzado de 256 bits(AES-256) en unAWSCMK propiedad de, que ayuda a proteger sus datos del acceso no autorizado. Elcifrado de los datos no supone ningún cargo adicional mediante elAWSCMK propiedad de.

Cifrado en tránsitoEventBridge cifra los datos que pasan entre EventBridge y otros servicios mediante Transport LayerSecurity (TLS).

132

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/data-privacy-faq

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/compliance/fips/

http://aws.amazon.com/compliance/fips/

https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk

Amazon EventBridge Guía del usuarioPolíticas basadas en etiquetas

Políticas basadas en etiquetasEn Amazon EventBridge puede utilizar políticas basadas en etiquetas para controlar el acceso a losrecursos de.

Por ejemplo, puede restringir el acceso a los recursos que incluyen una etiqueta con la claveenvironment y el valor production. En la política de ejemplo siguiente se deniega a cualquier recursocon esta etiqueta la capacidad de crear, eliminar o modificar etiquetas, reglas o buses de eventos para losrecursos que se han etiquetadoenvironment/production.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "events:PutRule", "events:DescribeRule", "events:DeleteRule", "events:CreateEventBus", "events:DescribeEventBus" "events:DeleteEventBus" ], "Resource": "*", "Condition": { "StringEquals": {"aws:TagKey/environment": "production"} } } ]}

Para obtener más información sobre el etiquetado, consulte lo siguiente.

• etiquetas de Amazon EventBridge (p. 192)• Control del acceso mediante etiquetas de IAM

133

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html

Amazon EventBridge Guía del usuarioIAM

Amazon EventBridge yAWS Identity and AccessManagement

Para acceder a Amazon EventBridge, necesita credenciales queAWSPuede utilizar para autenticarlas solicitudes. Sus credenciales deben tener permisos para acceder aAWSRecursos de como, porejemplo, para recuperar datos de evento desde otrosAWSde AWS. En las siguientes secciones se incluyeinformación detallada sobre cómo puede utilizarAWS Identity and Access Management(IAM)Y EventBridgepara ayudar a proteger sus recursos controlando quién puede obtener acceso a ellos.

Temas• Authentication (p. 134)• Control de acceso (p. 135)• Administración de los permisos de acceso a los recursos de Amazon EventBridge (p. 136)• Uso de políticas basadas en identidad (políticas de IAM) para Amazon EventBridge (p. 140)• Uso de políticas basadas en recursos para Amazon EventBridge (p. 148)• Políticas de basadas en recursos para esquemas de Amazon EventBridge (p. 153)• Referencia de permisos de Amazon EventBridge (p. 156)• Uso de condiciones de políticas de IAM para control de acceso preciso (p. 158)

AuthenticationPuede tener acceso a AWS como cualquiera de los siguientes tipos de identidades.

• AWSUsuario raíz de la cuenta de: al inscribirse enAWS, proporciona una dirección de correo electrónicoy la contraseña asociada a su cuenta de. Estas son las credenciales raíz y proporcionan accesocompleto a todos los recursos de AWS.

Important

Por motivos de seguridad, le recomendamos que solamente utilice las credenciales raízpara crear un administrador, que es un usuario de IAM con todos los permisos necesariospara administrar la cuenta. A continuación, puede utilizar este administrador para crear otrosusuarios y roles de IAM con permisos limitados. Para obtener más información, consultePrácticas recomendadas de IAM y Creación de un grupo y usuario administrador en la Guía delusuario de IAM.

• Usuario de IAM— UnUsuario de IAMEs una identidad de la cuenta que tiene permisos específicos,por ejemplo, permisos para enviar datos de eventos a un destino de EventBridge. Puede utilizar unnombre de usuario y contraseña de IAM para iniciar sesión y garantizarAWScomo las páginas webAWSManagement Console,AWSForos de debate de, o elAWS SupportCenter.

Además de un nombre de usuario y una contraseña, también puede generar claves de acceso paracada usuario. Puede utilizar estas claves cuando acceda aAWSprogramáticamente para firmarcriptográficamente su solicitud, ya sea a través deuno de los SDKo mediante el uso de la funciónAWSCommand Line Interface(AWS CLI). Si no usaAWS, debe firmar usted mismo la solicitud conSignatureVersion 4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más informaciónacerca de la autenticación de solicitudes, consulteProceso de firma Signature Version 4en laReferenciageneral de Amazon Web Services.

• Rol de IAM— UnRol de IAMes otra identidad de IAM que puede crear en su cuenta y que tiene permisosespecíficos. Es similar a unUsuario de IAM, pero no está asociado a una persona determinada. Alutilizar un rol de IAM, puede obtener claves de acceso temporales para obtener acceso aAWSservicios yrecursos de. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

134

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://console.aws.amazon.com/

https://console.aws.amazon.com/

http://forums.aws.amazon.com/

https://console.aws.amazon.com/support/home#/

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

http://aws.amazon.com/tools/

http://aws.amazon.com/cli/

http://aws.amazon.com/cli/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

Amazon EventBridge Guía del usuarioControl de acceso

• Acceso de usuarios federados— En lugar de crear un usuario de IAM, puede usar identidades deAWSDirectory ServiceEn el directorio de usuarios de la compañía o en un proveedor de identidad web(IdP). Estos se denominanUsuarios federados.AWSasigna un rol a un usuario federado cuando elusuario solicita acceso a través de unProveedor de identidades de. Para obtener más informaciónacerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del usuario de IAM.

• Acceso entre cuentas: puede utilizar un rol de IAM en su cuenta para conceder permiso a otra cuentapara tener acceso a los recursos de su cuenta. Para ver un ejemplo, consulte .Tutorial: Delegar elacceso entreAWSCuentas que utilizan roles de IAMen laGuía del usuario de IAM.

• AWSAcceso a servicios de :: puede utilizar un rol de IAM de su cuenta para conceder un rol de IAMdeAWSpara acceder a los recursos de su cuenta. Por ejemplo, puede crear una función que permita aAmazon Redshift cargar los datos almacenados en un bucket de Amazon S3 en un clúster de AmazonRedshift. Para obtener más información, consulteCreación de un rol para delegar permisos a un roldeAWSService (Servicio)en laGuía del usuario de IAM.

• Aplicaciones que se ejecutan en Amazon EC2Para las aplicaciones de Amazon EC2 que necesitanacceso a EventBridge, puede almacenar claves de acceso en la instancia EC2 o puede utilizar unafunción de IAM para administrar credenciales temporales. Para asignar unaAWSA una instancia EC2,cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene el rol y proporcionacredenciales temporales a las aplicaciones que se encuentran en ejecución en la instancia EC2. Paraobtener más información, consulte Uso de roles para aplicaciones en Amazon EC2 en la Guía delusuario de IAM.

Control de accesoPara crear recursos de EventBridge o acceder a ellos, necesita credenciales y permisos válidos. Porejemplo, para invocarAWS Lambda, Amazon Simple Notification Service (Amazon SNS) y Amazon SimpleQueue Service (Amazon SQS), debe tener permisos para esos servicios.

135

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

Amazon EventBridge Guía del usuarioAdministración del acceso

Administración de los permisos de acceso a losrecursos de Amazon EventBridgePuede administrar el acceso a recursos de EventBridge comoReglas de (p. 30)orEventosde (p. 15)mediante el uso debasado en identidades (p. 140)orbasado en recursos de (p. 148)Políticasde

Recursos de EventBridgeLos recursos y los subrecursos de EventBridge tienen nombres de recurso de Amazon (ARN) únicosasociados a ellos. Utilice ARN en EventBridge para crear patrones de eventos. Para obtener másinformación sobre los ARN, consulteNombres de recursos de Amazon (ARN) yAWSEspacios de nombresde servicios deen laReferencia general de Amazon Web Services.

Para obtener una lista de las operaciones de que proporciona EventBridge para trabajar con recursos,consulteReferencia de permisos de Amazon EventBridge (p. 156).

Note

La mayoría de los servicios de AWS tratan el carácter de dos puntos (:) o la barra diagonal (/)como el mismo carácter en los ARN. Sin embargo, EventBridge utiliza una coincidencia exactaenpatrones de eventos (p. 17)Normas de y Asegúrese de usar los caracteres de ARN correctosal crear patrones de eventos para que coincidan con la sintaxis de ARN en el evento que deseeasignar.

En la tabla siguiente se desglosan los recursos de EventBridge.

Tipo de recurso Formato de ARN

Archivado arn:aws:events:region:account:archive/archive-name

Reproducir arn:aws:events:region:account:replay/replay-name

Rule arn:aws:events:region:account:rule/[event-bus-name]/rule-name

Bus de eventos arn:aws:events:region:account:event-bus/event-bus-name

Todos los recursosEventBridge

arn:aws:events:*

Todos los recursosde EventBridge quepertenecen a la cuentaespecificada en la Regiónindicada

arn:aws:events:region:account:*

En el siguiente ejemplo se muestra cómo indicar una regla específica (myRule) en su declaraciónutilizando su ARN.

"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"

Para especificar todas las reglas que pertenezcan a una cuenta específica mediante el comodín asterisco(*) del modo siguiente:

136

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html


"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"

Para especificar todos los recursos, o si una acción de API específica no admite ARN, utilice el comodínasterisco (*) en elResourceelemento de la siguiente manera.

"Resource": "*"

Para especificar varios recursos oPutTargetsEn una única instrucción, separe sus ARN con comas, tal ycomo se indica a continuación.

"Resource": ["arn1", "arn2"]

Propiedad del recursoUna cuenta de es la propietaria de los recursos de en ella, independientemente de quién los haya creado.El propietario del recurso es la cuenta deentidad principal, el usuario raíz de la cuenta, un usuario de IAMo un rol de IAM que autentica la solicitud para crear el recurso. Los siguientes ejemplos ilustran cómofunciona:

• Si utiliza las credenciales del usuario raíz de su cuenta de para crear una regla, su cuenta de será lapropietaria del recurso EventBridge.

• Si crea un usuario de IAM en su cuenta y le concede permisos para crear recursos de EventBridge, elusuario podrá crear recursos de EventBridge. Sin embargo, su cuenta, a la que pertenece el usuario,será la propietaria de los recursos de EventBridge.

• Si crea una función de IAM en su cuenta con permisos para crear recursos de EventBridge, cualquierpersona que pueda asumir esa función podrá crear recursos de EventBridge. Su cuenta, a la quepertenece el rol, posee los recursos de EventBridge.

Administración del acceso a los recursosUna política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican lasopciones disponibles para crear políticas de permisos.

Note

En esta sección se explica cómo se usa IAM en el contexto de EventBridge. No se proporcionainformación detallada sobre el servicio de IAM. Para ver la documentación completa de IAM,consulte¿Qué es IAM?en laGuía del usuario de IAM. Para obtener más información acerca de lasintaxis y descripciones de la política de IAM, consulteReferencia de política de IAMen laGuía delusuario de IAM.

Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticas deIAM) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. En EventBridge,puede utilizar políticas basadas en identidad (políticas de IAM) y políticas basadas en recursos.

Temas• Políticas basadas en identidad (políticas de IAM) (p. 137)• Políticas de basadas en recursos (políticas de IAM) (p. 138)

Políticas basadas en identidad (políticas de IAM)

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

137

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html


• Asociar una política de permisos a un usuario o grupo de su cuentaPara conceder a un usuario permisopara ver reglas en la consola de Amazon CloudWatch, adjunte una política de permisos a un usuario o aun grupo al que pertenezca el usuario.

• Asociar una política de permisos a un rol (conceder permisos entre cuentas): puede asociar una políticade permisos basada en identidad a un rol de IAM para conceder permisos entre cuentas. Por ejemplo, eladministrador de la cuenta A puede crear un rol para conceder permisos entre cuentas a otra cuenta B oa unAWSservicio de la siguiente manera:1. Cuenta El administrador de la Cuenta A crea una función de IAM y asocia una política de permisos a

dicha función, que concede permisos sobre los recursos de la Cuenta A.2. El administrador de la cuenta A asocia una política de confianza al rol que identifica la cuenta B como

la entidad principal que puede asumir el rol.3. El administrador de la Cuenta B puede delegar permisos para asumir el rol a cualquier usuario de la

Cuenta B. De este modo, los usuarios de la Cuenta B podrán crear recursos en la Cuenta A u obteneracceso a ellos. La entidad principal de la política de confianza también puede ser la entidad principalde una política de confianza.AWSprincipal de servicio para conceder a unAWSEl permiso necesariopara adoptar el rol.

Para obtener más información acerca del uso de IAM para delegar permisos, consulteAdministración deaccesosen laGuía del usuario de IAM.

Puede crear políticas de IAM específicas para restringir las llamadas y los recursos a los que los usuariosde su cuenta tienen acceso y, a continuación, asociar esas políticas a usuarios de IAM. Para obtener másinformación sobre cómo crear roles de IAM y para ver instrucciones de políticas de IAM de EventBridge,consulte.Administración de los permisos de acceso a los recursos de Amazon EventBridge (p. 136).

