Amazon EventBridge et AWS Identity and Access Management

Pour accéder à Amazon EventBridge, vous avez besoin d'informations d'identification qui AWS peuvent être utilisées pour authentifier vos demandes. Vos informations d’identification doivent être autorisées à accéder aux ressources AWS, par exemple pour extraire les données d’événements d’autres ressources AWS. Les sections suivantes fournissent des informations détaillées sur la manière dont vous pouvez utiliser AWS Identity and Access Management(IAM) et vous aider EventBridge à sécuriser vos ressources en contrôlant qui peut y accéder.

Rubriques

• Authentification
• Contrôle d’accès
• Gestion des autorisations d'accès à vos ressources Amazon EventBridge
• Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon EventBridge
• Utilisation de politiques basées sur les ressources pour Amazon EventBridge
• Prévention du problème de l'adjoint confus entre services
• Politiques basées sur les ressources pour les schémas Amazon EventBridge
• Informations de référence sur les autorisations Amazon EventBridge
• Utilisation de conditions de politique IAM pour un contrôle d'accès précis
• Utilisation des rôles liés aux services pour EventBridge

Authentification

Vous pouvez utiliser les types d'identité suivants pour accéder à AWS :

• Utilisateur root du compte AWS : lorsque vous vous inscrivez à AWS, vous fournissez l’adresse e-mail et le mot de passe qui sont associés à votre compte. Il s'agit de vos informations d'identification racine et elles fournissent un accès complet à l'ensemble de vos ressources AWS.

  Important

  Pour des raisons de sécurité, nous vous recommandons d’utiliser les informations d’identification root uniquement pour créer un administrateur, qui est un utilisateur IAM disposant d’autorisations complètes sur votre compte. Vous pouvez ensuite utiliser cet administrateur pour créer d'autres utilisateurs et rôles dotés d'autorisations limitées. Pour plus d'informations, consultez Bonnes pratiques IAM et Création d'un utilisateurs administrateur et d'un groupe dans le Guide de l'utilisateur IAM.

• Utilisateur IAM — Un utilisateur IAM est une identité au sein de votre compte qui dispose d'autorisations spécifiques, par exemple l'autorisation d'envoyer des données d'événements à une cible dans. EventBridge Vous pouvez utiliser des informations d’identification de connexion IAM pour vous connecter aux pages web AWS sécurisées, comme la AWS Management Console, les forums de discussion AWS ou le centre AWS Support.

  En plus des informations d'identification de connexion, vous pouvez également générer des clés d'accès pour chaque utilisateur. Vous pouvez utiliser ces clés lorsque vous accédez aux services AWS par programmation pour signer votre demande par chiffrement, que ce soit par l’intermédiaire de l’un des kits SDK ou en utilisant l’AWS Command Line Interface (AWS CLI). Si vous n’utilisez pas les outils AWS, vous devez vous-même signer la demande avec Signature Version 4, protocole destiné à authentifier les demandes d’API entrantes. Pour plus d'informations sur l'authentification des demandes, consultez Processus de signature Signature Version 4 dans le document Référence générale d'Amazon Web Services.

• Rôle IAM : un rôle IAM est une autre identité IAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques. S’il est comparable à un utilisateur IAM, il n’est toutefois pas associé à une personne déterminée. En utilisant un rôle IAM, vous pouvez obtenir des clés d’accès temporaires pour accéder à des ressources et services AWS. Les rôles IAM avec des informations d’identification temporaires sont utiles dans les cas suivants :

  • Accès d’un utilisateur fédéré : au lieu de créer un utilisateur, vous pouvez utiliser des identités provenant d’AWS Directory Service, de l’annuaire des utilisateurs de votre entreprise ou d’un fournisseur d’identité (IdP) web. Ceux-ci sont connus sous le nom d’utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l’utilisateur demande un accès via un fournisseur d’identité. Pour plus d'informations sur les utilisateurs fédérés, consultez Utilisateurs fédérés et rôles dans le Guide de l'utilisateur IAM.

  • Accès intercompte : vous pouvez utiliser un rôle IAM de votre compte pour autoriser un autre compte à accéder aux ressources de votre compte. Pour obtenir un exemple, consultez le Didacticiel : déléguer l'accès entre des comptes AWS à l'aide de rôles IAM du Guide de l'utilisateur IAM.

  • Accès d’un service AWS : vous pouvez utiliser un rôle IAM de votre compte pour autoriser un service AWS à accéder aux ressources de votre compte. Par exemple, vous pouvez créer un rôle qui autorise Amazon Redshift à charger les données stockées dans un compartiment Amazon S3 dans un cluster Amazon Redshift. Pour plus d'informations, veuillez consulter Création d'un rôle pour la délégation d'autorisations à un service AWS dans le Guide de l'utilisateur IAM.

  • Applications exécutées sur Amazon EC2 : pour les applications Amazon EC2 qui ont besoin d'accéder EventBridge à, vous pouvez soit stocker les clés d'accès dans l'instance EC2, soit utiliser un rôle IAM pour gérer les informations d'identification temporaires. Pour attribuer un rôle AWS à une instance EC2, vous devez créer un profil d’instance attaché à l’instance. Un profil d’instance contient le rôle, et il fournit des informations d’identification temporaires aux applications s’exécutant sur l’instance EC2. Pour plus d'informations, consultez Utilisation de rôles pour des applications s'exécutant sur Amazon EC2 dans le Guide de l'utilisateur IAM.

Contrôle d’accès

Pour créer des EventBridge ressources ou y accéder, vous devez disposer d'informations d'identification et d'autorisations valides. Par exemple, pour invoquer des cibles AWS Lambda, Amazon Simple Notification Service (Amazon SNS) et Amazon Simple Queue Service (Amazon SQS), vous devez disposez d’autorisations d’accès à ces services.