Amazon EventBridge と AWS Identity and Access Management

Amazon にアクセスするには EventBridge、 AWSがリクエストの認証に使用できる認証情報が必要です。認証情報には、他の AWS リソースからのイベントデータの取得などの AWS リソースへのアクセス権限が必要です。以下のセクションでは、 AWS Identity and Access Management (IAM) と を使用して、リソースにアクセスできるユーザーを制御することでリソース EventBridge を保護する方法について詳しく説明します。

トピック

• 認証
• アクセスコントロール
• Amazon EventBridge リソースへのアクセス許可の管理
• Amazon でのアイデンティティベースのポリシー (IAM ポリシー) の使用 EventBridge
• Amazon EventBridge のリソースベースのポリシーを使用する
• サービス間の混乱した代理の防止
• Amazon EventBridge スキーマのリソースベースのポリシー
• Amazon EventBridge アクセス許可のリファレンス
• 詳細に設定されたアクセスコントロールのための IAM ポリシー条件の使用
• EventBridge のサービスにリンクされたロールの使用

認証

AWS には、次のタイプのアイデンティティでアクセスできます。

• AWS アカウントのルートユーザー – AWS にサインアップするときは、アカウントに関連付けられた E メールアドレスとパスワードを指定します。これらはルート認証情報であり、これらの情報を使用すると、すべての AWS リソースへの完全なアクセスが可能になります。

  重要

  セキュリティ上の理由から、アカウントへの完全な許可を持つ管理者 (IAM ユーザー) を作成するためにのみ、ルート認証情報を使用することをお勧めします。その後、この管理者を使用して、制限されたアクセス権限を持つ他の ユーザーとロールを作成できます。詳細については、「IAM User Guide」(IAM ユーザーガイド) で「IAM Best Practices」(IAM ベストプラクティス) および「Creating an Admin User and Group」(管理者のユーザーおよびグループの作成) を参照してください。

• IAM ユーザー – IAM ユーザーは、 のターゲットにイベントデータを送信するアクセス許可など、特定のアクセス許可を持つ アカウント内のアイデンティティです EventBridge。IAM のサインイン認証情報を使用したサインインにより、AWS Management Console、AWS ディスカッションフォーラム、AWS Support センターなどの AWS ウェブページを保護できます。

  サインイン認証情報に加えて、ユーザーごとにアクセスキーを生成することもできます。複数の SDK の 1 つを通して、または AWS Command Line Interface (AWS CLI) を使用し、プログラムで AWS サービスにアクセスして暗号でリクエストに署名するときに、これらのキーを使用します。AWS ツールを使用しない場合は、リクエストを署名バージョン 4 で署名する必要があります。これは、インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、『』の「署名バージョン 4 の署名プロセスAmazon Web Services 全般のリファレンス」を参照してください。

• IAM ロール - IAM ロールは、アカウントで作成して特定のアクセス許可を付与できるもうひとつの IAM アイデンティティです。これは IAM ユーザーに似ていますが、特定のユーザーに関連付けられていません。IAM ロールを使用すると、AWS サービスおよびリソースにアクセスできる一時的なアクセスキーを取得することができます。IAM ロールと一時的な認証情報は、次のような状況で役立ちます。

  • フェデレーションユーザーアクセス – ユーザーを作成する代わりに、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダー (IdP) のアイデンティティを使用することもできます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、ID プロバイダーを通じてユーザーがアクセスをリクエストしたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーションユーザーの詳細については、「IAM ユーザーガイド」の「フェデレーションユーザーとロール」を参照してください。

  • クロスアカウントアクセス – アカウントの IAM ロールを使用して、アカウントのリソースにアクセスするためのアクセス許可を別のアカウントに付与することができます。この例については、「IAM ユーザーガイド」の「チュートリアル: AWS アカウント間の IAM ロールを使用したアクセスの委任」を参照してください。

  • AWS のサービスのアクセス – アカウントで IAM ロールを使用して、アカウントのリソースにアクセスするための、AWS のサービスのアクセス許可を付与できます。例えば、Amazon Redshift が Amazon S3 バケットに保存されたデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、IAM ユーザーガイドの「AWS のサービスにアクセス権限を委任するロールの作成」を参照してください。

  • Amazon EC2 で実行されているアプリケーション – へのアクセスを必要とする Amazon EC2 アプリケーションの場合 EventBridge、EC2 インスタンスにアクセスキーを保存するか、IAM ロールを使用して一時的な認証情報を管理できます。AWS ロールを EC2 インスタンスに割り当てるには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルはロールを含み、EC2 インスタンスで実行されるアプリケーションに一時アクセスキーを提供します。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Using Roles for Applications on Amazon EC2」(Amazon EC2 上のアプリケーションに対するロールの使用) を参照してください。

アクセスコントロール

EventBridge リソースを作成またはアクセスするには、有効な認証情報とアクセス許可の両方が必要です。例えば、AWS Lambda、Amazon Simple Notification Service (Amazon SNS)、および Amazon Simple Queue Service (Amazon SQS) ターゲットを呼び出すには、それらのサービスに対するアクセス許可が必要です。