Políticas de basadas en recursos (políticas de IAM)

Cuando una regla se ejecuta en EventBridge, todos losdestinos (p. 42)asociados con la regla, lo quesignifica invocar laAWS LambdaLas funciones de, publicar en los temas de Amazon SNS o retransmitirel evento a los flujos de Amazon Kinesis. Para realizar llamadas a la API de los recursos que posee,EventBridge necesita el permiso adecuado. Para los recursos de Lambda, Amazon SNS y Amazon SQS,EventBridge utiliza políticas basadas en recursos. Para las transmisiones de Kinesis, EventBridge utilizaroles de IAM.

Para obtener más información sobre cómo crear roles de IAM y para ver instrucciones de políticas basadasen recursos de ejemplo para EventBridge, consulte.Uso de políticas basadas en recursos para AmazonEventBridge (p. 148).

Especificar elementos de políticas: acciones, efectos y entidadesprincipalesPara cada recurso de EventBridge define un conjunto de operaciones de API. Para conceder permisos aestas operaciones de API, EventBridge define un conjunto de acciones que usted puede especificar enuna política. Algunas operaciones de API requieren permisos para más de una acción para poder realizarla operación de API. Para obtener más información sobre los recursos y las operaciones de API, consulteRecursos de EventBridge (p. 136) y Referencia de permisos de Amazon EventBridge (p. 156).

A continuación, se indican los elementos básicos de la política:

• RecursoUtilice un Nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica lapolítica. Para obtener más información, consulte Recursos de EventBridge (p. 136).

• AcciónUtilice palabras clave para identificar las operaciones de recursos que desea permitir o denegar.Por ejemplo, cuando se concede el permiso events:Describe, el usuario puede realizar la operaciónDescribe.

138

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html


• Efecto— Especifique opermitirordenegar. Si no concede acceso de forma explícita (permitir) a unrecurso, el acceso se deniega. También puede denegar explícitamente el acceso a un recurso paraasegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

• Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asociaesta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar elusuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticasbasadas en recursos).

Para obtener más información acerca de la sintaxis y descripciones de la política de IAM,consulteReferencia de políticas JSON de IAMen laGuía del usuario de IAM.

Para obtener información sobre las acciones de la API de EventBridge y los recursos a los que se aplican,consulte.Referencia de permisos de Amazon EventBridge (p. 156).

Especificación de las condiciones de una políticaAl conceder permisos, puede utilizar el lenguaje de la política de acceso para especificar las condicionesen las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una políticadespués de una fecha específica. Para obtener más información sobre cómo especificar condiciones en unlenguaje de política, consulte Condition en la Guía del usuario de IAM.

Para definir las condiciones, se usan claves de condición. HayAWSy claves específicas de EventBridgeque puede utilizar cuando corresponda. Para obtener una lista completa deAWSclaves, consulteClavesdisponibles de condicionesen laGuía del usuario de IAM. Para obtener una lista completa de las clavesespecíficas de EventBridge, consulteUso de condiciones de políticas de IAM para control de accesopreciso (p. 158).

139

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys

Amazon EventBridge Guía del usuarioUsar políticas basadas en identidad (políticas de IAM)

Uso de políticas basadas en identidad (políticas deIAM) para Amazon EventBridgeLas políticas basadas en identidad son políticas de permisos que se asocian a identidades de IAM.

Temas• Permisos requeridos para usar EventBridge (p. 140)• AWSPolíticas administradas de EventBridge (p. 141)• Permisos necesarios para que EventBridge acceda a destinos mediante roles de IAM (p. 143)• Ejemplos de políticas administradas por los clientes (p. 145)

Permisos requeridos para usar EventBridgePara que un usuario pueda trabajar con la consola o la API de EventBridge, debe tener un conjunto mínimode permisos para tener acceso a otrosAWSde AWS. OtrosAWSservicios pueden enviarEventos de (p. 15)aEventBridge o ser untarget (p. 42)de un EventBridgeRegla de (p. 30). La siguiente lista muestra ejemplosdeAWSy sus correspondientes permisos mínimos:

• Automation• automation:CreateAction

• automation:DescribeAction

• automation:UpdateAction

• Amazon EC2 Auto Scaling• autoscaling:DescribeAutoScalingGroups

• AWS CloudTrail• cloudtrail:DescribeTrails

• Amazon EC2• ec2:DescribeInstances

• ec2:DescribeVolumes

• EventBridge• events:DeleteRule

• events:DescribeRule

• events:DisableRule

• events:EnableRule

• events:ListRuleNamesByTarget

• events:ListRules

• events:ListTargetsByRule

• events:PutEvents

• events:PutRule

• events:PutTargets

• events:RemoveTargets

• events:TestEventPattern

• IAM• iam:ListRoles

• Kinesis• kinesis:ListStreams

140


• Lambda• lambda:AddPermission

• lambda:ListFunctions

• lambda:RemovePermission

• Amazon SNS• sns:GetTopicAttributes

• sns:ListTopics

• sns:SetTopicAttributes

• Amazon SWF• swf:DescribeAction

• swf:ReferenceAction

• swf:RegisterAction

• swf:RegisterDomain

• swf:UpdateAction

Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consolade EventBridge no funcionará del modo esperado para los usuarios con esa política de IAM. Paraasegurarse de que esos usuarios puedan seguir utilizando la consola de EventBridge, asocie tambiénelAmazonEventBridgeReadOnlyAccessPara el usuario de, como se describe enAWSPolíticasadministradas de EventBridge (p. 141).

No es necesario que conceda permisos mínimos a los usuarios que solo realizan llamadas alAWS CLI.

AWSPolíticas administradas de EventBridgeAWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes creadas yadministradas por AWS. administradoo predefinidas, conceden los permisos necesarios para casos deuso comunes, por lo que no es necesario que investigue los permisos que se necesitan. Para obtener másinformación, consulteAWSPolíticas administradas poren laGuía del usuario de IAM.

Los siguientes ejemplos deAWSLas políticas administradas por que puede asociar a usuarios de su cuentason específicas de EventBridge:

• AmazonEventBridgeFullAccess: concede acceso completo a EventBridge.• AmazonEventBridgerEadOnlyAccess: concede acceso de solo lectura a EventBridge.

Política de AmazonEventBridgeFullAccess

La política de AmazonEventBridgeFullAccess se actualizó el 4 de marzo de 2021 paraincluiriam:CreateServiceLinkedRoleyAWS Secrets Managernecesarios para utilizar destinos de API.

La política de AmazonEventBridgeFullAccess concede permisos para utilizar todas las acciones deEventBridge, así como los siguientes permisos:

• iam:CreateServiceLinkedRole— EventBridge requiere este permiso para crear el rol de servicio ensu cuenta para destinos de API. Este permiso concede sólo los permisos del servicio de IAM para crearun rol en su cuenta específicamente para destinos de API.

• iam:PassRole— EventBridge requiere este permiso para pasar un rol de invocación a EventBridgepara invocar el destino de una regla.

• Permisos de Secrets Manager— EventBridge requiere estos permisos para administrar secretos en sucuenta cuando proporciona credenciales a través del recurso de conexión para autorizar destinos deAPI.

141

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies


El siguiente JSON muestra la política de AmazonEventBridgeFullAccess.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "events:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } } ] }

Roles de IAM para enviar eventosPara transmitir eventos a los destinos, EventBridge necesita un rol de IAM.

Para crear un rol de IAM para enviar eventos a EventBridge

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.2. Para crear un rol de IAM, siga los pasos deCreación de un rol para delegar permisos a un rol

deAWSService (Servicio)en laGuía del usuario de IAM. Cuando siga los pasos, haga lo siguiente:

• EnNombre de función, utilice un nombre que sea exclusivo dentro de su cuenta.• EnSeleccionar tipo de rol, elijaAWSRoles de servicio deHaga clic en y luego enAmazon

EventBridge. Esto concede a permisos de EventBridge para adoptar el rol.• EnAsociar política, elijaAmazonEventBridgeFullAccess.

También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las accionesy recursos de EventBridge. Puede asociar estas políticas personalizadas a los usuarios o gruposde IAM que requieran esos permisos. Para obtener más información acerca de las políticas de IAM,

142

https://console.aws.amazon.com/iam/




consulteInformación general sobre las políticas de IAMen laGuía del usuario de IAM. Para obtener másinformación acerca de cómo crear y administrar políticas de IAM personalizadas, consulteAdministraciónde políticas de IAMen laGuía del usuario de IAM.

Permisos necesarios para que EventBridge acceda a destinosmediante roles de IAMPara que EventBridge acceda a destinos que son un destino de API, una secuencia de Kinesis, uncomando de ejecución de Systems Manager, unAWS Step Functionso una tarea de Amazon ElasticContainer Service, debe especificar un rol de IAM para acceder a dicho destino y el rol debe tener unapolítica determinada adjunta.

Si el destino es un destino de la API de, el rol que especifique debe incluir la siguiente política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ]}

Si el destino es una secuencia de Kinesis, el rol utilizado para enviar datos de eventos a dicho destinodebe incluir la siguiente política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ]}

Si el destino es el comando de ejecución del Systems Manager y especifica uno o másInstanceIdsParael comando, el rol que especifique debe incluir la siguiente política.

{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ]}

Si el destino es el comando Ejecutar de Systems Manager y especifica una o varias etiquetas para elcomando, el rol que especifique debe incluir la siguiente política.

143

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html


{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ]}

Si el destino es una máquina de estado de AWS Step Functions, el rol que especifique debe incluir lasiguiente política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ]}

Si el destino es una tarea de Amazon ECS, el rol que especifique debe incluir la siguiente política.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [

144


"*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }]}

Ejemplos de políticas administradas por los clientesEn los ejemplos siguientes se muestran las políticas de usuario que conceden permisos para acciones deEventBridge. Estas políticas funcionan cuando se utiliza la API de EventBridgeAWSSDK, o elAWS CLI.

Note

Todos los ejemplos utilizan la región EE. UU. Oeste (Oregón) (us-west-2) y contienen ID decuenta ficticios que debe reemplazar para utilizar estas políticas.

Utilice las políticas de IAM que figuran en la siguiente lista para limitar el acceso a EventBridge a sususuarios y roles de IAM.

Ejemplo 1: Acceso a destinos de Amazon EC2

La siguiente política permite destinos integrados en EventBridge para realizar acciones de Amazon EC2 ensu nombre. Debe utilizar laAWS Management ConsolePara crear reglas con objetivos integrados.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ]}

Ejemplo 2: Kinesis

La siguiente política permite a EventBridge retransmitir eventos a los flujos de Kinesis en su cuenta.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" }

145


]}

Ejemplo 3: Acceso a la consola

La siguiente política permite a los usuarios de IAM utilizar la consola de EventBridge.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConsoleAccess", "Effect": "Allow", "Action": [ "automation:CreateAction", "automation:DescribeAction", "automation:UpdateAction", "autoscaling:DescribeAutoScalingGroups", "cloudtrail:DescribeTrails", "ec2:DescribeInstances", "ec2:DescribeVolumes", "events:*", "iam:ListRoles", "kinesis:ListStreams", "lambda:AddPermission", "lambda:ListFunctions", "lambda:RemovePermission", "sns:GetTopicAttributes", "sns:ListTopics", "sns:SetTopicAttributes", "swf:DescribeAction", "swf:ReferenceAction", "swf:RegisterAction", "swf:RegisterDomain", "swf:UpdateAction" ], "Resource": "*" }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AWS_Events_Invoke_Targets", "arn:aws:iam::*:role/AWS_Events_Actions_Execution" ] } ]}

Ejemplo 4: EventBridgeFullAccess

La siguiente política permite que todas lasAWSpara realizar acciones contra EventBridge a través delAWSCLIy el SDK de.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccess", "Effect": "Allow", "Action": "events:*",

146


"Resource": "*" }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/AWS_Events_Invoke_Targets" } ]}

Ejemplo 5: ReadOnlyAccess

La siguiente política permite que todas lasAWSPara tener acceso de solo lectura a EventBridge.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadOnlyAccess", "Effect": "Allow", "Action": [ "events:Describe*", "events:List*", "events:TestEventPattern" ], "Resource": "*" } ]}

Ejemplo 6: Uso de etiquetas para controlar el acceso a las reglas de

Puede conceder a los usuarios acceso a reglas de EventBridge específicas al mismo tiempo que lesimpide tener acceso a otras reglas. Para ello, debe etiquetar ambos conjuntos de reglas y, a continuación,utilizar políticas de IAM que hagan referencia a esas etiquetas. Para obtener más información acerca deletiquetado de recursos de EventBridge, consulteetiquetas de Amazon EventBridge (p. 192).

Puede conceder una política de IAM a un usuario para permitirle el acceso únicamente a las reglas conuna determinada etiqueta. Puede elegir a qué reglas conceder acceso etiquetándolas con esa etiqueta enparticular. Por ejemplo, la siguiente política concede a un usuario acceso a reglas con el valor deProdParala clave de etiquetaStack.

{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ]}

Para obtener más información acerca del uso de instrucciones de política de IAM, consulteControl delacceso mediante políticasen laGuía del usuario de IAM.

