Amazon EventBridge e AWS Identity and Access Management

Para acessar a Amazon EventBridge, você precisa de credenciais que AWS possam ser usadas para autenticar suas solicitações. Suas credenciais devem ter permissões para acessar AWS recursos, como recuperar dados de eventos de outros AWS recursos. As seções a seguir fornecem detalhes sobre como você pode usar o AWS Identity and Access Management (IAM) e como ajudar EventBridge a proteger seus recursos controlando quem pode acessá-los.

Tópicos

• Autenticação

• Controle de acesso

• Gerenciando permissões de acesso aos seus EventBridge recursos da Amazon

• Usando políticas baseadas em identidade (políticas do IAM) para a Amazon EventBridge

• Usando políticas baseadas em recursos para a Amazon EventBridge

• Deputado confuso entre serviços de prevenção na Amazon EventBridge

• Políticas baseadas em recursos para esquemas da Amazon EventBridge

• Referência de EventBridge permissões da Amazon

• Usando as condições da política do IAM na Amazon EventBridge

• Usar funções vinculadas ao serviço do EventBridge

Autenticação

Você pode acessar AWS como qualquer um dos seguintes tipos de identidades:

• AWS usuário raiz da conta — Ao se inscrever AWS, você fornece um endereço de e-mail e uma senha associados à sua conta. Essas são suas credenciais raiz e fornecem acesso completo a todos os seus AWS recursos.

  Importante

  Por motivos de segurança, recomendamos que você use as credenciais raiz somente para criar um administrador, que é um usuário do IAM com permissões totais na sua conta. Depois, você pode usar esse administrador para criar outros usuários e funções do com permissões limitadas. Para mais informações, consulte Melhores práticas do IAM e Criar um grupo e um usuário administrador no Guia do usuário do IAM.

• Usuário do IAM — Um usuário do IAM é uma identidade em sua conta que tem permissões específicas, por exemplo, permissão para enviar dados de eventos para um alvo em EventBridge. Você pode usar as credenciais de login do IAM para entrar em AWS páginas da Web seguras AWS Management Console, como os fóruns de AWS discussão ou o Centro.AWS Support

  Além das credenciais de login, você também pode gerar chaves de acesso para cada usuário. Você pode usar essas chaves ao acessar AWS serviços programaticamente para assinar criptograficamente sua solicitação, seja por meio de um dos SDKs ou usando o ().AWS Command Line InterfaceAWS CLI Se não usar ferramentas da AWS , você mesmo deverá assinar a solicitação com o Signature Version 4, um protocolo para a autenticação de solicitações da API de entrada. Para obter mais informações sobre a autenticação de solicitações, consulte Processo de cadastramento do Signature versão 4 na Referência geral da Amazon Web Services.

• Perfil do IAM: um perfil do IAM é uma identidade do IAM que é possível criar em sua conta com permissões específicas. É semelhante a um usuário do IAM mas não está associada a uma pessoa específica. Um perfil do IAM permite obter chaves de acesso temporárias que podem acessar os serviços e recursos da AWS . Perfis do IAM com credenciais temporárias são úteis nas seguintes situações:

  • Acesso de usuário federado — Em vez de criar um usuário, você pode usar identidades do seu diretório de AWS Directory Service usuários corporativo ou de um provedor de identidade da web (IdP). Eles são conhecidos como usuários federados. AWS atribui uma função a um usuário federado quando o usuário solicita acesso por meio de um provedor de identidade. Para obter mais informações sobre usuários federados, consulte Usuários federados e funções no Manual do usuário do IAM.

  • Acesso entre contas: é possível usar um perfil do IAM em sua conta para conceder, a outra conta, permissões de acesso aos recursos de sua conta. Para ver um exemplo, consulte Tutorial: Delegar acesso entre AWS contas usando funções do IAM no Guia do usuário do IAM.

  • AWS acesso ao serviço — você pode usar uma função do IAM em sua conta para conceder a um AWS serviço permissão para acessar os recursos da sua conta. Por exemplo, é possível criar um perfil que permita ao Amazon Redshift carregar os dados armazenados em um bucket do Amazon S3 em um cluster do Amazon Redshift. Para obter mais informações, consulte Criação de uma função para delegar permissões a um AWS serviço no Guia do usuário do IAM.

  • Aplicativos em execução na Amazon EC2 — Para EC2 aplicativos da Amazon que precisam de acesso EventBridge, você pode armazenar chaves de acesso na EC2 instância ou usar uma função do IAM para gerenciar credenciais temporárias. Para atribuir uma AWS função a uma EC2 instância, você cria um perfil de instância que é anexado à instância. Um perfil de instância contém a função e fornece credenciais temporárias para aplicativos em execução na EC2 instância. Para obter mais informações, consulte Usando funções para aplicativos na Amazon EC2 no Guia do usuário do IAM.

Controle de acesso

Para criar ou acessar EventBridge recursos, você precisa de credenciais e permissões válidas. Por exemplo, para invocar AWS Lambda alvos do Amazon Simple Notification Service (Amazon SNS) e do Amazon Simple Queue Service (Amazon SQS), você deve ter permissões para esses serviços.