Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon EventBridge und AWS Identity and Access Management
Um auf Amazon zuzugreifen EventBridge, benötigen Sie Anmeldeinformationen, die zur Authentifizierung Ihrer Anfragen verwenden AWS kann. Ihre Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS-Ressourcen wie das Abrufen von Ereignisdaten von anderen AWS-Ressourcen verfügen. In den folgenden Abschnitten erfahren Sie, wie Sie Ihre Ressourcen mit AWS Identity and Access Management (IAM) EventBridge sichern können, indem Sie steuern, wer darauf zugreifen kann.
Themen
- Authentifizierung
- Zugriffskontrolle
- Verwalten der Zugriffsberechtigungen für Ihre Amazon-EventBridge-Ressourcen
- Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon EventBridge
- Verwenden ressourcenbasierter Richtlinien für Amazon EventBridge
- Dienstübergreifende Confused-Deputy-Prävention
- Ressourcenbasierte Richtlinien für Amazon-EventBridge-Schemata
- Referenz zu Amazon-EventBridge-Berechtigungen
- Verwenden von IAM-Richtlinienbedingungen für die differenzierte Zugriffskontrolle
- Verwenden von serviceverknüpften Rollen für EventBridge
Authentifizierung
Sie können mit einer der folgenden Identitäten auf AWS zugreifen:
-
AWS-Konto-Root-Benutzer – Wenn Sie sich bei AWS registrieren, geben Sie eine E-Mail-Adresse und ein Passwort an, die mit Ihrem -Konto verknüpft sind. Dies sind Ihre Root-Anmeldeinformationen. Sie bieten vollständigen Zugriff auf alle Ihre AWS-Ressourcen.
Wichtig
Aus Sicherheitsgründen empfehlen wir, die Root-Anmeldeinformationen nur zum Erstellen eines Administrators zu verwenden. Hierbei handelt es sich um einen IAM-Benutzer mit vollständigen Berechtigungen für Ihr Konto. Anschließend können Sie mit diesem Administrator weitere -Benutzer und -Rollen mit eingeschränkten Berechtigungen erstellen. Weitere Informationen finden Sie unter Bewährte Methoden für IAM und Erstellen eines Administratorbenutzers und einer Gruppe im IAM-Benutzerhandbuch.
-
IAM-Benutzer – Ein IAM-Benutzer ist eine Identität in Ihrem Konto mit bestimmten Berechtigungen, z. B. der Berechtigung zum Senden von Ereignisdaten an ein Ziel in EventBridge. Sie können IAM-Anmeldeinformationen verwenden, um sich auf sicheren AWS-Webseiten anzumelden, z. B. bei der AWS Management Console
, bei AWS-Diskussionsforen oder beim AWS Support Center . Außer Anmeldeinformationen können Sie Zugriffsschlüssel für jeden Benutzer erstellen. Sie können diese Schlüssel verwenden, wenn Sie programmgesteuert auf AWS-Services zugreifen, um Ihre Anfrage kryptografisch zu signieren, entweder über eines der SDKs
oder mithilfe der AWS Command Line Interface (AWS CLI) . Wenn Sie die AWS-Tools nicht nutzen, müssen Sie die Anfrage mit Signature Version 4 selbst signieren, einem Protokoll für die Authentifizierung eingehender API-Anfragen. Weitere Informationen zur Authentifizierung von Anfragen finden Sie unter Signature Version 4-Signaturprozess im Allgemeine Amazon Web Services-Referenz. -
IAM-Rolle – Eine IAM-Rolle ist eine weitere IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Sie ähnelt einem IAM-Benutzer, ist aber nicht mit einer bestimmten Person verknüpft. Mithilfe einer IAM-Rolle können Sie temporäre Zugriffsschlüssel für den Zugriff auf AWS-Services und -Ressourcen erhalten. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:
-
Verbundener Benutzerzugriff – Statt einen Benutzer zu erstellen, können Sie Identitäten von AWS Directory Service, dem Benutzerverzeichnis Ihres Unternehmens oder eines Web-Identitätsanbieters (IDP) verwenden. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn der Benutzer Zugriff über einen Identitätsanbieter anfordert. Weitere Informationen zu Verbundbenutzern finden Sie unter Verbundbenutzer und Rollen im IAM-Leitfaden.
-
Kontoübergreifender Zugriff – Sie können eine IAM-Rolle in Ihrem Konto verwenden, um einem anderen Konto die Berechtigung für den Zugriff auf die Ressourcen Ihres Kontos zu erteilen. Ein Beispiel finden Sie unter Tutorial: Delegieren des Zugriffs in allen AWS-Konten mithilfe von IAM-Rollen im IAM-Benutzerhandbuch.
-
Zugriff auf AWS-Services – Sie können eine IAM-Rolle in Ihrem Konto verwenden, um einem AWS-Service die Berechtigung für den Zugriff auf die Ressourcen Ihres Konto zu erteilen. Sie können beispielsweise eine Rolle erstellen, mit der Amazon Redshift die in einem Amazon-S3-Bucket gespeicherten Daten in einen Amazon-Redshift-Cluster laden kann. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.
-
Anwendungen, die auf Amazon EC2 ausgeführt werden – Für Amazon EC2-Anwendungen, die Zugriff auf benötigen EventBridge, können Sie entweder Zugriffsschlüssel in der EC2-Instance speichern oder eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen zu verwalten. Um eine AWS-Rolle einer EC2-Instance zuzuweisen, erstellen Sie ein Instance-Profil, das der Instance angefügt ist. Ein Instance-Profil enthält die Rolle und stellt temporäre Anmeldeinformationen für Anwendungen bereit, die auf der EC2-Instance ausgeführt werden. Weitere Informationen finden Sie im Thema zum Verwenden von Rollen für Anwendungen in Amazon EC2 im IAM-Benutzerhandbuch.
-
Zugriffskontrolle
Um EventBridge Ressourcen zu erstellen oder darauf zuzugreifen, benötigen Sie sowohl gültige Anmeldeinformationen als auch Berechtigungen. Um beispielsweise AWS Lambda-, Amazon Simple Notification Service (Amazon SNS)- und Amazon Simple Queue Service (Amazon SQS)-Ziele aufzurufen, müssen Sie über Berechtigungen für diese Services verfügen.