147

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html

Amazon EventBridge Guía del usuarioUso de políticas basadas en recursos de

Uso de políticas basadas en recursos para AmazonEventBridgeCuando unaRegla de (p. 30)se ejecuta en EventBridge, todos losdestinos (p. 42)Se invocan asociados a laregla. Las reglas pueden invocarAWS Lambda, publicar en temas de Amazon SNS o transmitir el evento alas transmisiones de Kinesis. Para realizar llamadas a la API frente a los recursos que posee, EventBridgenecesita los permisos pertinentes. Para los recursos de Lambda, Amazon SNS, Amazon SQS y AmazonCloudWatch Logs, EventBridge utiliza políticas basadas en recursos. Para las transmisiones de Kinesis,EventBridge utilizabasado en identidades (p. 140)Políticas de

Utilice laAWS CLIPara agregar permisos a sus destinos. Para obtener información acerca de cómo instalary configurar laAWS CLI, consulteConfiguración inicial de laAWS Command Line Interfaceen laAWSCommand Line InterfaceGuía del usuario.

Temas• Permisos de Amazon API Gateway (p. 148)• Permitir CloudWatch Logs (p. 148)• Permisos de AWS Lambda (p. 149)• Permisos de Amazon SNS (p. 150)• Permisos de Amazon SQS (p. 151)

Permisos de Amazon API GatewayPara invocar el punto de enlace de Amazon API Gateway utilizando una regla de EventBridge, agregue elsiguiente permiso a la política de su punto de enlace de la API Gateway.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "execute-api:Invoke", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:events:region:account-id:rule/rule-name" }, "Resource": [ "execute-api:/stage/GET/api" ] } ]}

Permitir CloudWatch LogsCuando CloudWatch Logs es el objetivo de una regla, EventBridge crea flujos de registro y CloudWatchLogs almacena el texto de los eventos como entradas de registro. Para que EventBridge pueda crearel flujo de registros y registrar los eventos, los CloudWatch Logs deben incluir una política basada enrecursos que permita a EventBridge escribir en los registros de CloudWatch.

Si utiliza laAWS Management ConsolePara añadir CloudWatch Logs como el objetivo de una regla, lapolítica basada en recursos se crea automáticamente. Si utiliza laAWS CLIPara agregar el destino y lapolítica aún no existe, debe crearla.

148



En el siguiente ejemplo se permite a EventBridge a escribir en todos los grupos de registros que tienennombres que empiezan por/aws/events/. Si utiliza una política de nomenclatura distinta para estos tiposde registros, ajuste el ejemplo en consecuencia.

{ "Statement": [ { "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" "Service": "delivery.logs.amazonaws.com" }, "Resource": "arn:aws:logs:region:account:log-group:/aws/events/*:*", "Sid": "TrustEventsToStoreLogEvent" } ], "Version": "2012-10-17"}

Para obtener más información, consultePutResourcePolicyen laReferencia de la API de CloudWatch Logs.

Permisos de AWS LambdaPara invocar unaAWS LambdaCon una regla EventBridge, agregue el siguiente permiso a la política de sufunción Lambda.

{ "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:region:account-id:function:function-name", "Principal": { "Service": "events.amazonaws.com" }, "Condition": { "ArnLike": { "AWS:SourceArn": "arn:aws:events:region:account-id:rule/rule-name" } }, "Sid": "InvokeLambdaFunction"}

Para agregar los permisos anteriores que permiten que EventBridge invoque funciones Lambdausando el comandoAWS CLI

• En el símbolo del sistema, escriba el siguiente comando.

aws lambda add-permission --statement-id "InvokeLambdaFunction" \--action "lambda:InvokeFunction" \--principal "events.amazonaws.com" \--function-name "arn:aws:lambda:region:account-id:function:function-name" \--source-arn "arn:aws:events:region:account-id:rule/rule-name"

Para obtener más información sobre la configuración de permisos que permiten a EventBridge a invocarfunciones de Lambda, consulteAddPermissionyUso de Lambda con eventos programadosen laAWSLambdaGuía para desarrolladores.

149

https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html

https://docs.aws.amazon.com/lambda/latest/dg/API_AddPermission.html

https://docs.aws.amazon.com/lambda/latest/dg/with-scheduled-events.html


Permisos de Amazon SNSPara permitir a EventBridge publicar un tema de Amazon SNS, utilice laaws sns get-topic-attributesy laaws sns set-topic-attributescommands.

Note

No puede usarConditionen las políticas de temas de Amazon SNS para EventBridge.

Para agregar permisos que permitan a EventBridge publicar temas de SNS

1. Para mostrar los atributos de un tema de SNS, utilice el siguiente comando.

aws sns get-topic-attributes --topic-arn "arn:aws:sns:region:account-id:topic-name"

En el siguiente ejemplo se muestra el resultado de un nuevo tema de SNS.

{ "Attributes": { "SubscriptionsConfirmed": "0", "DisplayName": "", "SubscriptionsDeleted": "0", "EffectiveDeliveryPolicy": "{\"http\":{\"defaultHealthyRetryPolicy\":{\"minDelayTarget\":20,\"maxDelayTarget\":20,\"numRetries\":3,\"numMaxDelayRetries\":0,\"numNoDelayRetries\":0,\"numMinDelayRetries\":0,\"backoffFunction\":\"linear\"},\"disableSubscriptionOverrides\":false}}", "Owner": "account-id", "Policy": "{\"Version\":\"2012-10-17\",\"Id\":\"__default_policy_ID\",\"Statement\":[{\"Sid\":\"__default_statement_ID\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"*\"},\"Action\":[\"SNS:GetTopicAttributes\",\"SNS:SetTopicAttributes\",\"SNS:AddPermission\",\"SNS:RemovePermission\",\"SNS:DeleteTopic\",\"SNS:Subscribe\",\"SNS:ListSubscriptionsByTopic\",\"SNS:Publish\",\"SNS:Receive\"],\"Resource\":\"arn:aws:sns:region:account-id:topic-name\",\"Condition\":{\"StringEquals\":{\"AWS:SourceOwner\":\"account-id\"}}}]}", "TopicArn": "arn:aws:sns:region:account-id:topic-name", "SubscriptionsPending": "0" }}

2. Utilice unaConvertidor JSON a cadenaPara convertir la siguiente instrucción en una cadena.

{ "Sid": "PublishEventsToMyTopic", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:topic-name"}

Después de convertir la instrucción en una cadena, tiene un aspecto similar al siguiente:

{\"Sid\":\"PublishEventsToMyTopic\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"events.amazonaws.com\"},\"Action\":\"sns:Publish\",\"Resource\":\"arn:aws:sns:region:account-id:topic-name\"}

3. Agregue la cadena de que creó en el paso anterior a la"Statement"dentro de la"Policy"atributo.4. Usaraws sns set-topic-attributesPara establecer la nueva política.

150

https://tools.knowledgewalls.com/jsontostring


aws sns set-topic-attributes --topic-arn "arn:aws:sns:region:account-id:topic-name" \--attribute-name Policy \--attribute-value "{\"Version\":\"2012-10-17\",\"Id\":\"__default_policy_ID\",\"Statement\":[{\"Sid\":\"__default_statement_ID\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"*\"},\"Action\":[\"SNS:GetTopicAttributes\",\"SNS:SetTopicAttributes\",\"SNS:AddPermission\",\"SNS:RemovePermission\",\"SNS:DeleteTopic\",\"SNS:Subscribe\",\"SNS:ListSubscriptionsByTopic\",\"SNS:Publish\",\"SNS:Receive\"],\"Resource\":\"arn:aws:sns:region:account-id:topic-name\",\"Condition\":{\"StringEquals\":{\"AWS:SourceOwner\":\"account-id\"}}}, {\"Sid\":\"PublishEventsToMyTopic\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"events.amazonaws.com\"},\"Action\":\"sns:Publish\",\"Resource\":\"arn:aws:sns:region:account-id:topic-name\"}]}"

Para obtener más información, consulte laSetTopicAttributesAction en laReferencia de la API AmazonSimple Notification Service.

Permisos de Amazon SQSPara permitir que una regla de EventBridge invoque una cola de Amazon SQS, utilice laaws sqs get-queue-attributesyaws sqs set-queue-attributescommands.

Si la directiva para la cola de SQS está vacía, primero debe crear una directiva y, a continuación, puedeagregar la instrucción de permisos a la misma. Una nueva cola de SQS tiene una política vacía.

Si la cola de SQS ya tiene una política, debe copiar la política original y combinarla con una nuevainstrucción para agregar la instrucción de permisos a ella.

Para agregar permisos que permitan a las reglas de EventBridge invocar una cola de SQS

1. Para enumerar los atributos de cola de SQS. En el símbolo del sistema, escriba el siguiente comando.

aws sqs get-queue-attributes \--queue-url https://sqs.region.amazonaws.com/account-id/queue-name \--attribute-names Policy

2. Añada la instrucción siguiente.

{ "Sid": "EventsToMyQueue", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:region:account-id:queue-name", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:events:region:account-id:rule/rule-name" } }}

3. Utilice unaConvertidor JSON a cadenaPara convertir la instrucción anterior en una cadena. Despuésde convertir la política en una cadena, tiene un aspecto similar al siguiente:

{\"Sid\": \"EventsToMyQueue\", \"Effect\": \"Allow\", \"Principal\": {\"Service\": \"events.amazonaws.com\"}, \"Action\": \"sqs:SendMessage\", \"Resource\": \"arn:aws:sqs:region:account-id:queue-name\", \"Condition\": {\"ArnEquals\": {\"aws:SourceArn\": \"arn:aws:events:region:account-id:rule/rule-name\"}}

151

https://docs.aws.amazon.com/sns/latest/api/API_SetTopicAttributes.html

https://tools.knowledgewalls.com/jsontostring


4. Cree un archivo denominado set-queue-attributes.json con el siguiente contenido.

{ "Policy": "{\"Version\":\"2012-10-17\",\"Id\":\"arn:aws:sqs:region:account-id:queue-name/SQSDefaultPolicy\",\"Statement\":[{\"Sid\": \"EventsToMyQueue\", \"Effect\": \"Allow\", \"Principal\": {\"Service\": \"events.amazonaws.com\"}, \"Action\": \"sqs:SendMessage\", \"Resource\": \"arn:aws:sqs:region:account-id:queue-name\", \"Condition\": {\"ArnEquals\": {\"aws:SourceArn\": \"arn:aws:events:region:account-id:rule/rule-name\"}}}]}"}

5. Establezca el atributo de política mediante el comandoset-queue-attributes.jsonEl archivo queacaba de crear como entrada, como se muestra en el siguiente comando.

aws sqs set-queue-attributes \--queue-url https://sqs.region.amazonaws.com/account-id/queue-name \--attributes file://set-queue-attributes.json

Para obtener más información, consulteEjemplos de políticas de Amazon SQSen laGuía del desarrolladorde Amazon Simple Queue Service.

152

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/SQSExamples.html

Amazon EventBridge Guía del usuarioPolíticas de basadas en recursospara esquemas de EventBridge

Políticas de basadas en recursos para esquemas deAmazon EventBridgeEventBridgeregistro de esquemas (p. 70)es compatible conPolíticas de basadas en recursos (p. 148).APolítica basada en recursos de laEs una política asociada a un recurso en lugar de a una identidad deIAM. Por ejemplo, en Amazon Simple Storage Service (Amazon S3), se asocia una política de recursos aun bucket de Amazon S3.

Para obtener más información sobre los esquemas de EventBridge y las políticas basadas en recursos,consulte lo siguiente:

• Referencia de la API de REST de los esquemas de Amazon• Políticas basadas en identidad y políticas basadas en recursosen la Guía del usuario de IAM

Políticas de basadas en recursosPuede utilizar las siguientes API con directivas basadas en recursos para el registro de esquemas deEventBridge.

• DescribeRegistry

• UpdateRegistry

• DeleteRegistry

• ListSchemas

• SearchSchemas

• DescribeSchema

• CreateSchema

• DeleteSchema

• UpdateSchema

• ListSchemaVersions

• DeleteSchemaVersion

• DescribeCodeBinding

• GetCodeBindingSource

• PutCodeBinding

Ejemplo de directiva que concede todas las acciones admitidas aunAWSaccountPara el registro de esquema de EventBridge, siempre debe adjuntar una directiva basada en recursos a unregistro. Para conceder acceso a un esquema, especifique el ARN del esquema y el ARN del registro en ladirectiva.

Para conceder a un usuario acceso a todas las API disponibles para los esquemas de EventBridge, utiliceuna directiva similar a la siguiente, reemplazando la"Principal"Con el ID de la cuenta a la que deseaconceder acceso.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Test",

153

https://docs.aws.amazon.com/eventbridge/latest/schema-reference/what-is-eventbridge-schemas.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html


"Effect": "Allow", "Action": [ "schemas:*" ], "Principal": { "AWS": [ "109876543210" ] }, "Resource": [ "arn:aws:schemas:us-east-1:012345678901:registry/default", "arn:aws:schemas:us-east-1:012345678901:schema/default*" ] } ]}

Ejemplo de directiva que concede acciones de sólo lectura aunAWSaccountEn el siguiente ejemplo se concede acceso a una cuenta sólo para las API de sólo lectura para losesquemas de EventBridge.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Test", "Effect": "Allow", "Action": [ "schemas:DescribeRegistry", "schemas:ListSchemas", "schemas:SearchSchemas", "schemas:DescribeSchema", "schemas:ListSchemaVersions", "schemas:DescribeCodeBinding", "schemas:GetCodeBindingSource" ], "Principal": { "AWS": [ "109876543210" ] }, "Resource": [ "arn:aws:schemas:us-east-1:012345678901:registry/default", "arn:aws:schemas:us-east-1:012345678901:schema/default*" ] } ]}

Ejemplo de directiva que concede todas las acciones a unaorganizaciónPuede utilizar directivas basadas en recursos con el registro de esquemas de EventBridge para concederacceso a una organización. Para obtener más información, consulte la Guía del usuario de AWSOrganizations. En el siguiente ejemplo se conceden a la organización con un ID deo-a1b2c3d4e5accesoal registro de esquemas.

