Amazon EventBridge および AWS Identity and Access Management

Amazon にアクセスするには EventBridge、 AWS がリクエストの認証に使用できる認証情報が必要です。認証情報には、他の AWS リソースからイベントデータを取得するなど、 AWS リソースにアクセスするためのアクセス許可が必要です。以下のセクションでは、 AWS Identity and Access Management （IAM） と を使用して EventBridge 、リソースにアクセスできるユーザーを制御することでリソースを保護する方法について詳しく説明します。

トピック

• 認証
• アクセスコントロール
• Amazon EventBridge リソースへのアクセス許可の管理
• Amazon でのアイデンティティベースのポリシー (IAM ポリシー) の使用 EventBridge
• Amazon でのリソースベースのポリシーの使用 EventBridge
• Amazon でのサービス間の混乱した代理の防止 EventBridge
• Amazon EventBridge スキーマのリソースベースのポリシー
• Amazon EventBridge アクセス許可リファレンス
• Amazon でのIAMポリシー条件の使用 EventBridge
• EventBridgeのサービスにリンクされたロールの使用

認証

には、次のいずれかのタイプの ID AWS としてアクセスできます。

• AWS アカウントのルートユーザー – にサインアップするときは AWS、アカウントに関連付けられた E メールアドレスとパスワードを指定します。これらはルート認証情報 であり、すべての AWS リソースへの完全なアクセスを提供します。

  重要

  セキュリティ上の理由から、ルート認証情報は、アカウントに対する完全なアクセス許可を持つIAMユーザーである管理者 の作成にのみ使用することをお勧めします。その後、この管理者を使用して、制限されたアクセス権限を持つ他の ユーザーとロールを作成できます。詳細については、「 ユーザーガイド」のIAM「ベストプラクティス」および「管理者ユーザーとグループの作成IAM」を参照してください。 https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html

• IAM ユーザー – IAMユーザーは、 のターゲットにイベントデータを送信するアクセス許可など、特定のアクセス許可を持つアカウント内のアイデンティティです EventBridge。IAM サインイン認証情報を使用して、、 AWS ディスカッションフォーラムAWS Management Console、 AWS Support センターなどの安全な AWS ウェブページにサインインできます。

  また、サインイン認証情報に加えて、各ユーザーのアクセスキーを生成することができます。これらのキーは、 AWS サービスにプログラムでアクセスするときに使用して、 のいずれかSDKsまたは AWS Command Line Interface （AWS CLI） を使用してリクエストに暗号で署名できます。ツールを使用しない AWS 場合は、署名バージョン 4 を使用してリクエストを自分で署名する必要があります。これは、インバウンドAPIリクエストを認証するためのプロトコルです。リクエストの認証の詳細については、『』の「署名バージョン 4 の署名プロセスAmazon Web Services 全般のリファレンス」を参照してください。

• IAM ロール – IAMロールは、特定のアクセス許可を持つアカウントで作成できる別のIAMアイデンティティです。これはIAMユーザー に似ていますが、特定のユーザーに関連付けられていません。IAM ロールを使用すると、 AWS サービスとリソースにアクセスするための一時的なアクセスキーを取得できます。IAM 一時的な認証情報を持つ ロールは、以下の状況で役立ちます。

  • フェデレーティッドユーザーアクセス – ユーザーを作成する代わりに、 AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダー (IdP) の ID を使用できます。これらはフェデレーティッドユーザー と呼ばれます。 は、ユーザーが ID プロバイダー を介してアクセスをリクエストすると、フェデレーティッドユーザーにロールを AWS 割り当てます。フェデレーティッドユーザーの詳細については、「 IAMユーザーガイド」の「フェデレーティッドユーザーとロール」を参照してください。

  • クロスアカウントアクセス – アカウントの IAMロールを使用して、アカウントのリソースにアクセスするアクセス許可を別のアカウントに付与できます。例については、「 IAMユーザーガイド」の「チュートリアル: IAMロールを使用した AWS アカウント間のアクセスの委任」を参照してください。

  • AWS サービスアクセス – アカウントの IAMロールを使用して、アカウントのリソースにアクセスするアクセス許可を AWS サービスに付与できます。例えば、Amazon Redshift が Amazon S3 バケットに保存されたデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、「 IAMユーザーガイド」の「 AWS のサービスにアクセス許可を委任するロールの作成」を参照してください。

  • Amazon で実行されているアプリケーション EC2 – へのアクセスが必要な Amazon EC2アプリケーションの場合 EventBridge、EC2インスタンスにアクセスキーを保存するか、 IAMロールを使用して一時的な認証情報を管理できます。EC2 インスタンスに AWS ロールを割り当てるには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルには ロールが含まれており、EC2インスタンスで実行されているアプリケーションに一時的な認証情報を提供します。詳細については、「 IAMユーザーガイド」の「Amazon でのアプリケーションのロールの使用EC2」を参照してください。

アクセスコントロール

EventBridge リソースを作成またはアクセスするには、有効な認証情報とアクセス許可の両方が必要です。例えば、、Amazon Simple Notification Service (Amazon SNS） AWS Lambda、および Amazon Simple Queue Service (Amazon SQS) ターゲットを呼び出すには、それらのサービスに対するアクセス許可が必要です。