Amazon EventBridge 和 AWS Identity and Access Management - Amazon EventBridge

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EventBridge 和 AWS Identity and Access Management

若要存取 Amazon EventBridge,您需要 AWS 可用來驗證請求的登入資料。您的認證必須具有存取 AWS 資源的權限,例如從其他 AWS 資源擷取事件資料。以下各節提供如何使用 AWS Identity and Access Management (IAM) 的詳細資訊,以及透過控制可存取資源的人員 EventBridge 來協助保護資源的安全。

身分驗證

您可以存取 AWS 下列任何類型的身分識別:

  • AWS 帳號 root 使用者 — 當您註冊時 AWS,您會提供與您帳戶相關聯的電子郵件地址和密碼。這些是您的根憑據,它們提供對所有 AWS 資源的完整訪問權限。

    重要

    基於安全理由,我們建議您只使用 root 認證來建立管理員,管理員是擁有您帳戶完整權限的使用IAM者。接著,您可以使用此管理員來建立其他使用者和角色,授予其有限的許可。如需詳細資訊,請參閱《使用指南》中的IAM最佳作法和建立管理員IAM使用者和群組

  • IAMuser — 使IAM者是您帳戶中具有特定權限的身分,例如,將事件資料傳送至中的目標的權限 EventBridge。您可以使用IAM登入認證來登入以保護 AWS 網頁,例如AWS Management ConsoleAWS 討論區或中AWS Support 心

    除了登入憑證外,您還可以為每個使用者產生存取金鑰。當您以程式設計方式存取 AWS 服務以密碼編譯方式簽署要求時,您可以使用這些金鑰,透過其中一個SDKs或使用 AWS Command Line Interface (AWS CLI)。如果您不使用 AWS 工具,則必須使用簽名版本 4 (一種驗證輸入要求的通訊協定) 自行簽署要API求。如需有關驗證請求的詳細資訊,請參閱《Amazon Web Services 一般參考》中的 Signature 第 4 版簽署程序

  • IAMrole — 角IAM是您可以在具有特定權限的帳戶中建立的另一個IAM身分。它與IAM使用者類似,但與特定人員無關。使用IAM角色,您可以取得臨時存取金鑰,以存取 AWS 服務和資源。IAM具有臨時認證的角色在下列情況下很有用:

    • 聯合使用者存取 — 您可以使用企業使用者目錄或 Web 身分 AWS Directory Service識別提供者 (IdP) 的身分,而不是建立使用者。這些稱為聯合使用者。 AWS 當使用者透過身分識別提供者要求存取時,會將角色指派給聯合身分使用者。如需有關聯合使用者的詳細資訊,請參閱《使用者指南》中的「同盟使用IAM者和角色」。

    • 跨帳戶存取 — 您可以使用帳戶中的IAM角色授予其他帳戶存取帳戶資源的權限。如需範例,請參閱使用指南中的〈教學課程:使用IAM角色在 AWS 帳戶間委派存取權限。IAM

    • AWS 服務存取權 — 您可以使用帳戶中的IAM角色來授與 AWS 服務存取帳戶資源的權限。例如,您可以建立角色,以允許 Amazon Redshift 將存放於 Amazon S3 儲存貯體中的資料載入到 Amazon Redshift 叢集。如需詳細資訊,請參閱《IAM使用指南》中的建立角色以將權限委派給 AWS 服務

    • Amazon 上執行的應用程式 EC2 — 對於需要存取權的 Amazon EC2 應用程式 EventBridge,您可以在EC2執行個體中存放存取金鑰,也可以使用IAM角色來管理臨時登入資料。若要將 AWS 角色指派給EC2執行個體,請建立連接至執行個體的執行個體設定檔。執行個體設定檔包含角色,並為執行個體上EC2執行的應用程式提供臨時登入資料。如需詳細資訊,請參閱使用IAM者指南中的EC2在 Amazon 上為應用程式使用角色。

存取控制

若要建立或存取 EventBridge 資源,您需要有效的認證和權限。例如,要調用 AWS Lambda Amazon 簡單通知服務(AmazonSNS)和 Amazon 簡單隊列服務(AmazonSQS)目標,您必須具有這些服務的許可。