Amazon EventBridge の Identity and Access Management - Amazon EventBridge

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon EventBridge の Identity and Access Management

Amazon EventBridge へのアクセスには、AWS がリクエストの認証に使用できる認証情報が必要です。これらの認証情報には、他の AWS リソースからのイベントデータの取得などの AWS リソースへのアクセス権限が必要です。以下のセクションでは、AWS Identity and Access Management (IAM) と EventBridge を使用して、リソースにアクセスできるユーザーを制御することで、リソースをセキュリティで保護する方法について詳しく説明します。

Authentication

AWS には、次のタイプのアイデンティティでアクセスできます。

  • AWS アカウントのルートユーザー – AWSにサインアップするときは、アカウントに関連付けられた E メールアドレスとパスワードを指定します。これらは ルート認証情報であり、これらの情報を使用すると、すべての AWS リソースへの完全なアクセスが可能になります。

    重要

    セキュリティ上の理由から、アカウントへの完全なアクセス権限を持つ管理者 (IAM ユーザー) を作成するためにのみ、ルート認証情報を使用することをお勧めします。その後、この管理者を使用して、制限されたアクセス権限を持つ他の IAM ユーザーとロールを作成できます。詳細については、IAMの「https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html のベストプラクティス」および「IAM ユーザーガイド管理者のユーザーおよびグループの作成」を参照してください。

  • IAM ユーザー IAM ユーザーは、特定のカスタム権限 (たとえば、EventBridge でターゲットにイベントデータを送信するアクセス権限) を持つアカウント内の ID です。IAM のユーザー名とパスワードを使用して、AWS マネジメントコンソールAWS ディスカッションフォーラムAWS Support Center などのセキュリティ保護された AWS ウェブページにサインインできます。

     

    ユーザー名とパスワードに加えて、各ユーザーのアクセスキーを生成することもできます。いくつかのAWSサービスのいずれかを通じて、または SDKs () を使用して、プログラムで サービスにアクセスするときに、これらのキーを使用します。AWS Command Line InterfaceAWS CLISDK と AWS CLI ツールでは、アクセスキーを使用してリクエストが暗号で署名されます。AWSツールを使用しない場合は、リクエストを自分で署名する必要があります。EventBridgesupports署名バージョン 4。インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、アマゾン ウェブ サービス全般のリファレンス の「署名バージョン 4 の署名プロセス」を参照してください。

     

  • IAM ロールIAM ロールは、特定のアクセス許可を持ち、アカウントで作成できる、もう 1 つの IAM アイデンティティです。これは IAM ユーザーに似ていますが、特定のユーザーに関連付けられていません。IAM ロールでは、AWS のサービスおよびリソースにアクセスできる一時的なアクセスキーを取得することができます。IAM ロールと一時的な認証情報は、次の状況で役立ちます。

     

    • フェデレーティッドユーザーアクセス – IAM ユーザーを作成するのではなく、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブアイデンティティプロバイダー (IdP) の既存のアイデンティティを使用することもできます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、ID プロバイダーを通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-rolesの「IAM ユーザーガイドフェデレーティッドユーザーとロール」を参照してください。

       

    • クロスアカウントアクセス – アカウントの IAM ロールを使用して、アカウントのリソースにアクセスするための権限を別のアカウントに付与することができます。例については、チュートリアルを参照してください。AWSでIAMロールを使用してアカウント間のアクセスを委任IAM ユーザーガイドします。

       

    • AWS のサービスのアクセス – アカウントで IAM ロールを使用して、アカウントのリソースにアクセスするために AWS のサービスに必要なアクセス権限を付与できます。たとえば、Amazon Redshift がお客様に代わって Amazon S3 バケットにアクセスし、バケットに保存されたデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、AWSの「IAM ユーザーガイド ユーザーにアクセス権限を委任するロールの作成」を参照してください。

       

    • Amazon EC2 で実行されるアプリケーション – インスタンスで実行し、AWS API リクエストを作成するアプリケーションで使用されるアクセスキーを EC2 インスタンス内に保存する代わりに、IAM ロールを使用して、これらのアプリケーション用の一時認証情報を管理できます。AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、『Amazon EC2』の「IAM ユーザーガイド 上のアプリケーションに対するロールの使用」を参照してください。

アクセスコントロール

有効な認証情報があればリクエストを認証できますが、アクセス許可を持っていないかぎり EventBridge リソースの作成やアクセスはできません。たとえば、EventBridge ルールに関連付けられた AWS Lambda、Amazon Simple Notification Service (Amazon SNS)、および Amazon Simple Queue Service (Amazon SQS) のターゲットを呼び出すにはアクセス許可が必要です。

以下のセクションでは、EventBridge のアクセス権限を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。