{

154




"Version": "2012-10-17", "Statement": [ { "Sid": "Test", "Effect": "Allow", "Action": [ "schemas:*" ], "Principal": "*", "Resource": [ "arn:aws:schemas:us-east-1:012345678901:registry/default", "arn:aws:schemas:us-east-1:012345678901:schema/default*" ], "Condition": { "StringEquals": { "aws:PrincipalOrgID": [ "o-a1b2c3d4e5" ] } } } ]}

155

Amazon EventBridge Guía del usuarioReferencia de permisos de

Referencia de permisos de Amazon EventBridge

Para especificar una acción en una directiva de EventBridge, utilice la herramientaevents:seguido delnombre de la operación del API, como se muestra en el siguiente ejemplo.

"Action": "events:PutRule"

Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo.

"Action": ["events:action1", "events:action2"]

También puede utilizar comodines. Por ejemplo, puede especificar todas las acciones que comiencen porla palabra"Put"como se indica a continuación.

"Action": "events:Put*"

Para especificar todas las acciones de la API de EventBridge, utilice la*comodín de la siguiente manera.

"Action": "events:*"

En la tabla siguiente se muestra el conjunto de operaciones de la API de EventBridge y las accionescorrespondientes que se pueden especificar en una política de IAM.

Operación de EventBridge API Permisos necesarios Descripción

DeleteRule events:DeleteRule Necesario para eliminar unaregla.

DescribeEventBus events:DescribeEventBus Necesario para enumerar lascuentas que pueden escribireventos en el bus de eventosactual de la cuenta.

DescribeRule events:DescribeRule Necesario para mostrar detallesacerca de una regla.

DisableRule events:DisableRule Necesario para deshabilitar unaregla.

EnableRule events:EnableRule Necesario para habilitar unaregla.

ListRuleNamesByTarget events:ListRuleNamesByTargetNecesario para enumerar reglasasociadas a un destino.

ListRules events:ListRules Necesario para enumerar todaslas reglas de su cuenta.

ListTagsForResource events:ListTagsForResource Necesario para generar una listade todas las etiquetas asociadasa un recurso de EventBridge.Actualmente, solo se puedenetiquetar las reglas.

156

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DeleteRule.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DescribeEventBus.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DescribeRule.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DisableRule.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_EnableRule.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRuleNamesByTarget.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRules.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListTagsForResource.html

Amazon EventBridge Guía del usuarioReferencia de permisos de

Operación de EventBridge API Permisos necesarios Descripción

ListTargetsByRule events:ListTargetsByRule Necesario para enumerar todoslos destinos asociados a unaregla.

PutEvents events:PutEvents Necesario para agregar eventospersonalizados que se puedenasignar a reglas.

PutPermission events:PutPermission Necesario para dar permisoa otra cuenta para escribireventos en el bus de eventospredeterminado de esta cuenta.

PutRule events:PutRule Necesario para crear o actualizaruna regla.

PutTargets events:PutTargets Necesario para añadir destinos auna regla.

RemovePermission events:RemovePermission Necesario para revocar elpermiso de otra cuenta paraescribir eventos en el bus deeventos predeterminado de estacuenta.

RemoveTargets events:RemoveTargets Necesario para eliminar undestino de una regla.

TestEventPattern events:TestEventPattern Necesario para probar un patrónde evento con respecto a unevento dado.

157

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListTargetsByRule.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutEvents.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutPermission.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_RemovePermission.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_RemoveTargets.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_TestEventPattern.html

Amazon EventBridge Guía del usuarioCondiciones de política de IAM

Uso de condiciones de políticas de IAM para controlde acceso precisoPara conceder permisos, utilice el lenguaje de la política de IAM en una instrucción de política paraespecificar las condiciones en las que se debe aplicar una política. Por ejemplo, puede tener una políticaque se aplique solo después de una fecha específica.

Una condición de en una política consiste en pares clave-valor. Las claves de condición no distinguenentre mayúsculas y minúsculas.

Si especifica varias condiciones o claves en una sola condición, se deben cumplir todas las condiciones yclaves para que EventBridge conceda permisos. Si especifica una condición con varios valores para unaclave, EventBridge concede permiso si uno de los valores se cumple.

Puede usar marcadores de posición oVariables de las políticas deal especificar las condiciones de.Para obtener más información, consulte Variables de políticas en la Guía del usuario de IAM. Paraobtener más información acerca de cómo especificar condiciones en un lenguaje de política de IAM,consulteCondiciónen laGuía del usuario de IAM.

De forma predeterminada, los usuarios y los roles de IAM no pueden acceder a laEventos de (p. 15)Enla cuenta de. Para obtener acceso a eventos de, un usuario debe estar autorizado paraPutRuleAcciónde la API. Si se autoriza un usuario o rol de IAM para laevents:PutRule, pueden crear unaReglade (p. 30)que coincida con ciertos eventos. Sin embargo, para que la regla sea útil, el usuario tambiéndebe tener permisos para elevents:PutTargetsporque, si desea que la regla haga más que publicaruna métrica de CloudWatch, también debe agregar unatarget (p. 42)A una regla de.

Puede proporcionar una condición en la instrucción de política de un usuario o rol de IAM quepermita al usuario o rol crear una regla que solo coincida con un conjunto específico de orígenesy tipos de eventos. Para conceder acceso a fuentes y tipos de eventos específicos, utilice laherramientaevents:sourceyevents:detail-typeClaves de condición de

Del mismo modo, puede proporcionar una condición en la instrucción de política de un usuario o rolde IAM que permita al usuario o rol crear una regla que solo coincida con un recurso específico de suscuentas. Para conceder acceso a un recurso específico, utilice la herramientaevents:TargetArnClavede condición de.

El ejemplo siguiente es una política que permite a los usuarios acceder a todos los eventos excepto a loseventos de Amazon EC2 en EventBridge mediante una instrucción deny en elPutRuleAcción de la API.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyPutRuleForAllEC2Events", "Effect": "Deny", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:source": "aws.ec2" } } } ]}

En la tabla siguiente se muestran las claves de condición y los pares de claves y valores que se puedenutilizar en una directiva de EventBridge.

158

https://docs.aws.amazon.com/IAM/latest/UserGuide/policyvariables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition


Clave de condición Par de valores clave Tipos de evaluación

eventos:CreatorAccount "events:creatorAccount":"creatorAccount"

ParaCreatorAccountUtilice elID de cuenta para la cuenta en laque se creó la regla. Utilice estacondición para autorizar llamadasAPI a reglas desde una cuentaespecífica.

CreatorAccount, Null

eventos:EventBusInvocation "events:eventBusInvocation":"boolean"

Parabooleano, use true cuandouna regla envía un evento a undestino que es un bus de eventosen otra cuenta. Use false cuandounaPutEventsSe utiliza la llamadaAPI.

eventBusInvocation, Null

eventos:origen "events:source":"source "

UsarorigenPara la cadena literalpara el campo de origen del evento,como"aws.ec2"or"aws.s3".Para obtener más valores posiblesdeorigen, consulte los eventos deejemplo enEventos deAWSServiciosde (p. 77).

Origen, Null

eventos:tipo de detalle "events:detail-type":"detail-type "

Donde detail-type es la cadenaliteral del campo detail-type delevento como "AWS API Call viaCloudTrail" y "EC2 InstanceState-change Notification".

Tipo de detalle, Null

events:Detail.userIdentity.Principalid

"events:detail.userIdentity.principalId":"principal-id"

ParaID principal,use la cadena literal paraelDetail.UserIdentity.Principalidcampodel evento con tipo dedetalle"AWS API Callvia CloudTrail"talescomo"AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName.".

ID de entidad principal, Null

eventos: detail.service "events:detail.service":"service"

ParaServicio, use la cadena literalpara eldetail.servicedel evento,como"ABUSE".

servicio, Null

events:detail.eventTypeCode

"events:detail.eventTypeCode":"eventTypeCode"eventTypeCode, Null

159


Clave de condición Par de valores clave Tipos de evaluaciónParaeventTypeCode,use la cadena literal paraelDetail.EventTypeCodedel evento,como"AWS_ABUSE_DOS_REPORT".

eventos:targetarn "events:TargetArn":"target-arn "

Paraobjetivo arn, utilice elARN del destino para la regla, porejemplo"arn:aws:lambda:*:*:function:*".

ARN, Null

eventos:GestionadBy Utilizado internamenteporAWSServicios de . Para unaregla creada por unAWSEn sunombre, el valor es el nombreprincipal del servicio que creó laregla.

No está diseñado para ser utilizadoen políticas de cliente.

aws:SourceArn El ARN de la regla que estáenviando el evento.

ARN, Null

aws:SourceAccount La cuenta en la quela regla especificadaporaws:SourceArnexiste.

ID de cuenta, nulo

Para obtener ejemplos de instrucciones de política de EventBridge, consulteAdministración de los permisosde acceso a los recursos de Amazon EventBridge (p. 136).

Temas• Ejemplo: Mediante lacreatorAccountcondición (p. 160)• Ejemplo: Mediante laeventBusInvocationcondición (p. 161)• Ejemplo: Restricción del acceso a una fuente determinada (p. 161)• Ejemplo: Definición de varios orígenes que se pueden utilizar en un patrón de eventos

individualmente (p. 163)• Ejemplo: Definir un origen y unDetailType que se puede usar en un patrón de eventos (p. 164)• Ejemplo: Asegurar que el origen está definido en el patrón de eventos (p. 165)• Ejemplo: Definición de una lista de orígenes permitidos en un patrón de eventos con varios

orígenes (p. 166)• Ejemplo: LimitaciónPutRulePara obtener acceso desdedetail.service (p. 167)• Ejemplo: LimitaciónPutRulePara obtener acceso desdedetail.eventTypeCode (p. 167)• Ejemplo: Asegurar que sóloAWS CloudTraileventos de para las llamadas a la API de una

determinadaPrincipalIdestán permitidos (p. 168)• Ejemplo: Limitar el acceso a los destinos (p. 169)

Ejemplo: Mediante lacreatorAccountcondiciónEn la siguiente instrucción de política de ejemplo se muestra cómo utilizar lacreatorAccounten unadirectiva para permitir que solo se creen reglas si la cuenta especificada comocreatorAccountes lacuenta que creó la regla.

160


{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleForOwnedRules", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEqualsIfExists": { "events:creatorAccount": "${aws:PrincipalAccount}" } } } ]}

Ejemplo: Mediante laeventBusInvocationcondiciónLaeventBusInvocationindica si la invocación se origina desde un destino entre cuentas ounPutEventsSolicitud API de. El valor es detruecuando la invocación es el resultado de una regla queincluye un destino entre cuentas, como cuando el destino es un bus de eventos en otra cuenta. El valores defalseCuando la invocación de resulta de unPutEventsSolicitud API de. En el ejemplo siguiente seindica una invocación desde un destino entre cuentas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCrossAccountInvocationEventsOnly", "Effect": "Allow", "Action": "events:PutEvents", "Resource": "*", "Condition": { "BoolIfExists": { "events:eventBusInvocation": "true" } } } ]}

Ejemplo: Restricción del acceso a una fuente determinadaLas siguientes políticas de ejemplo se pueden adjuntar a un usuario de IAM. La política A permite quelaPutRuleAcción de API para todos los eventos, mientras que la directiva B permitePutRuleSolo si elpatrón de eventos de la regla que se crea coincide con eventos de Amazon EC2.

Política A: permitir todos los eventos

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleForAllEvents", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*" }

161


] }

Política B: permitir eventos solo desde Amazon EC2

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleForAllEC2Events", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:source": "aws.ec2" } } } ]}

EventPattern es un argumento obligatorio para PutRule. Por lo tanto, si el usuario con la Política Bllama a PutRule con un patrón de eventos como el siguiente:

{ "source": [ "aws.ec2" ]}

La regla se crearía porque la política permite este origen específico, es decir, "aws.ec2". Sin embargo, siel usuario con la Política B llama a PutRule con un patrón de eventos como el siguiente, la creación de laregla se denegaría porque la política no permite este origen específico: es decir, "aws.s3".

{ "source": [ "aws.s3" ]}

Básicamente, al usuario con la Política B solo se le permite crear una regla que coincida con los eventosprocedentes de Amazon EC2; por lo tanto, solo se les permite el acceso a los eventos desde Amazon EC2.

Consulte la tabla siguiente para una comparación de Política A y Política B.

