Amazon EventBridge dan AWS Identity and Access Management

Untuk mengakses Amazon EventBridge, Anda memerlukan kredensi yang AWS dapat digunakan untuk mengautentikasi permintaan Anda. Kredensial tersebut harus memiliki izin untuk mengakses AWS sumber daya, seperti mengambil data peristiwa dari sumber daya AWS lain. Bagian berikut memberikan rincian tentang bagaimana Anda dapat menggunakan AWS Identity and Access Management(IAM) dan EventBridge untuk membantu mengamankan sumber daya Anda dengan mengontrol siapa yang dapat mengaksesnya.

Topik

• Autentikasi
• Kontrol akses
• Mengelola izin akses keEventBridge sumber daya Amazon Anda
• Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Amazon EventBridge
• Menggunakan kebijakan berbasis sumber daya untuk AmazonEventBridge
• Pencegahan Deputi Bingung Lintas Layanan
• Kebijakan berbasis sumber daya untuk skema Amazon EventBridge
• Referensi izin Amazon EventBridge
• Menggunakan ketentuan kebijakan IAM ketentuan untuk kontrol akses yang sangat baik
• Menggunakan peran terkait layanan untuk EventBridge

Autentikasi

Anda dapat mengakses AWS sebagai salah satu tipe identitas berikut:

• Pengguna root akun AWS – Ketika mendaftar ke AWS, Anda memberikan alamat email dan kata sandi yang terkait dengan akun Anda. Ini adalah kredensial root Anda, dan mereka memberikan akses penuh ke semua sumber daya AWS Anda.

  penting

  Demi alasan keamanan, kami merekomendasikan agar Anda menggunakan kredensial root hanya untuk membuat administrator, yang merupakan Pengguna IAM dengan izin penuh untuk akun Anda. Kemudian Anda dapat menggunakan administrator ini untuk membuat pengguna dan peran lain dengan izin terbatas. Untuk informasi selengkapnya, lihat Praktik Terbaik IAM dan Membuat Pengguna Admin dan Grup dalam Panduan Pengguna IAM.

• Pengguna IAM — Pengguna IAM adalah identitas dalam akun Anda yang memiliki izin khusus, misalnya, izin untuk mengirim data peristiwa ke target di. EventBridge Anda dapat menggunakan kredenal masuk IAM untuk masuk untuk mengamankan AWS halaman web seperti, Forum AWS Diskusi AWS Management Console, atau Pusat. AWS Support

  Selain kredensi masuk, Anda juga dapat membuat kunci akses untuk setiap pengguna. Anda dapat menggunakan kunci ini saat Anda mengakses AWS layanan secara programatik untuk menandatangani permintaan Anda secara kriptografis, baik melalui salah satu SDK atau dengan menggunakanAWS Command Line Interface (AWS CLI). Jika Anda tidak menggunakan alat AWS, Anda harus menandatangani permintaan tersebut sendiri denganVersi Tanda Tangan 4, protokol untuk mengautentikasi permintaan API inbound. Untuk informasi selengkapnya tentang melakukan autentikasi permintaan, lihat Proses Penandatanganan Tanda Tangan Versi 4 dalam Referensi Umum Amazon Web.

• IAM role – IAM role adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin spesifik. Peran ini mirip dengan pengguna IAM, tetapi tidak terkait dengan orang tertentu. IAM role memungkinkan Anda memperoleh kunci akses sementara yang dapat digunakan untuk mengakses layanan dan sumber daya AWS. Peran IAM dengan kredensial temporer berguna dalam situasi berikut:

  • Akses pengguna federasi — Alih-alih membuat pengguna, Anda dapat menggunakan identitas dariAWS Directory Service, direktori pengguna perusahaan Anda, atau penyedia identitas web (iDP). Ini dikenal sebagaipengguna gabungan. AWSmenetapkan peran ke pengguna gabungan saat pengguna meminta akses melalui penyedia identitas. Untuk informasi lebih lanjut tentang pengguna federasi, lihat Pengguna dan Peran Gabungan dalam Panduan Pengguna IAM.

  • Akses lintas akun – Anda dapat menggunakan IAM role di akun Anda untuk memberikan izin akun lain untuk mengakses sumber daya akun Anda. Sebagai contoh, lihat Tutorial: Mendelegasikan Akses di Seluruh AWS Menggunakan Peran IAM dalam Panduan Pengguna IAM.

  • AWS akses layanan – Anda dapat menggunakan IAM role di akun Anda untuk memberikan izin layanan AWS untuk mengakses sumber daya akun Anda. Misalnya, Anda dapat membuat peran yang memungkinkan Amazon Redshift untuk memuat data yang disimpan di bucket Amazon S3 ke dalam klaster Amazon Redshift. Untuk informasi selengkapnya, lihat Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan dalam Panduan Pengguna IAM.

  • Aplikasi yang berjalan di Amazon EC2 — Untuk aplikasi Amazon EC2 yang memerlukan akses EventBridge, Anda dapat menyimpan kunci akses di instans EC2 atau Anda dapat menggunakan peran IAM untuk mengelola kredensi sementara. Untuk menetapkan peran AWS ke instans EC2, Anda membuat profil instans yang dilampirkan ke instans. Profil instans memuat peran dan memberikan kredensial sementara ke aplikasi yang berjalan di instans EC2. Untuk informasi selengkapnya, lihat Menggunakan Peran untuk Aplikasi di Amazon EC2 dalam Panduan Pengguna IAM.

Kontrol akses

Untuk membuat atau mengakses EventBridge sumber daya, Anda memerlukan kredensi dan izin yang valid. Sebagai contoh, untuk memohon AWS Lambda, Amazon Simple Notification Service (Amazon SNS), dan target Amazon Simple Queue Service (Amazon SQS), Anda harus memiliki izin untuk layanan tersebut.