本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EventBridge 和 AWS Identity and Access Management
若要存取 Amazon EventBridge,您需要AWS可用來驗證請求的登入資料。您的登入資料必須擁有許可以存取 AWS 資源,例如:從其他 AWS 資源擷取事件資料。以下各節提供如何使用 AWS Identity and Access Management(IAM) 的詳細資訊,以及透過控制可存取資源的人員 EventBridge 來協助保護資源的安全。
主題
身分驗證
您可以使用下列身分類型來存取 AWS:
-
AWS 帳戶根使用者:在註冊 AWS 時,您會提供與您的帳戶相關聯的電子郵件地址和密碼。這些是您的根憑證,可完整存取您的所有 AWS 資源。
重要
基於安全理由,建議您只在建立管理員時使用根登入資料,管理員也就是擁有您帳戶完整許可的 IAM 使用者。接著,您可以使用此管理員來建立其他使用者和角色,授予其有限的許可。如需詳細資訊,請參閱《IAM 使用者指南》https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users中的IAM 最佳實務和建立 Admin (管理員) 使用者和群組。
-
IAM 使用者 — IAM 使用者是您帳戶中具有特定許可的身分,例如,將事件資料傳送到中的目標的權限 EventBridge。您可以使用 IAM 登入憑證登入安全 AWS 網頁,例如: AWS Management Console
、AWS 開發論壇 或 AWS Support中心 。 除了登入憑證外,您還可以為每個使用者產生存取金鑰。以程式設計的方式存取 AWS 服務時,您可以使用這些金鑰加密簽署請求,方法是透過其中一個 SDK
或使用 AWS Command Line Interface (AWS CLI) 。如果您不使用 AWS 工具,便必須使用簽章版本 4 (用來驗證送入 API 請求的協議) 自行簽署請求。如需有關驗證請求的詳細資訊,請參閱《Amazon Web Services 一般參考》中的 Signature 第 4 版簽署程序。 -
IAM 角色:IAM 角色是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。它類似 IAM 使用者,但未與特定的人員建立關聯。您可利用 IAM 角色取得臨時存取金鑰,以存取 AWS 服務和資源。使用暫時憑證的 IAM 角色在下列情況中非常有用:
-
聯合身分使用者存取:非建立使用者,而是使用來自 AWS Directory Service、您的企業使用者目錄或 Web 身分提供者 (IdP) 的使用者身分。這些稱為 聯合身分使用者。利用身分提供者來請求存取時,AWS 會指派角色給聯合身分使用者。如需有關聯合身分使用者的詳細資訊,請參閱 IAM 使用者指南中的聯合身分使用者和角色。
-
跨帳户存取權:您可以使用帳戶中的 IAM 角色,授予另一個帳戶許可來存取您帳戶中的資源。如需範例,請參閱《IAM 使用者指南》中的教學課程:使用 IAM 角色將存取權委派給不同的 AWS 帳戶。
-
AWS 服務存取:您可以使用帳戶中的 IAM 角色,授予 AWS 服務許可來存取您帳戶中的資源。例如,您可以建立角色,以允許 Amazon Redshift 將存放於 Amazon S3 儲存貯體中的資料載入到 Amazon Redshift 叢集。如需詳細資訊,請參閱《IAM 使用者指南》中的建立角色以委派許可給 AWS 服務。
-
在 Amazon EC2 上執行的應用程式 — 對於需要存取權的 Amazon EC2 應用程式 EventBridge,您可以在 EC2 執行個體中存放存取金鑰,或使用 IAM 角色來管理臨時登入資料。若要將 AWS 角色指派給 EC2 執行個體,您需建立執行個體描述檔,將其附加到執行個體。執行個體描述檔包含該角色,並且會為在 EC2 執行個體上執行的程式提供臨時憑證。如需詳細資訊,請參閱 IAM 使用者指南https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html中的為 Amazon EC2 上的應用程式使用角色。
-
存取控制
若要建立或存取 EventBridge 資源,您需要有效的認證和權限。例如,若要叫用 AWS Lambda、Amazon Simple Notification Service (Amazon SNS) 和 Amazon Simple Queue Service (Amazon SQS) 目標,您必須擁有對這些服務的許可。