Patrón de eventos Permitidos por la Política A Permitidos por la Política B


Sí Sí

{ "source": [ "aws.ec2", "aws.s3" ]}

Sí No (el origen aws.s3 no estápermitido)

{Sí Sí

162


Patrón de eventos Permitidos por la Política A Permitidos por la Política B "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance State-change Notification" ]}

{ "detail-type": [ "EC2 Instance State-change Notification" ]}

Sí No (el origen debe especificarse)

Ejemplo: Definición de varios orígenes que se pueden utilizar enun patrón de eventos individualmenteLa siguiente política permite a un usuario o rol de IAM crear una regla en la que el origendelEventPatternes Amazon EC2 o Amazon ECS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleIfSourceIsEC2OrECS", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:source": [ "aws.ec2", "aws.ecs" ] } } } ]}

En la tabla siguiente se muestran algunos ejemplos de patrones de eventos que esta política permitiría odenegaría.

Patrón de eventos Permitidos por la Política


Sí

{ "source": [ "aws.ecs" ]}

Sí

{ "source": [ "aws.s3" ]}

No

163



{ "source": [ "aws.ec2", "aws.ecs" ]}

No

{ "detail-type": [ "AWS API Call via CloudTrail" ]}

No

Ejemplo: Definir un origen y unDetailType que se puede usaren un patrón de eventosLa siguiente política permite eventos solo desde laaws.ec2Source conDetailTypeigual queEC2instance state change notification.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleIfSourceIsEC2AndDetailTypeIsInstanceStateChangeNotification", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:source": "aws.ec2", "events:detail-type": "EC2 Instance State-change Notification" } } } ]}




No

{ "source": [ "aws.ecs" ]}

No

{ "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance State-change Notification" ]

Sí

164


Patrón de eventos Permitidos por la Política}

{ "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance Health Failed" ]}

No


No

Ejemplo: Asegurar que el origen está definido en el patrón deeventosLa siguiente política permite a los usuarios crear reglas solo conEventPatternsque tienen el campo deorigen. Con esta política, un usuario o un rol de IAM no puede crear una regla con unEventPatternqueno proporciona una fuente específica.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleIfSourceIsSpecified", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "Null": { "events:source": "false" } } } ]}



{ "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance State-change Notification" ]}

Sí

{ "source": [ "aws.ecs", "aws.ec2" ]}

Sí

165




No

Ejemplo: Definición de una lista de orígenes permitidos en unpatrón de eventos con varios orígenesLa siguiente política permite a los usuarios crear reglas conEventPatternsque tienen múltiples fuentesen ellos. Cada origen del patrón de eventos debe ser miembro de la lista proporcionada en la condición.Cuando se utiliza elForAllValuesPara asegurarse de que al menos uno de los elementos en la lista decondiciones esté definido.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleIfSourceIsSpecifiedAndIsEitherS3OrEC2OrBoth", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.ec2", "aws.s3" ] }, "Null": { "events:source": "false" } } } ]}




Sí

{ "source": [ "aws.ec2", "aws.s3" ]}

Sí

{ "source": [ "aws.ec2", "aws.autoscaling" ]}

No

{No

166


Patrón de eventos Permitidos por la Política "detail-type": [ "EC2 Instance State-change Notification" ]}

Ejemplo: LimitaciónPutRulePara obtener accesodesdedetail.servicePuede restringir un usuario o un rol de IAM a crear reglas únicamente para eventos que tengan undeterminado valor en elevents:details.servicefield. El valor deevents:details.serviceno esnecesariamente el nombre de unAWSservicio de

Esta condición de política resulta útil al trabajar con eventos deAWS Healthque se relacionen con laseguridad o el abuso. Al utilizar esta condición de política, puede limitar el acceso a estas alertas sensiblesúnicamente a aquellos usuarios que necesiten verlas.

Por ejemplo, la siguiente política permite la creación de reglas solo para los eventos cuyo donde el valor deevents:details.service sea ABUSE.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleEventsWithDetailServiceEC2", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:detail.service": "ABUSE" } } } ]}

Ejemplo: LimitaciónPutRulePara obtener accesodesdedetail.eventTypeCodePuede restringir un usuario o un rol de IAM a crear reglas únicamente para eventos que tengan undeterminado valor en elevents:details.eventTypeCodefield. Esta condición de política resulta útil altrabajar con eventos deAWS Healthque se relacionen con la seguridad o el abuso. Al utilizar esta condiciónde política, puede limitar el acceso a estas alertas sensibles únicamente a aquellos usuarios que necesitenverlas.

Por ejemplo, la siguiente política permite la creación de reglas solo para los eventos cuyo donde el valor deevents:details.eventTypeCode sea AWS_ABUSE_DOS_REPORT.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleEventsWithDetailServiceEC2", "Effect": "Allow", "Action": "events:PutRule",

167


"Resource": "*", "Condition": { "StringEquals": { "events:detail.eventTypeCode": "AWS_ABUSE_DOS_REPORT" } } } ]}

Ejemplo: Asegurar que sóloAWS CloudTraileventos de paralas llamadas a la API de una determinadaPrincipalIdestánpermitidosAll (Todos)AWS CloudTrailTodos los eventos de tienen el PrincipalId del usuario que hizo lallamada al API en ladetail.userIdentity.principalIdruta de un evento. Mediantelaevents:detail.userIdentity.principalIdBásicamente, puede limitar el acceso de los usuarioso roles de IAM a los eventos de CloudTrail únicamente para los procedentes de una cuenta específica.

"Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleOnlyForCloudTrailEventsWhereUserIsASpecificIAMUser", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:detail-type": [ "AWS API Call via CloudTrail" ], "events:detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ] } } } ]}



{ "detail-type": [ "AWS API Call via CloudTrail" ]}

No

{ "detail-type": [ "AWS API Call via CloudTrail" ], "detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ]}

Sí

{No

168


Patrón de eventos Permitidos por la Política "detail-type": [ "AWS API Call via CloudTrail" ], "detail.userIdentity.principalId": [ "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName" ]}

Ejemplo: Limitar el acceso a los destinosSi un usuario o rol de IAM tieneevents:PutTargets, pueden añadir cualquier destino en la mismacuenta a las reglas a las que se les permita el acceso. La siguiente política limita a los usuarios la adiciónde destinos a solo una regla específica:MyRulebajo cuenta123456789012.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutTargetsOnASpecificRule", "Effect": "Allow", "Action": "events:PutTargets", "Resource": "arn:aws:events:us-east-1:123456789012:rule/MyRule" } ]}

Para limitar los destinos que se pueden añadir a la regla, utilice la clave de condiciónevents:TargetArn. Puede limitar destinos solo a funciones de Lambda, como en el siguiente ejemplo.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutTargetsOnASpecificRuleAndOnlyLambdaFunctions", "Effect": "Allow", "Action": "events:PutTargets", "Resource": "arn:aws:events:us-east-1:123456789012:rule/MyRule", "Condition": { "ArnLike": { "events:TargetArn": "arn:aws:lambda:*:*:function:*" } } } ]}

169

Amazon EventBridge Guía del usuarioRegistrar y monitorear

Registrar y supervisar en Amazon EventBridgeAmazon EventBridge funciona conAWS CloudTrail, un servicio que registra acciones deAWSServicios de .CloudTrail captura las llamadas a la API de realizadas por o en nombre de suAWSdesde la consola deEventBridge y a las operaciones de la API de EventBridge.

Con la información recopilada por CloudTrail, puede identificar la solicitud que se realizó a EventBridge,la dirección IP de origen desde la que se realizó la solicitud, quién realizó la solicitud, cuándo se realizó lasolicitud, cuándo se realizó, etc.

Para obtener más información acerca de CloudTrail, consulte la AWS CloudTrailGuía del usuario de .

Temas• Información de EventBridge en CloudTrail (p. 170)• Ejemplo: Entradas de archivos de registro de Event (p. 171)

Información de EventBridge en CloudTrailCloudTrail está habilitado en suAWSAl crear la cuenta de. Cuando se produce un evento en EventBridge,CloudTrail registra el evento enHistorial de eventos. Puede ver, buscar y descargar los últimos eventosde la cuenta de AWS. Para obtener más información, consulte Ver eventos con el historial de eventos deCloudTrail.

Para obtener un registro de eventos en suAWS, incluidos los eventos de EventBridge, cree un registro deseguimiento. ARegistro de seguimiento dees una configuración que CloudTrail utiliza para enviar archivosde registro a un bucket de Amazon S3. De forma predeterminada, la pista registra los eventos de todas lasregiones de laAWSy, a continuación, entrega los archivos de registro a un bucket de S3. Puede configurarotrosAWSPara analizar y actuar según los datos de eventos recopilados en los registros de CloudTrail.Para obtener más información, consulte los siguientes temas:

• Introducción a la creación de registros de seguimiento• Consulte Servicios e integraciones compatibles con CloudTrail.• Configuración de notificaciones de Amazon SNS para CloudTrail• Recepción de archivos de registro de CloudTrail de varias regiones y Recepción de archivos de registro

de CloudTrail de varias cuentas.

Puede registrar las siguientes acciones de EventBridge como eventos en los archivos de log de CloudTrail:

• DeleteRule• DescribeEventBus• DescribeRule• DisableRule• EnableRule• ListRuleNamesByTarget• ListRules• ListTargetsByRule• PutPermission• PutRule• PutTargets• RemoveTargets• TestEventPattern

170

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DeleteRule.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DescribeRule.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DescribeRule.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DisableRule.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_EnableRule.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRuleNamesByTarget.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRules.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListTargetsByRule.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutPermission.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutRule.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutTargets.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_RemoveTargets.html


Amazon EventBridge Guía del usuarioEjemplo: Entradas de archivos de registro de Event

Cada entrada de eventos y registro contiene información acerca de quién generó la entrada. Puede utilizaresta información para identificar lo siguiente:

• Si la solicitud se realizó con credenciales de usuario AWS Identity and Access Management (IAM) ocredenciales de usuario raíz.

• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.• Si la solicitud la realizó otro servicio de AWS.

Para obtener más información, consulte Elemento userIdentity de CloudTrail.

Ejemplo: Entradas de archivos de registro de EventARegistro de seguimiento dees una configuración que CloudTrail utiliza para enviar eventos como archivosde registro a un bucket de Amazon S3. Los archivos de registro de CloudTrail contienen entradas de log.Un evento representa una entrada de registro e incluye información acerca de la acción solicitada, la fechay la hora de la acción y los parámetros de la solicitud.

Note

Los archivos de registro de CloudTrail no aparecen en ningún orden específico.

La siguiente entrada de archivo de registro de CloudTrail muestra un usuario que ha llamado aEventBridgePutRuleaction.

{ "eventVersion":"1.03", "userIdentity":{ "type":"Root", "principalId":"123456789012", "arn":"arn:aws:iam::123456789012:root", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "sessionContext":{ "attributes":{ "mfaAuthenticated":"false", "creationDate":"2015-11-17T23:56:15Z" } } }, "eventTime":"2015-11-18T00:11:28Z", "eventSource":"events.amazonaws.com", "eventName":"PutRule", "awsRegion":"us-east-1", "sourceIPAddress":"AWS Internal", "userAgent":"AWS CloudWatch Console", "requestParameters":{ "description":"", "name":"cttest2", "state":"ENABLED", "eventPattern":"{\"source\":[\"aws.ec2\"],\"detail-type\":[\"EC2 Instance State-change Notification\"]}", "scheduleExpression":"" }, "responseElements":{ "ruleArn":"arn:aws:events:us-east-1:123456789012:rule/cttest2" }, "requestID":"e9caf887-8d88-11e5-a331-3332aa445952", "eventID":"49d14f36-6450-44a5-a501-b0fdcdfaeb98", "eventType":"AwsApiCall", "apiVersion":"2015-10-07", "recipientAccountId":"123456789012"

171

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html

Amazon EventBridge Guía del usuarioEjemplo: Entradas de archivos de registro de Event

}

172

Amazon EventBridge Guía del usuarioValidación de la conformidad

Validación de la conformidad en AmazonEventBridge

Auditores externos, como, por ejemplo, SOC, PCI, FedRAMP e HIPAA, evalúan la seguridad y laconformidad deAWScomo parte de múltiplesAWSProgramas de conformidad.

Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos,consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulteDescarga de informes enAWSArtefacto.

Su responsabilidad de conformidad al utilizar EventBridge se determina en función de la confidencialidadde los datos, los objetivos de conformidad de su empresa, así como de la legislación y los reglamentosaplicables.AWSproporciona los siguientes recursos para ayudar con la conformidad:

• Guías de inicio rápido de seguridad y conformidadConsideraciones sobre arquitectura y pasos paraimplementar los entornos de referencia centrados en la seguridad y la conformidad enAWS.

• Documento técnico de Architecting for HIPAA Security and Compliance— Cómo las empresas puedenutilizarAWSPara crear aplicaciones que se ajusten al estándar HIPAA.

• AWSRecursos de conformidad— Una colección de libros de trabajo y guías.• Evaluación de recursos con reglasen laAWS ConfigGuía para desarrolladores— Información sobre

cómoAWS Configevalúa en qué medida las configuraciones de los recursos cumplen las prácticasinternas, las directrices del sector y las normativas.

• AWS Security Hub— Una visión completa de su estado de seguridad dentro deAWSDe este modo,podrá contraste el grado de conformidad con las prácticas recomendadas y los estándares sectoriales.

