Amazon EventBridge e AWS Identity and Access Management

Per accedere ad Amazon EventBridge, hai bisogno di credenziali da AWS utilizzare per autenticare le tue richieste. Queste credenziali devono disporre delle autorizzazioni per accedere alle risorse AWS, ad esempio il recupero di dati di eventi provenienti da altre risorse AWS. Le seguenti sezioni forniscono dettagli su come utilizzare AWS Identity and Access Management(IAM) e su come EventBridge proteggere le risorse controllando chi può accedervi.

Argomenti

• Autenticazione
• Controllo accessi
• Gestione delle autorizzazioni di accesso alle risorse Amazon EventBridge
• Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon EventBridge
• Utilizzo di policy basate su risorse per Amazon EventBridge
• Prevenzione del confused deputy tra servizi
• Policy basate su risorse per Amazon EventBridge Schemas
• Riferimento alle autorizzazioni di Amazon EventBridge
• Utilizzo di condizioni di policy IAM per il controllo granulare degli accessi
• Utilizzo di ruoli collegati ai servizi per EventBridge

Autenticazione

Puoi accedere ad AWS utilizzando uno dei seguenti tipi di identità:

• Account utente root di AWS: quando effettui la registrazione per AWS, fornisci un indirizzo e-mail e una password associata al tuo account. Si tratta delle tue credenziali root, che forniscono accesso completo a tutte le risorse AWS.

  Importante

  Per motivi di sicurezza, consigliamo di utilizzare le credenziali root solo per creare un amministratore, ovvero un utente IAM con autorizzazioni complete per il tuo account. Potrai quindi utilizzare questo amministratore per creare altri utenti e ruoli con autorizzazioni limitate. Per ulteriori informazioni consulta Best practice IAM e l'argomento relativo alla creazione di un gruppo e un utente admin nella Guida per l'utente IAM.

• Utente IAM: un utente IAM è un'identità all'interno del tuo account che dispone di autorizzazioni specifiche, ad esempio l'autorizzazione a inviare i dati degli eventi a una destinazione in EventBridge. Puoi usare credenziali di accesso IAM per effettuare l'accesso a pagine Web AWS sicure, come la AWS Management Console, i forum di discussione AWS o il Centro di AWS Support.

  Inoltre, puoi generare le chiavi di accesso per ogni utente. Puoi utilizzare queste chiavi per accedere ai servizi AWS a livello di codice per firmare crittograficamente la richiesta tramite uno degli SDK o utilizzando l'AWS Command Line Interface (AWS CLI). Se non utilizzi gli strumenti AWS, devi firmare la richiesta tu stesso con Signature Version 4, un protocollo di autenticazione delle richieste API in entrata. Per ulteriori informazioni sulle richieste di autenticazione, consulta la pagina relativa al processo di firma Signature Version 4 nella Riferimenti generali di Amazon Web Services.

• Ruolo IAM: un ruolo IAM è un'altra identità IAM che puoi creare nell'account che dispone di autorizzazioni specifiche. È simile a un utente IAM, ma non è associato a una persona specifica. Utilizzando un ruolo IAM, puoi ottenere chiavi di accesso temporanee per accedere a servizi e risorse AWS. I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:

  • Accesso di utenti federati: anziché creare un utente, puoi utilizzare identità di AWS Directory Service, la tua directory di utente aziendale oppure un gestore dell'identità digitale. Questi sono noti come utenti federati. AWS assegna un ruolo a un utente federato quando l'utente richiede l'accesso tramite un gestore dell'identità. Per ulteriori informazioni sugli utenti federati, consulta la sezione relativa a utenti federati e ruoli nella Guida per l'utente di IAM.

  • Accesso multi-account: puoi utilizzare un ruolo IAM nel tuo account per concedere a un altro account l'autorizzazione per accedere alle risorse del tuo account. Per un esempio, consulta il tutorial sulla delega dell'accesso tra account AWS tramite ruoli IAM nella guida per l'utente IAM.

  • Accesso al servizio AWS: puoi utilizzare un ruolo IAM nel tuo account per concedere a un servizio AWS l'autorizzazione per accedere alle risorse del tuo account. Ad esempio, puoi creare un ruolo che consente ad Amazon Redshift di caricare i dati archiviati in un bucket Amazon S3 di un cluster Amazon Redshift. Per ulteriori informazioni, consulta Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS nella Guida per l'utente di IAM.

  • Applicazioni in esecuzione su Amazon EC2: per le applicazioni Amazon EC2 che richiedono l'accesso EventBridge a, puoi archiviare le chiavi di accesso nell'istanza EC2 oppure utilizzare un ruolo IAM per gestire le credenziali temporanee. Per assegnare un ruolo AWS a un'istanza EC2, crei un profilo dell'istanza che viene associato all'istanza. Un profilo dell'istanza contiene il ruolo e fornisce credenziali temporanee alle applicazioni in esecuzione nell'istanza EC2. Per ulteriori informazioni, consulta la sezione relativa all'utilizzo di ruoli per le applicazioni su Amazon EC2 nella guida per l'utente IAM.

Controllo accessi

Per creare o accedere alle EventBridge risorse, sono necessarie credenziali e autorizzazioni valide. Ad esempio, per richiamare AWS Lambda, Amazon Simple Notification Service (Amazon SNS) e Amazon Simple Queue Service (Amazon SQS), devi disporre di autorizzazioni per tali servizi.