Amazon EventBridge y AWS Identity and Access Management

Para acceder a Amazon EventBridge, necesitas credenciales que AWS puedas usar para autenticar tus solicitudes. Tus credenciales deben tener permisos para acceder a AWS los recursos, por ejemplo, para recuperar datos de eventos de otros AWS recursos. En las siguientes secciones se proporciona información detallada sobre cómo utilizar AWS Identity and Access Management (IAM) y cómo ayudar EventBridge a proteger los recursos controlando quién puede acceder a ellos.

Temas

• Autenticación
• Control de acceso
• Administrar los permisos de acceso a tus EventBridge recursos de Amazon
• Uso de políticas basadas en la identidad (IAMpolíticas) para Amazon EventBridge
• Uso de políticas basadas en recursos para Amazon EventBridge
• Prevención policial confusa entre servicios en Amazon EventBridge
• Políticas basadas en recursos para los esquemas de Amazon EventBridge
• Referencia de EventBridge permisos de Amazon
• Uso de las condiciones IAM de la política en Amazon EventBridge
• Uso de roles vinculados a servicios de EventBridge

Autenticación

Puedes acceder AWS con cualquiera de los siguientes tipos de identidades:

• AWS usuario raíz de la cuenta: al registrarse AWS, proporciona una dirección de correo electrónico y una contraseña asociadas a su cuenta. Estas son tus credenciales raíz y te proporcionan acceso completo a todos tus AWS recursos.

  importante

  Por motivos de seguridad, te recomendamos que utilices las credenciales raíz únicamente para crear un administrador, es decir, un IAMusuario con todos los permisos de acceso a tu cuenta. A continuación, puede utilizar este administrador para crear otros usuarios y roles con permisos limitados. Para obtener más información, consulte Prácticas IAM recomendadas y Creación de un usuario y un grupo de administradores en la Guía del IAM usuario.

• IAMusuario: un IAMusuario es una identidad de tu cuenta que tiene permisos específicos, por ejemplo, el permiso para enviar datos de eventos a un destinatario EventBridge. Puedes usar una credencial de IAM inicio de sesión para iniciar sesión en AWS páginas web seguras AWS Management Console, como los foros de AWS debate o el AWS Support Centro.

  Además de las credenciales de inicio de sesión, puede generar claves de acceso para cada usuario. Puede usar estas claves al acceder a AWS los servicios mediante programación para firmar criptográficamente su solicitud, ya sea mediante una de las claves SDKs o mediante la ().AWS Command Line InterfaceAWS CLI Si no utilizas AWS herramientas, debes firmar la solicitud tú mismo con Signature Version 4, un protocolo para autenticar las solicitudes entrantes. API Para obtener más información acerca de la autenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la Referencia general de Amazon Web Services.

• IAMrol: un IAMrol es otra IAM identidad que puedes crear en tu cuenta con permisos específicos. Es similar a un IAMusuario, pero no está asociado a una persona específica. Al usar un IAM rol, puede obtener claves de acceso temporales para acceder a AWS los servicios y recursos. IAMlos roles con credenciales temporales son útiles en las siguientes situaciones:

  • Acceso de usuarios federados: en lugar de crear un usuario, puede utilizar las identidades del directorio de AWS Directory Service usuarios de su empresa o de un proveedor de identidades web (IdP). Se conocen como usuarios federados. AWS asigna un rol a un usuario federado cuando el usuario solicita acceso a través de un proveedor de identidades. Para obtener más información sobre los usuarios federados, consulte Usuarios y roles federados en la Guía del usuario. IAM

  • Acceso multicuenta: puedes usar un IAM rol de tu cuenta para conceder permiso a otra cuenta para acceder a los recursos de tu cuenta. Para ver un ejemplo, consulta el tutorial sobre cómo delegar el acceso entre AWS cuentas mediante IAM roles en la Guía del IAM usuario.

  • AWS acceso al servicio: puedes usar un IAM rol de tu cuenta para conceder un permiso de AWS servicio a fin de acceder a los recursos de tu cuenta. Por ejemplo, puede crear un rol que permita a Amazon Redshift cargar datos almacenados en un bucket de Amazon S3 en un clúster de Amazon Redshift. Para obtener más información, consulte Creación de un rol para delegar permisos a un AWS servicio en la Guía del IAM usuario.

  • Aplicaciones que se ejecutan en Amazon EC2: en el caso de EC2 las aplicaciones de Amazon a las que es necesario acceder EventBridge, puedes almacenar las claves de acceso en la EC2 instancia o utilizar un IAM rol para gestionar las credenciales temporales. Para asignar un AWS rol a una EC2 instancia, debe crear un perfil de instancia que se adjunte a la instancia. Un perfil de instancia contiene el rol y proporciona credenciales temporales a las aplicaciones que se ejecutan en la EC2 instancia. Para obtener más información, consulte Uso de roles para aplicaciones en Amazon EC2 en la Guía del IAM usuario.

Control de acceso

Para crear EventBridge recursos o acceder a ellos, necesita credenciales y permisos válidos. Por ejemplo, para invocar AWS Lambda los destinos de Amazon Simple Notification Service (AmazonSNS) y Amazon Simple Queue Service (AmazonSQS), debe tener permisos para esos servicios.