173

http://aws.amazon.com/compliance/services-in-scope/

http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

Amazon EventBridge Guía del usuarioResiliencia

Resistencia de Amazon EventBridgeLaAWSLa infraestructura global de está rodeada porAWSRegiones y zonas de disponibilidad.AWS Lasregiones de proporcionan varias zonas de disponibilidad físicamente independientes y aisladas quese encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además debaja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas dedisponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructurastradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.

174

http://aws.amazon.com/about-aws/global-infrastructure/

Amazon EventBridge Guía del usuarioSeguridad de la infraestructura

Seguridad de la infraestructura en AmazonEventBridge

Como servicio gestionado, Amazon EventBridge está protegido por laAWSProcedimientos de seguridadde red globales de que se describen enAmazon Web Services: Información general de los procesos deseguridadDocumento técnico.

UtilizaAWSPuede utilizar las llamadas a la API publicadas en para obtener acceso a EventBridgeLos clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles conconjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE)o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 yposteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de accesosecreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security TokenService (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Puede llamar a estas operaciones de API desde cualquier ubicación de red y puede utilizarPolíticasde acceso basadas en recursos (p. 148)En EventBridge, que puede incluir restricciones basadas enla dirección IP de origen. También puede utilizar las políticas de EventBridge para controlar el accesodesde puntos de enlace específicos de Amazon Virtual Private Cloud (Amazon VPC) o VPC específicas.Este proceso aísla con eficacia el acceso de red a un recurso de EventBridge únicamente desde la VPCespecífica de laAWSRed de.

175

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

Amazon EventBridge Guía del usuarioAnálisis de seguridad y vulnerabilidad

Configuración y análisis de vulnerabilidades enAmazon EventBridge

La configuración y los controles de TI son una responsabilidad compartida entre AWS y usted, nuestrocliente. Para obtener más información, consulte laAWS Modelo de responsabilidad compartida.

176

http://aws.amazon.com/compliance/shared-responsibility-model/

Amazon EventBridge Guía del usuarioMétricas de EventBridge

Supervisión de Amazon EventBridgeEventBridge envía métricas a Amazon CloudWatch cada minuto para todo, desde el número deEventosde (p. 15)al número de veces que untarget (p. 42)se invoca mediante unRegla de (p. 30).

Temas• Métricas de EventBridge (p. 177)• Dimensiones de las métricas de EventBridge (p. 178)

Métricas de EventBridgeEl espacio de nombres de AWS/Events incluye las siguientes métricas.

En todas estas métricas, se utiliza el recuento (Count) como unidad. Por lo tanto, las estadísticas másútiles son Sum y SampleCount.

Métrica Descripción

DeadLetterInvocationsNúmero de veces que no se invoca el destino de una regla en respuesta a unevento. Incluye las invocaciones que harían que se ejecutara la misma reglade nuevo, lo que provocaría un bucle infinito.

Dimensiones válidas: RuleName

Unidades: Recuento

FailedInvocations Número de invocaciones que produjeron definitivamente un error. No incluyelas invocaciones que se reintentaron ni las que se realizaron correcta trasun reintento. Tampoco incluye las llamadas que se realizaron fallidos que secuentan enDeadLetterInvocations.


Unidades: Recuento

Invocations Número de veces que una regla invoca un destino en respuesta a un evento.Incluye las llamadas que se realizaron correcta e incorrectamente, pero noincluye los intentos limitados o repetidos hasta que producen definitivamenteun error. No incluyeDeadLetterInvocations.

Note

EventBridge solo envía esta métrica a CloudWatch si no es cero.


Unidades: Recuento

InvocationsFailedToBeSentToDlqNúmero de invocaciones que no se pudieron mover a una cola de mensajesfallidos. Se producen errores de cola de mensajes fallidos debido a errores depermisos, recursos no disponibles o límites de tamaño.

Note


177

Amazon EventBridge Guía del usuarioDimensiones de las métricas de EventBridge

Métrica DescripciónDimensiones válidas: RuleName

Unidades: Recuento

InvocationsSentToDlqNúmero de invocaciones que se mueven a una cola de mensajes fallidos.

Note



Unidades: Recuento

ThrottledRules El número de reglas que han intentado ejecutarse pero que se estánagotando.


Unidades: Recuento

TriggeredRules Mide el número de reglas que se han ejecutado y se han asociado concualquier evento.

No verá esta métrica en CloudWatch hasta que se active una regla.


Unidades: Recuento

MatchedEvents Número de eventos correspondientes a cualquier regla.

Dimensiones válidas: Ninguna

Unidades: Recuento

Dimensiones de las métricas de EventBridgeLas métricas de EventBridge tienen unadimensión, o atributo clasificable, que se indica a continuación.

Dimensión Descripción

RuleName Filtra las métricas disponibles por nombre de regla.

178

Amazon EventBridge Guía del usuarioMi regla se ejecutó pero no se invocó mi función Lambda

Solución Amazon EventBridgePuede utilizar los pasos de esta sección para solucionar problemas de Amazon EventBridge.

Temas• Mi regla se ejecutó pero no se invocó mi función Lambda (p. 179)• Acabo de crear o modificar una regla, pero no coincidió con un evento de prueba (p. 180)• Mi regla no se ejecutó en el momento que especificé en elScheduleExpression (p. 181)• Mi regla no funcionó en el momento que esperaba (p. 181)• Mi regla coincide con las llamadas a la API de IAM pero no se ejecutó (p. 181)• El rol de IAM asociado a mi regla se ignora cuando se ejecuta la regla (p. 181)• Mi regla tiene un patrón de eventos que se supone que coincide con un recurso, pero no

coinciden (p. 182)• La entrega de mi evento al destino se ha retrasado (p. 182)• Algunos eventos no se entregaron en mi destino (p. 182)• Mi regla se ejecutó más de una vez en respuesta a un evento (p. 182)• Cómo evitar bucles infinitos (p. 182)• Mis eventos no se entregan en la cola de Amazon SQS de destino (p. 183)• Mi regla se ejecuta, pero no veo ningún mensaje publicado en mi tema de Amazon SNS (p. 183)• Mi tema de Amazon SNS sigue teniendo permisos para EventBridge incluso después de haber

eliminado la regla asociada al tema de Amazon SNS (p. 184)• ¿Qué claves de condición de IAM puedo utilizar con EventBridge? (p. 185)• ¿Cómo puedo saber si las reglas de EventBridge están rotas? (p. 185)

Mi regla se ejecutó pero no se invocó mi funciónLambda

Una de las razones por las que su función Lambda puede no ejecutarse es si no tiene los permisoscorrectos.

Para comprobar los permisos de su función Lambda

1. Mediante laAWS CLIPara ello, ejecute el siguiente comando con su función y suAWSRegión :

aws lambda get-policy --function-name MyFunction --region us-east-1

Debería ver los siguientes datos de salida.

{ "Policy": "{\"Version\":\"2012-10-17\", \"Statement\":[ {\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:events:us-east-1:123456789012:rule/MyRule\"}}, \"Action\":\"lambda:InvokeFunction\", \"Resource\":\"arn:aws:lambda:us-east-1:123456789012:function:MyFunction\", \"Effect\":\"Allow\", \"Principal\":{\"Service\":\"events.amazonaws.com\"},

179

Amazon EventBridge Guía del usuarioAcabo de crear o modificar una regla,

pero no coincidió con un evento de prueba

\"Sid\":\"MyId\"} ], \"Id\":\"default\"}"}

2. Si ve el siguiente mensaje.

A client error (ResourceNotFoundException) occurred when calling the GetPolicy operation: The resource you requested does not exist.

O si ve el resultado, pero no puede localizar events.amazonaws.com como entidad de confianza en lapolítica, ejecute el siguiente comando:

aws lambda add-permission \--function-name MyFunction \--statement-id MyId \--action 'lambda:InvokeFunction' \--principal events.amazonaws.com \--source-arn arn:aws:events:us-east-1:123456789012:rule/MyRule

3. Si la salida contiene unSourceAccount, entonces debe eliminarlo. ASourceAccountevita queEventBridge pueda invocar la función.

Note

Si la política es incorrecta, puede editar la configuraciónRegla de (p. 30)En la consola deEventBridge, eliminando y, a continuación, volviéndola añadir a la regla. A continuación, laconsola de EventBridge establece los permisos adecuados entarget (p. 42).Si utiliza un alias o versión de Lambda específica, agregue el--qualifierEn el parámetroawslambda get-policyyaws lambda add-permissionComo se muestra en el siguientecomando

aws lambda add-permission \--function-name MyFunction \--statement-id MyId \--action 'lambda:InvokeFunction' \--principal events.amazonaws.com \--source-arn arn:aws:events:us-east-1:123456789012:rule/MyRule--qualifier alias or version

Acabo de crear o modificar una regla, pero nocoincidió con un evento de prueba

Cuando realiza un cambio en unRegla de (p. 30)o a sudestinos (p. 42), entrantesEventos de (p. 15)Puedeque no pueda comenzar o parar de inmediato la asignación a reglas nuevas o actualizadas. Espere unbreve período de tiempo para que los cambios surtan efecto.

Si los eventos siguen sin coincidir después de un corto período de tiempo, compruebe las métricas deCloudWatchTriggeredRules,Invocations, yFailedInvocationsPor su regla. Para obtener másinformación acerca de estas métricas, consulteSupervisión de Amazon EventBridge (p. 177).

Si la regla está diseñada para que coincida con un evento de unAWS, utilice elservicioTestEventPatternpara probar el patrón de eventos de la regla coincide con un evento deprueba. Para obtener más información, consulteTestEventPatternen laReferencia de API de AmazonEventBridge.

180


Amazon EventBridge Guía del usuarioMi regla no se ejecutó en el momento queespecificé en elScheduleExpression

Mi regla no se ejecutó en el momento queespecificé en elScheduleExpression

Asegúrese de que ha establecido la programación paraRegla de (p. 30)en la zona horaria UTC+0. Si elarchivo deScheduleExpressionA continuación, siga los pasos indicados enAcabo de crear o modificaruna regla, pero no coincidió con un evento de prueba (p. 180).

Mi regla no funcionó en el momento que esperabaEjecuta EventBridgeReglas de (p. 30)dentro de un minuto a partir de la hora de inicio establecida. Lacuenta atrás hasta la hora de ejecución comienza en cuanto se crea la regla.

Puede utilizar una expresión cron para invocardestinos (p. 42)A una hora especificada. Para crear unaregla que se ejecute cada cuatro horas en el minuto 0, realice una de las siguientes acciones:

• En la consola de EventBridge, utilice la expresión cron0 0/4 * * ? *.• Mediante laAWS CLIPara ello, se utiliza la expresióncron(0 0/4 * * ? *).

Por ejemplo, para crear una regla denominadaTestRuleque se ejecuta cada 4 horas mediante elAWSCLIPara ello, utilice el siguiente comando.

aws events put-rule --name TestRule --schedule-expression 'cron(0 0/4 * * ? *)'

Para ejecutar una regla cada cinco minutos, utilice el siguiente cron expressio.

aws events put-rule --name TestRule --schedule-expression 'cron(0/5 * * * ? *)'

La resolución más fina para una regla EventBridge que utiliza una expresión cron es de un minuto. La reglaprogramada se ejecuta dentro de ese minuto, pero no en el segundo 0 preciso.

Debido a que EventBridge y los servicios de destino están distribuidos, puede haber un retraso de variossegundos entre el momento en que la regla programada se ejecuta y el momento en que el servicio dedestino realiza la acción en el recurso de destino.

Mi regla coincide con las llamadas a la API de IAMpero no se ejecutó

El servicio de IAM solo está disponible en la región US East (N. Virginia)AWSLas llamadas API de IAMsolo están disponibles en esa región. Para obtener más información, consulte Eventos deAWSServiciosde (p. 77).

El rol de IAM asociado a mi regla se ignora cuandose ejecuta la regla

EventBridge solo utiliza roles de IAM paraReglas de (p. 30)Que envíenEventos de (p. 15)Flujos de Kinesis.Para reglas que invocan funciones de Lambda o temas de Amazon SNS, debe proporcionarPermisosbasados en recursos (p. 148).

181

Amazon EventBridge Guía del usuarioMi regla tiene un patrón de eventos que se supone

que coincide con un recurso, pero no coinciden

Asegúrese de que su configuración regionalAWS STSestán habilitados, de modo que EventBridge puedautilizarlos al asumir el rol de IAM proporcionado. Para obtener más información, consulte Activación ydesactivación de AWS STS en una región de AWS en la Guía del usuario de IAM.

Mi regla tiene un patrón de eventos que se suponeque coincide con un recurso, pero no coinciden

La mayoría de los servicios enAWSTratar dos puntos (:) o la barra diagonal (/) como el mismo carácter enlos nombres de recursos de Amazon (ARN).patrones de eventos (p. 17)yReglas de (p. 30). Asegúrese deusar los caracteres de ARN correctos al crear patrones de eventos para que coincidan con la sintaxis deARN en laevent (p. 15)Para que coincida.

Algunos eventos, comoAWSeventos de llamada API de CloudTrail, no tienen nada en el campo derecursos.

