可信云服务可以通过IAM委托的方式访问其他云服务的资源。可信实体为天翼云服务的IAM委托，包括普通云服务委托和云服务关联委托。本文介绍事件总线EventBridge的服务内联委托。

什么是服务内联委托

在某些场景下，事件总线EventBridge为了完成自身的某个功能，需要获取其他云服务的访问权限，因此，事件总线EventBridge创建了与云服务内联委托，即服务内联委托CtyunAssumeRoleForEventBridge。

使用事件总线EventBridge，系统提供的服务内联委托及其包含的系统权限策略如下：

• 服务内联委托：CtyunAssumeRoleForEventBridge

• 系统权限策略：CtyunAssumePolicyForEventBridge

CtyunAssumeRoleForEventBridge

服务内联委托CtyunAssumeRoleForEventBridge具有获取访函数列表、函数详情以及调用函数的权限；具有对分布式消息服务Kafka、分布式消息服务RocketMQ、分布式消息服务MQTT与分布式消息服务RabbitMQ的管理员权限；具有专有网络VPC、VPCE的管理员权限。

服务内联委托CtyunAssumeRoleForEventBridge被授予权限策略CtyunAssumePolicyForEventBridge，该权限策略的内容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "cf:inst:InvokeFunction",
                "cf:inst:GetFunction",
                "cf:inst:ListFunctions",
                "KAFKA:*:*",
                "MQ2:*:*",
                "mqtt:*:*",
                "AMQP:*:*",
                "vpce:*:*",
                "vpc:*:*"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

以下是使用事件总线EventBridge时，需要使用服务内联委托的场景：

• 建立函数计算规则时，需要委托事件总线EventBridge具有获取访函数列表、函数详情以及调用函数的权限。

• 建立消息中间件事件源与事件目标时，需要委托事件总线EventBridge具有对分布式消息服务Kafka、分布式消息服务RocketMQ、分布式消息服务MQTT与分布式消息服务RabbitMQ的管理员权限。

• 建立网络端点时，需要委托事件总线EventBridge具有专有网络VPC、VPCE的管理员权限。

创建服务内联委托

登录事件总线EventBridge控制台时，系统会检查当前账号是否已有服务内联委托CtyunAssumeRoleForEventBridge，如果不存在则会弹出提示，在您确认授权自动创建服务内联委托CtyunAssumeRoleForEventBridge并授权CtyunAssumePolicyForEventBridge后，系统自动创建CtyunAssumeRoleForEventBridge。

创建完成后，您可以在IAM控制台的角色管理页面、API或CLI调用ListDelegates - 获取委托列表的返回结果中查看已创建的服务内联委托。

删除服务内联委托

您可以登录IAM控制台删除服务内联委托。删除后，将无法正常使用事件总线EventBridge控制台，请谨慎操作。

1. 使用具有操作统一身份认证的账号登录IAM控制台。

2. 在左侧导航栏，选择委托。

3. 在委托页面，单击目标委托并操作删除委托。

4. 在删除委托对话框，输入IAM委托名称，然后单击删除委托。