翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EventBridge と AWS Identity and Access Management
Amazon EventBridge にアクセスするには、AWS がリクエストの認証に使用できる認証情報が必要です。認証情報には、他の AWS リソースからのイベントデータの取得などの AWS リソースへのアクセス権限が必要です。以下のセクションでは、AWS Identity and Access Management (IAM) と Eventbridge を使用してリソースにアクセスできるユーザーを制御することでリソースを保護する方法について詳しく説明します。
トピック
- 認証
- アクセスコントロール
- Amazon EventBridge リソースへのアクセス許可の管理
- Amazon EventBridge でのアイデンティティベースのポリシー (IAM ポリシー) の使用
- Amazon EventBridge のリソースベースのポリシーを使用する
- Amazon EventBridge におけるサービス間の混乱した代理の防止
- Amazon EventBridge スキーマのリソースベースのポリシー
- Amazon EventBridge アクセス許可のリファレンス
- Amazon EventBridge での IAM ポリシー条件の使用
- EventBridge のサービスにリンクされたロールの使用
認証
AWS には、次のタイプのアイデンティティでアクセスできます。
-
AWS アカウントのルートユーザー – AWS にサインアップするときは、アカウントに関連付けられた E メールアドレスとパスワードを指定します。これらはルート認証情報であり、これらの情報を使用すると、すべての AWS リソースへの完全なアクセスが可能になります。
重要
セキュリティ上の理由から、アカウントへの完全な許可を持つ管理者 (IAM ユーザー) を作成するためにのみ、ルート認証情報を使用することをお勧めします。その後、この管理者を使用して、制限されたアクセス権限を持つ他の ユーザーとロールを作成できます。詳細については、「IAM User Guide」(IAM ユーザーガイド) で「IAM Best Practices」(IAM ベストプラクティス) および「Creating an Admin User and Group」(管理者のユーザーおよびグループの作成) を参照してください。
-
IAM ユーザー – IAM ユーザーは、特定のカスタム権限 (例えば、Eventbridge でターゲットにイベントデータを送信するアクセス許可) を持つアカウント内のアイデンティティです。IAM のサインイン認証情報を使用したサインインにより、AWS Management Console
、AWS ディスカッションフォーラム 、AWS サポート センター などの AWS ウェブページを保護できます。 サインイン認証情報に加えて、ユーザーごとにアクセスキーを生成することもできます。複数の SDK の 1 つ
を通して、または AWS Command Line Interface (AWS CLI) を使用し、プログラムで AWS サービスにアクセスして暗号でリクエストに署名するときに、これらのキーを使用します。AWS ツールを使用しない場合は、リクエストを署名バージョン 4 で署名する必要があります。これは、インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、『』の「署名バージョン 4 の署名プロセスAmazon Web Services 全般のリファレンス」を参照してください。 -
IAM ロール - IAM ロールは、アカウントで作成して特定のアクセス許可を付与できるもうひとつの IAM アイデンティティです。これは IAM ユーザーに似ていますが、特定のユーザーに関連付けられていません。IAM ロールを使用すると、AWS サービスおよびリソースにアクセスできる一時的なアクセスキーを取得することができます。IAM ロールと一時的な認証情報は、次の状況で役立ちます:
-
フェデレーションユーザーアクセス – ユーザーを作成する代わりに、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダー (IdP) のアイデンティティを使用することもできます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、ID プロバイダーを通じてユーザーがアクセスをリクエストしたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーションユーザーの詳細については、「IAM ユーザーガイド」の「フェデレーションユーザーとロール」を参照してください。
-
クロスアカウントアクセス – アカウントの IAM ロールを使用して、アカウントのリソースにアクセスするためのアクセス許可を別のアカウントに付与することができます。この例については、「IAM ユーザーガイド」の「チュートリアル: AWS アカウント間の IAM ロールを使用したアクセスの委任」を参照してください。
-
AWS のサービスのアクセス – アカウントで IAM ロールを使用して、アカウントのリソースにアクセスするための、AWS のサービスのアクセス許可を付与できます。例えば、Amazon Redshift が Amazon S3 バケットに保存されたデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、IAM ユーザーガイドの「AWS のサービスにアクセス権限を委任するロールの作成」を参照してください。
-
Amazon EC2 で動作するアプリケーション— EventBridge へのアクセスを必要とする Amazon EC2 アプリケーションの場合、EC2 インスタンスにアクセスキーを保存するか、IAM ロールを使用して一時的な認証情報を管理することができます。AWS ロールを EC2 インスタンスに割り当てるには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルはロールを含み、EC2 インスタンスで実行されるアプリケーションに一時アクセスキーを提供します。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Using Roles for Applications on Amazon EC2」(Amazon EC2 上のアプリケーションに対するロールの使用) を参照してください。
-
アクセスコントロール
EventBridge リソースを作成する、または EventBridge リソースにアクセスするには、有効な認証情報とアクセス許可の両方が必要です。例えば、AWS Lambda、Amazon Simple Notification Service (Amazon SNS)、および Amazon Simple Queue Service (Amazon SQS) ターゲットを呼び出すには、それらのサービスに対するアクセス許可が必要です。