La entrega de mi evento al destino se ha retrasadoEventBridge intenta entregar unevent (p. 15)a untarget (p. 42)Por un máximo de 24 horas, excepto enaquellos casos en que el recurso de destino esté limitado. El primer intento se realiza en cuanto el eventollega en el flujo de transmisión. Si el servicio de destino está teniendo problemas, EventBridge reprogramaautomáticamente otra entrega. Si han transcurrido 24 horas desde la llegada del evento, EventBridge dejade intentar entregar el evento y publica elFailedInvocationsMétrica de CloudWatch. Recomendamosque cree una alarma de CloudWatch en la pestañaFailedInvocationsMétrica de.

Algunos eventos no se entregaron en mi destinoSi el archivo detarget (p. 42)De un EventBridgeRegla de (p. 30)Es posible que EventBridge no puedareintentar la entrega. Por ejemplo, si el destino no está aprovisionado para manejar elevent (p. 15)Debidoa que el servicio de destino está limitando las solicitudes que EventBridge realiza en su nombre, es posibleque EventBridge no reintente la entrega.

Mi regla se ejecutó más de una vez en respuesta aun evento

En raras ocasiones, la mismaRegla de (p. 30)Puede ejecutar más de una vez para un únicoevent (p. 15)ola hora programada, o la mismatarget (p. 42)se puede invocar más de una vez para una regladesencadenada determinada.

Cómo evitar bucles infinitosEn EventBridge, es posible crear unRegla de (p. 30)que conduce a bucles infinitos, donde la regla seejecuta repetidamente. Si tiene una regla que provoca un bucle infinito, vuelva a escribirla para que lasacciones que realiza la regla no coincidan con la misma regla.

Por ejemplo, una regla que detecta que las ACL han cambiado en un bucket de Amazon S3 y, acontinuación, ejecuta software para cambiarlas a un estado nuevo provoca un bucle infinito. Una forma deresolverlo es reescribir la regla para que solo coincida con las ACL que están en mal estado.

182



Amazon EventBridge Guía del usuarioMis eventos no se entregan en lacola de Amazon SQS de destino

Un bucle infinito puede generar cargos superiores a los esperados rápidamente. Le recomendamos queutilice la función de presupuestos, que le avisa cuando los cargos superan el límite especificado. Paraobtener más información, consulte Gestión de costos con presupuestos.

Mis eventos no se entregan en la cola de AmazonSQS de destino

Si su cola de Amazon SQS está cifrada, debe incluir la siguiente sección en su política de claves de KMS.

{ "Sid": "Allow CWE to use the key", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*"}

Mi regla se ejecuta, pero no veo ningún mensajepublicado en mi tema de Amazon SNS

Escenario 1

Necesita permiso para publicar mensajes en su tema de Amazon SNS. Utilice el siguiente comandomediante la herramientaAWS CLIPara ello, reemplace us-east-1 por su región y utilice su tema ARN.

aws sns get-topic-attributes --region us-east-1 --topic-arn "arn:aws:sns:us-east-1:123456789012:MyTopic"

Para tener el permiso correcto, los atributos de política similares a los siguientes.

"{\"Version\":\"2012-10-17\",\"Id\":\"__default_policy_ID\",\"Statement\":[{\"Sid\":\"__default_statement_ID\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"*\"},\"Action\":[\"SNS:Subscribe\",\"SNS:ListSubscriptionsByTopic\",\"SNS:DeleteTopic\",\"SNS:GetTopicAttributes\",\"SNS:Publish\",\"SNS:RemovePermission\",\"SNS:AddPermission\",\"SNS:Receive\",\"SNS:SetTopicAttributes\"],\"Resource\":\"arn:aws:sns:us-east-1:123456789012:MyTopic\",\"Condition\":{\"StringEquals\":{\"AWS:SourceOwner\":\"123456789012\"}}},{\"Sid\":\"Allow_Publish_Events\",\"Effect\":\"Allow\",

183


Amazon EventBridge Guía del usuarioMi tema de Amazon SNS sigue teniendo permisos

para EventBridge incluso después de habereliminado la regla asociada al tema de Amazon SNS

\"Principal\":{\"Service\":\"events.amazonaws.com\"},\"Action\":\"sns:Publish\",\"Resource\":\"arn:aws:sns:us-east-1:123456789012:MyTopic\"}]}"

Si no veevents.amazonaws.comporPublishEn la política de, primero copie la política actual y agreguela siguiente instrucción a la lista de instrucciones.

{\"Sid\":\"Allow_Publish_Events\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"events.amazonaws.com\"},\"Action\":\"sns:Publish\",\"Resource\":\"arn:aws:sns:us-east-1:123456789012:MyTopic\"}

A continuación, establezca los atributos del tema mediante elAWS CLIPara ello, utilice el siguientecomando.

aws sns set-topic-attributes --region us-east-1 --topic-arn "arn:aws:sns:us-east-1:123456789012:MyTopic" --attribute-name Policy --attribute-value NEW_POLICY_STRING

Note

Si la política es incorrecta, también puede editarRegla de (p. 30)En la consola de EventBridgeeliminando y, a continuación, volviéndola añadir a la regla. EventBridgetarget (p. 42).

Escenario 2

Si el tema de SNS está cifrado, debe incluir la siguiente sección en la política de clave de KMS.

{ "Sid": "Allow CWE to use the key", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*"}

Mi tema de Amazon SNS sigue teniendo permisospara EventBridge incluso después de habereliminado la regla asociada al tema de AmazonSNS

Al crear una solicitudRegla de (p. 30)con Amazon SNS comotarget (p. 42), EventBridge añade permiso asu tema de Amazon SNS en su nombre. Si elimina la regla poco después de crearla, EventBridge podríano eliminar el permiso de su tema de Amazon SNS. Si esto ocurre, puede eliminar el permiso del temautilizando la herramientaaws sns set-topic-attributescomando. Para obtener información acercade los permisos basados en recursos para enviar eventos, consulteUso de políticas basadas en recursospara Amazon EventBridge (p. 148).

184

Amazon EventBridge Guía del usuario¿Qué claves de condición de IAMpuedo utilizar con EventBridge?

¿Qué claves de condición de IAM puedo utilizar conEventBridge?

EventBridgeAWSClaves de condición generales (consulteClaves disponiblesen laIAM User Guide),además de las siguientes claves de condición específicas del servicio. Para obtener más información,consulte Uso de condiciones de políticas de IAM para control de acceso preciso (p. 158).

¿Cómo puedo saber si las reglas de EventBridgeestán rotas?

Puede utilizar la siguiente alarma para que le avise cuandoReglas de (p. 30)están rotos.

Para crear una alarma que avise cuando las reglas estén rotas

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. Elija Create Alarm. En el panel CloudWatch Metrics by Category, seleccione Events Metrics.3. En la lista de métricas, seleccione FailedInvocations.4. Encima del gráfico, seleccione Statistic, Sum.5. En Period, elija un valor; por ejemplo, 5 minutes. Elija Next (Siguiente).6. En Alarm Threshold, en Name, escriba un nombre único para la alarma; por ejemplo, myFailedRules.

ParaDescripciónEscriba la descripción de la alarma, por ejemploLas reglas no están entregandoeventos a los destinos.

7. En is, seleccione >= y 1. En for, escriba 10.8. En Actions (Acciones), en Whenever this alarm (Siempre que esta alarma), elija State is ALARM (El

estado es ALARMA).9. ParaEnviar notificación aSeleccione un tema de Amazon SNS existente o cree uno nuevo. Para

crear un nuevo tema de , elija New list. Escriba un nombre para el nuevo tema de Amazon SNS, porejemplo:MyFailedRules.

10. En Email list, escriba una lista separada por comas con las direcciones de correo electrónico a las quese van a enviar notificaciones cuando la alarma cambie al estado ALARM.

11. Elija Create Alarm.

185

https://docs.aws.amazon.com/IAM/latest/UserGuide/AvailableKeys.html


Amazon EventBridge Guía del usuarioCuotas de EventBridge

Cuotas de Amazon EventBridgeHay cuotas para la mayoría de los aspectos de EventBridge.

Temas• Cuotas de EventBridge (p. 186)• Cuotas de PutEvents por región (p. 188)• Cuotas de PutPartnerEvents por región (p. 189)• Cuotas de invocación por región (p. 190)

Cuotas de EventBridgeEventBridge tiene las siguientes cuotas.

Recurso Límite predeterminado

Solicitudes API de publicación deeventos

PutEventsLas operaciones están limitadas en funcióndeAWSRegión . Consulte Cuotas de PutEvents porregión (p. 188).

La consola Service Quotas proporciona información sobrelas cuotas de EventBridge. Además de ver las cuotaspredeterminadas, puede utilizar la consola de cuotas deservicio para solicitar aumentos de cuota para cuotasajustables.

Todas las demás solicitudes de la API Todas las API de EventBridge distintas dePutEventsestánlimitadas a 50 solicitudes por segundo de formapredeterminada.


Destinos de API Valor predeterminado: 3000

Número máximo deDestinos de API (p. 45)por cuenta de ypor región. Los destinos de API son extremos de invocaciónHTTP que se pueden utilizar como destino de una regla.


Tasa de invocaciones por destino deAPI

Valor predeterminado: 300 TPS.

Número máximo de invocaciones por segundo para enviara cada extremo de destino API por cuenta por región. Unavez que se cumple la cuota, las futuras invocaciones a ese

186

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutEvents.html

https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/events/quotas



Amazon EventBridge Guía del usuarioCuotas de EventBridge

Recurso Límite predeterminadoextremo API se limitan. Las invocaciones seguirán ocurriendo,pero se retrasan.

Note

Este límite suave evita que el extremo sesobrecargue con tráfico de eventos. Si su endpointpuede manejar más tráfico de eventos, use laherramientaConsola de cuotas de servicioparaaumentar este límite.

Conexiones Valor predeterminado: 3000.

Número máximo de conexiones por cuenta y región. Lasconexiones se utilizan con destino API para definir losparámetros de autorización que se utilizarán para conectarseal extremo HTTP de destino.


Buses de eventos 100 buses de eventos por cuenta.

Buses de eventos: otras cuotas No hay ninguna restricción sobre la tasa deEventosde (p. 15)que se puede recibir deAWSServicios u otrosservicios deAWSCuentas. Si envía eventos personalizadosa suBus de eventos (p. 7)Mediante laPutEventsAPI,laPutEvents Cuotas de la API de (p. 188)Se aplican.Cuota de invocaciones todos los eventos que se envían a losdestinos de las reglas de su cuenta. Esto incluye la entregade eventos entre cuentas y entre regiones.

El tamaño de la política de un bus de eventos está limitadoa 10240 caracteres. Este tamaño de política aumenta cadavez que concede acceso a otra cuenta. Puede ver su políticaactual y su tamaño utilizando la API DescribeEventBus.


Patrón de eventos 2048 caracteres como máximo.

Invocaciones Una invocación es un evento que cumple una regla y que seenvía a los destinos de la regla. Las cuotas varían según laregión. Consulte Cuotas de invocación por región (p. 190).


187





Amazon EventBridge Guía del usuarioCuotas de PutEvents por región

Recurso Límite predeterminado

ListRuleNamesByTarget 100 resultados por página para las solicitudes.

ListRules 100 resultados por página para las solicitudes.

ListTargetsByRule 100 resultados por página para las solicitudes.

PutEventsTamaño de entrada Máximo 256KB

PutTargets 10 entradas por solicitud. Hasta 5 destinos por regla.

RemoveTargets 10 entradas por solicitud.

Reglas 300 por bus de eventos.


Antes de aumentar las cuotas, examine sus reglas. Sitiene varias reglas que cumplen eventos muy específicos,considere la posibilidad de ampliar su ámbito de aplicaciónutilizando menos identificadores en suEventos de AmazonEventBridge (p. 15). Además, considere la posibilidad deañadir más destinos a sus reglas.

Destino de ejecución de sistemasManager

1 clave de destino y 1 valor de destino

Systems Manager Command no admite actualmente variosvalores de destino.

implementación Máximo 5 destinos por regla.

Cuotas de PutEvents por regiónLa consola Service Quotas proporciona información sobre las cuotas de EventBridge. Además de ver lascuotas predeterminadas, puede utilizar la consola de cuotas de servicio para solicitar aumentos de cuotapara cuotas ajustables. Para cuotas superiores a 100.000 TPS, nuestro equipo de servicio organizará unallamada para darle el mejor soporte

Note

Los eventos enviados a una región diferente mediante PutEvents cuentan para la cuota putEventsde la región de destino para la cuenta que posee el rol utilizado para enviar los eventos.

Regiones Transacciones por segundo


PutEventstiene un límite flexible de 10.000 solicitudes porsegundo de forma predeterminada en estas regiones.

• US East (Ohio)• Europe (Frankfurt)


188

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRuleNamesByTarget.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRules.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListTargetsByRule.html


https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutTargets.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_RemoveTargets.html





Amazon EventBridge Guía del usuarioCuotas de PutPartnerEvents por región


• EE.UU. Oeste (Norte de California)• Europe (London)• Asia Pacífico (Sídney)• Asia Pacífico (Tokio)• Asia Pacífico (Singapur)


• Canada (Central)• Europe (Paris)• Europe (Stockholm)• América del Sur (São Paulo)• Asia Pacific (Seoul)• Asia Pacific (Mumbai)• Asia Pacific (Hong Kong)• Middle East (Bahrain)

PutEventstiene un límite flexible de 600 solicitudes porsegundo de forma predeterminada en estas regiones.

