EventBridge如何授权？

要实现B企业端的阿里云官方事件源发送到A账号，需要通过跨账号授权的方式完成。以下是详细的操作步骤和配置说明：

1. 接收账号（A账号）创建RAM角色

接收账号（A账号）需要为发送账号（B账号）创建一个可信实体为B账号的RAM角色，并授予发布事件的权限。

操作步骤：

1. 使用A账号登录RAM控制台。
2. 在左侧导航栏，选择身份管理 > 角色，然后单击创建角色。
3. 在创建角色页面：
   • 选择可信实体类型为阿里云账号。
   • 单击下一步。
4. 设置角色信息：
   • 输入角色名称（例如CrossAccountRoleForEventBridge）。
   • 选择云账号为其他云账号，并输入B账号的ID。
   • 点击完成。

2. 为RAM角色授权

A账号需要为刚刚创建的RAM角色授予发布事件的权限，确保B账号可以通过该角色向A账号发布事件。

操作步骤：

1. 在A账号的RAM控制台中，选择身份管理 > 角色。
2. 找到目标RAM角色，点击新增授权。
3. 在新增授权面板中：
   • 选择授权范围为账号级别或资源组级别（根据实际需求）。
   • 输入被授权主体（系统会自动填入当前RAM角色）。
   • 在权限策略列表中，勾选AliyunEventBridgePutEventsPolicy。
   • 点击确认新增授权。

3. 修改信任策略

A账号需要修改RAM角色的信任策略，允许B账号的事件总线服务扮演该角色。

操作步骤：

1. 在A账号的RAM控制台中，选择身份管理 > 角色。
2. 点击目标RAM角色名称，进入详情页面。
3. 在信任策略页签，点击编辑信任策略。
4. 修改信任策略内容如下：

   {
    "Statement": [
      {
        "Action": "sts:AssumeRole",
        "Effect": "Allow",
        "Principal": {
          "Service": [
            "${B账号ID}@eventbridge.aliyuncs.com"
          ]
        }
      }
    ],
    "Version": "1"
   }
   

5. 点击保存信任策略。

4. 发送账号（B账号）创建事件规则

B账号需要创建一条事件规则，将官方事件源的事件路由到A账号的事件总线。

操作步骤：

1. 使用B账号登录事件总线EventBridge控制台。
2. 在左侧导航栏，选择事件总线，然后选择目标事件总线（如默认的云服务专用总线default）。
3. 在左侧导航栏，点击事件规则，然后点击创建规则。
4. 在创建规则配置向导中：
   • 配置基本信息：设置规则名称和描述，点击下一步。
   • 配置事件模式：
     • 选择事件源类型为官方事件源。
     • 选择具体的事件源（如OSS、RDS等）。
     • 配置事件模式内容，点击下一步。
   • 配置事件目标：
     • 选择服务类型为事件总线EventBridge。
     • 目标类型选择跨账号总线。
     • 选择目标账号所在地域。
     • 输入接收账号A的ID。
     • 输入目标事件总线名称（如default）。
     • 输入前提条件中创建的RAM角色名称。
     • 点击创建。

5. 结果验证

• 登录A账号的事件总线EventBridge控制台，查看是否成功接收到B账号的事件。
• 如果未接收到事件，请检查以下内容：
  • RAM角色的权限是否正确配置。
  • 信任策略是否包含B账号的事件总线服务。
  • B账号的事件规则是否正确指向A账号的事件总线。

重要提醒

• 跨账号路由仅支持同一地域内的事件传输。
• 云服务专用事件总线的事件只能路由到云服务专用事件总线，自定义事件总线的事件也只能路由到自定义事件总线。
• 确保B账号的事件源已正确配置，并且事件内容符合A账号的过滤条件。

通过以上步骤，您可以成功实现B企业端的阿里云官方事件源发送到A账号的事件总线中。