翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EventBridge と AWS Identity and Access Management
<a name="eb-iam"></a>

Amazon EventBridge にアクセスするには、 がリクエストの認証 AWS に使用できる認証情報が必要です。認証情報には、他の AWS リソースからイベントデータを取得するなど、 AWS リソースにアクセスするためのアクセス許可が必要です。以下のセクションでは、[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) と Eventbridge を使用してリソースにアクセスできるユーザーを制御することでリソースを保護する方法について詳しく説明します。

**Topics**
+ [認証](#eb-authentication)
+ [アクセスコントロール](#eb-access-control)
+ [Amazon EventBridge リソースへのアクセス許可の管理](eb-manage-iam-access.md)
+ [Amazon EventBridge でのアイデンティティベースのポリシー (IAM ポリシー) の使用](eb-use-identity-based.md)
+ [Amazon EventBridge のリソースベースのポリシーを使用する](eb-use-resource-based.md)
+ [Amazon EventBridge におけるサービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md)
+ [Amazon EventBridge スキーマのリソースベースのポリシー](eb-resource-based-schemas.md)
+ [Amazon EventBridge アクセス許可のリファレンス](eb-permissions-reference.md)
+ [Amazon EventBridge での IAM ポリシー条件の使用](eb-use-conditions.md)
+ [のサービスにリンクされたロールの使用 EventBridge](using-service-linked-roles.md)

## 認証
<a name="eb-authentication"></a>

には、次のいずれかのタイプの ID AWS としてアクセスできます。
+ **AWS アカウントのルートユーザー** – にサインアップするときに AWS、アカウントに関連付けられた E メールアドレスとパスワードを指定します。これらは*ルート認証情報*であり、すべての AWS リソースへの完全なアクセスを提供します。
**重要**  
セキュリティ上の理由から、アカウントへの完全な許可を持つ*管理者* (*IAM ユーザー*) を作成するためにのみ、ルート認証情報を使用することをお勧めします。その後、この管理者を使用して、制限されたアクセス権限を持つ他の ユーザーとロールを作成できます。詳細については、「*IAM User Guide*」(IAM ユーザーガイド) で「[IAM Best Practices](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)」(IAM ベストプラクティス) および「[Creating an Admin User and Group](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)」(管理者のユーザーおよびグループの作成) を参照してください。
+ **IAM ユーザー** – [IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)は、特定のカスタム権限 (例えば、Eventbridge でターゲットにイベントデータを送信するアクセス許可) を持つアカウント内のアイデンティティです。IAM サインイン認証情報を使用して、、 [AWS ディスカッションフォーラム](https://forums.aws.amazon.com/)[AWS マネジメントコンソール](https://console.aws.amazon.com/)、 [AWS サポート センター](https://console.aws.amazon.com/support/home#/)などの安全な AWS ウェブページにサインインできます。

  また、サインイン認証情報に加えて、各ユーザーの[アクセスキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)を生成することができます。これらのキーは、 [ SDKs の 1 つを通じて、](https://aws.amazon.com/tools/)または [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用して、リクエストに暗号で署名するためにプログラムで AWS サービスにアクセスするときに使用できます。 AWS ツールを使用しない場合は、リクエストを*署名バージョン 4* で署名する必要があります。これは、インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、『[』の「](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)署名バージョン 4 の署名プロセス*Amazon Web Services 全般のリファレンス*」を参照してください。
+ **IAM ロール** - [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、アカウントで作成して特定のアクセス許可を付与できるもうひとつの IAM アイデンティティです。これは *IAM ユーザー*に似ていますが、特定のユーザーに関連付けられていません。IAM ロールを使用すると、 AWS サービスおよびリソースにアクセスできる一時的なアクセスキーを取得することができます。IAM ロールと一時的な認証情報は、次の状況で役立ちます:
  + **フェデレーティッドユーザーアクセス** – ユーザーを作成する代わりに、 Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダー (IdP) の ID を使用できます。これらはフェ*デレーティッドユーザー*と呼ばれます。 は、ユーザーが [ID プロバイダー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)を介してアクセスをリクエストすると、フェデレーティッドユーザーにロールを AWS 割り当てます。フェデレーションユーザーの詳細については、「IAM ユーザーガイド」の「[フェデレーションユーザーとロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)」を参照してください。
  + **クロスアカウントアクセス** – アカウントの IAM ロールを使用して、アカウントのリソースにアクセスするためのアクセス許可を別のアカウントに付与することができます。例については、IAM *ユーザーガイド*の[「チュートリアル: IAM ロールを使用した AWS アカウント間のアクセスの委任](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)」を参照してください。
  + **AWS サービスアクセス** – アカウントの IAM ロールを使用して、アカウントのリソースにアクセスするアクセス許可を AWS サービスに付与できます。例えば、Amazon Redshift が Amazon S3 バケットに保存されたデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、*IAM ユーザーガイド*の[「 AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。
  + **Amazon EC2 で動作するアプリケーション**— EventBridge へのアクセスを必要とする Amazon EC2 アプリケーションの場合、EC2 インスタンスにアクセスキーを保存するか、IAM ロールを使用して一時的な認証情報を管理することができます。EC2 インスタンスに AWS ロールを割り当てるには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルはロールを含み、EC2 インスタンスで実行されるアプリケーションに一時アクセスキーを提供します。詳細については、「*IAM User Guide*」(IAM ユーザーガイド) の「[Using Roles for Applications on Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)」(Amazon EC2 上のアプリケーションに対するロールの使用) を参照してください。

    

## アクセスコントロール
<a name="eb-access-control"></a>

EventBridge リソースを作成する、または EventBridge リソースにアクセスするには、有効な認証情報とアクセス許可の両方が必要です。例えば、Amazon Simple Notification Service (Amazon SNS) AWS Lambdaおよび Amazon Simple Queue Service (Amazon SQS) ターゲットを呼び出すには、それらのサービスに対するアクセス許可が必要です。