• China (Ningxia)• China (Beijing)• Asia Pacific (Osaka)• Africa (Cape Town)• Europe (Milan)

PutEventstiene un límite flexible de 400 solicitudes porsegundo de forma predeterminada en estas regiones.

Cuotas de PutPartnerEvents por regiónPara solicitar aumentos de cuota,Soporte de contacto con.


• EE.UU. Este (Norte de Virginia)• EE.UU. Oeste (Oregón)• Europa (Irlanda)• US East (Ohio)• Europe (Frankfurt)• EE.UU. Oeste (Norte de California)• Europe (London)• Asia Pacífico (Sídney)• Asia Pacífico (Tokio)• Asia Pacífico (Singapur)• Canada (Central)• Europe (Paris)• Europe (Stockholm)• América del Sur (São Paulo)• Asia Pacific (Seoul)• Asia Pacific (Mumbai)• Asia Pacific (Hong Kong)• Middle East (Bahrain)

PutPartnerEventstiene un límite flexible de 1.400 solicitudesde rendimiento por segundo y 3.600 solicitudes de ráfaga porsegundo de forma predeterminada en todas las regiones.

189




https://console.aws.amazon.com/support/home?#/case/create?issueType=technical

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutPartnerEvents.html

Amazon EventBridge Guía del usuarioCuotas de invocación por región

Regiones Transacciones por segundo• China (Ningxia)• China (Beijing)• Asia Pacific (Osaka)• Africa (Cape Town)• Europe (Milan)

Cuotas de invocación por regiónUna invocación es un evento que cumple una regla y que luego se envía a los destinos de la regla. Sila invocación de un destino falla debido a un problema con el servicio de destino o limitación de cuenta,EventBridge vuelve a intentar durante un máximo de 24 horas.

Si recibe eventos de otra cuenta, cada evento que coincida con una regla de su cuenta y se envíe a losdestinos de la regla se acuenta para acuciar la cuota de invocaciones por segundo de su cuenta.

Después de alcanzar la cuota de invocación en su región, EventBridge restringe las invocaciones. Siguenproduciéndose, pero con retraso.

La consola Service Quotas proporciona información sobre las cuotas de EventBridge. También puedeusar la consola Service Quotas paraaumento de la cuota de solicitudpara cuotas ajustables. Para cuotassuperiores a 100.000 TPS, nuestro equipo de servicio organizará una llamada para darle el mejor soporte.

Regiones Invocaciones por segundo


La cuota de invocaciones tiene un límite flexible de 18.750solicitudes por segundo de forma predeterminada en estaregión.

• US East (Ohio)• Europe (Frankfurt)

La cuota de invocaciones tiene un límite flexible de 4.500solicitudes por segundo de forma predeterminada en estasregiones.

• EE.UU. Oeste (Norte de California)• Europe (London)• Asia Pacífico (Sídney)• Asia Pacífico (Tokio)• Asia Pacífico (Singapur)


• Canada (Central)• América del Sur (São Paulo)• Europe (Paris)• Europe (Stockholm)• Asia Pacific (Seoul)• Asia Pacific (Mumbai)• Asia Pacific (Hong Kong)• Middle East (Bahrain)


• China (Ningxia)• China (Beijing)

La cuota de invocaciones tiene un límite flexible de 750solicitudes por segundo de forma predeterminada en estasregiones.

190


Amazon EventBridge Guía del usuarioCuotas de invocación por región

Regiones Invocaciones por segundo• Asia Pacific (Osaka)• Africa (Cape Town)• Europe (Milan)

191


etiquetas de Amazon EventBridgeUna etiqueta es un atributo personalizado que usted o AWS asignan a un recurso de AWS. EnEventBridge, puede asignar etiquetas aRegla de (p. 30)yBuses de eventos (p. 7). Cada recurso puedetener un máximo de 50 etiquetas.

Las etiquetas se usan para identificar y organizarAWSde AWS. Muchos servicios de AWS admitenel etiquetado, por lo que puede asignar la misma etiqueta a los recursos de diferentes servicios paraindicar que los recursos están relacionados. Por ejemplo, podría asignar la misma etiqueta a una regla deEventBridge que asigne a una instancia EC2.

También usa etiquetas para realizar un seguimiento deAWS. Estas etiquetas se activan enAWS Billing andCost ManagementPanel de.AWSusa las etiquetas para clasificar los costos y enviar un informe mensual deasignación de costos. Para obtener más información, consulte Uso de etiquetas de asignación de costosen la Guía del usuario de AWS Billing and Cost Management.

Una etiqueta tiene dos partes:

• AClave de etiqueta, por ejemplo,CostCenter,Environment, o bienProject.• Las claves de etiqueta distinguen entre mayúsculas y minúsculas.• La longitud máxima de la clave de etiqueta es de 128 caracteres Unicode en UTF-8.• Para cada recurso, cada clave de etiqueta debe ser única.• Los caracteres permitidos son letras, números y espacios representables en UTF-8, además de los

siguientes caracteres: . : + = @ _ / - (guion).• El prefijo aws: está prohibido para las etiquetas, ya que está reservado para su uso por parte de

AWS. Las claves y valores de etiquetas que tienen este prefijo no se pueden editar. Las etiquetas quetengan este prefijo no cuentan para el límite de etiquetas por recurso.

• Un sistema opcionalValor de etiqueta, por ejemplo,111122223333orProduction.• Cada clave de etiqueta solo puede tener un valor.• Los valores de etiqueta distinguen entre mayúsculas• Omitir el valor de etiqueta es lo mismo que usar una cadena vacía.• La longitud máxima del valor de etiqueta es de 256 caracteres Unicode en UTF-8.• Los caracteres permitidos son letras, números y espacios representables en UTF-8, además de los

siguientes caracteres: . : + = @ _ / - (guion).

Tip

Como práctica recomendada, decida una estrategia de uso de mayúsculas y minúsculas enlas etiquetas e implemente esa estrategia sistemáticamente en todos los tipos de recursos. Porejemplo, decida si desea usarCostcenter,costcenter, o bienCostCentery luego use lamisma convención para todas las etiquetas.

Puede utilizar la consola de EventBridge, la API de EventBridge o elAWS CLIPara añadir, editar o eliminaretiquetas. Para obtener más información, consulte los siguientes temas:

• TagResource,UntagResource, yListTagsForResourceen laReferencia de API de Amazon CloudWatchEvents

• tag-resource,untag-resource, ylist-tags-for-resourceen laReferencia de la CLI de Amazon CloudWatch• Uso de Tag Editoren laGuía del usuario de Resource Groups

192

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_TagResource.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_UntagResource.html

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListTagsForResource.html

https://docs.aws.amazon.com/cli/latest/reference/events/tag-resource.html

https://docs.aws.amazon.com/cli/latest/reference/events/untag-resource.html

https://docs.aws.amazon.com/cli/latest/reference/events/list-tags-for-resource.html

https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html


Historial de revisiónEn la siguiente tabla, se describen los cambios importantes que se han realizado en cada versión delGuíadel usuario de Amazon EventBridge, a partir de julio de 2019. Para obtener notificaciones sobre lasactualizaciones de esta documentación, puede suscribirse a una fuente RSS.

Cambio Descripción Fecha de la versión

Se ha añadidosoporte paraarchivos yrepeticiones deeventos.

Amazon EventBridge ahora admite el uso de archivospara almacenar eventos y repeticiones de eventospara reproducir los eventos de un archivo. Paraobtener más información, consulte lo siguiente:

• Archivado de eventos de AmazonEventBridge (p. 64).

• CreateArchive

• StartReplay

05 de noviembre de 2020

Se ha agregadocompatibilidadcon las colas demensajes fallidosy la política dereintentos paradestinos.

Amazon EventBridge ahora admite el uso de colasde letras muertas y la definición de una políticade reintentos para los destinos. Para obtener másinformación, consulte lo siguiente:

• Política de reintentos de eventos y uso de colas demensajes fallidos (p. 39).

• PutTargets

12 de octubre de 2020

Se agregó soportepara esquemasde formatoJSONSchemaDraft4.

Amazon EventBridge ahora admite esquemas enformato JSONSchema Draft 4. Ahora también puedeexportar esquemas con la API de EventBridge. Paraobtener más información, consulte lo siguiente.

• Esquemas de Amazon EventBridge (p. 68)• ExportReferencia de la API del registro de

esquemas de EventBridge.

28 de septiembre de 2020

Políticas basadasen recursos parael registro deesquemas deEventBridge

Ahora, el registro de esquemas de AmazonEventBridge admite políticas basadas en recursos.Para obtener más información, consulte los siguientestemas.

• Políticas de basadas en recursos para esquemas deAmazon EventBridge (p. 153)

• PolicyReferencia de la API del registro deesquemas de EventBridge

• Tipo de recurso de RegistryPolicyen laAWSCloudFormationGuía del usuario

30 de abril de 2020

Etiquetas para losbuses de eventos

Esta versión le permite crear y administrar etiquetaspara buses de eventos. Puede agregar etiquetasal crear un bus de eventos y agregar o administraretiquetas existentes llamando a la API relacionada.Para obtener más información, consulte los siguientestemas.

24 de febrero de 2020

193

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_CreateArchive.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_StartReplay.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html

https://docs.aws.amazon.com/eventbridge/latest/schema-reference/v1-registries-name-registryname-schemas-name-schemaname-export.html#ExportSchema

https://docs.aws.amazon.com/eventbridge/latest/schema-reference/v1-policy.html



Cambio Descripción Fecha de la versión• etiquetas de Amazon EventBridge (p. 192)• Políticas basadas en etiquetas (p. 133)• TagResource

• UntagResource

• ListTagsForResource

Se han aumentadolas cuotas deservicios

Amazon EventBridge ha aumentado las cuotas paralas invocaciones y paraPutEvents. Las cuotasvarían según la región y pueden aumentarse si fuesenecesario.

• Cuotas de Amazon EventBridge (p. 186)• Cuotas de PutEvents por región (p. 188)• Cuotas de invocación por región (p. 190)• Solicitar un aumento de cuota

11 de febrero de 2020

Se ha agregado unnuevo tema sobrela transformaciónde la entradade destino y seha agregadoun enlace alos eventos deApplication AutoScaling de.

Documentación mejorada sobre el transformador deentrada.

• Transformar la entrada de destino de AmazonEventBridge (p. 60)

• Utilizar el transformador de entrada para extraerdatos de un evento y especificar esos datos en eldestino

• Tutorial: Utilice el transformador de entrada parapersonalizar lo que EventBridge pasa al destino delevento (p. 129)

Se ha agregado un enlace a los eventos ApplicationAuto Scaling de.

• Eventos de Auto Scaling de aplicaciones yEventBridge

• Eventos deAWSServicios de (p. 77)

20 de diciembre de 2019

Filtrar en funcióndel contenido


Se han agregadoenlaces a ejemplosde eventos de IAaumentada deAmazon.

Se ha agregado un enlace al tema de Augmented AIde Amazon en la Guía del desarrollador de AmazonSageMaker que proporciona eventos de ejemplopara la Augmented AI de Amazon. Para obtener másinformación, consulte los siguientes temas.

• Usar eventos en la IA aumentada de Amazon• Eventos deAWSServicios de (p. 77)


194

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_TagResource.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_UntagResource.html

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListTagsForResource.html

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-cloudwatch-events






https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-ai-cloudwatch-events.html


Cambio Descripción Fecha de la versión

Se han agregadoenlaces a ejemplosde eventos deAmazon Chime.

Se ha agregado un enlace al tema de Amazon Chimeque proporciona eventos de ejemplo para ese servicio.Para obtener más información, consulte los siguientestemas.

• Automatización de Amazon Chime con EventBridge• Eventos deAWSServicios de (p. 77)


Esquemasde AmazonEventBridge

En ahora puede administrar esquemas y generarenlaces de código para eventos en AmazonEventBridge. Para obtener más información, consultelos siguientes temas.

• Esquemas de Amazon EventBridge (p. 68)• Referencia de la API de esquemas de Event• Referencia del tipo de recurso EventSchemas en

AWS CloudFormation


Compatibilidadde AWSCloudFormationcon los buses deeventos

AWS CloudFormation ahora admite el recursoEventBus. También admite el parámetroEventBusName en los recursos EventBusPolicyy Rule. Para obtener más información,consulteReferencia del tipo de recurso AmazonEventBridge.

7 de octubre de 2019

Nuevo servicio Versión inicial de Amazon EventBridge. 11 de julio de 2019

195

https://docs.aws.amazon.com/chime/latest/ag/automating-chime-with-cloudwatch-events.html



https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_Events.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_Events.html


Las traducciones son generadas a través de traducción automática. En caso de conflicto entre latraducción y la version original de inglés, prevalecerá la version en inglés.

cxcvi

Documents

Amazon EventBridge - Guía del usuario€¦ · Las marcas comerciales y la imagen comercial de Amazon no se pueden utilizar en relación con ningún producto o servicio que no sea