本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon EventBridge 和 AWS Identity and Access Management
<a name="eb-iam"></a>

若要存取 Amazon EventBridge，您需要 AWS 可用來驗證請求的登入資料。您的登入資料必須具有存取 AWS 資源的許可，例如從其他 AWS 資源擷取事件資料。下列章節提供關於如何使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 與 EventBridge 的詳細資訊，藉由控制可存取的人員，協助確保您資源的安全。

**Topics**
+ [身分驗證](#eb-authentication)
+ [存取控制](#eb-access-control)
+ [管理對您 Amazon EventBridge 資源的存取許可](eb-manage-iam-access.md)
+ [將以身分為基礎的政策 (IAM 政策) 用於 Amazon EventBridge](eb-use-identity-based.md)
+ [將以資源為基礎的政策用於 Amazon EventBridge](eb-use-resource-based.md)
+ [在 Amazon EventBridge 中預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)
+ [Amazon EventBridge 結構描述的資源型政策](eb-resource-based-schemas.md)
+ [Amazon EventBridge 許可參考](eb-permissions-reference.md)
+ [在 Amazon EventBridge 中使用 IAM 政策條件](eb-use-conditions.md)
+ [使用 的服務連結角色 EventBridge](using-service-linked-roles.md)

## 身分驗證
<a name="eb-authentication"></a>

您可以使用下列任一類型的身分 AWS 來存取 ：
+ **AWS 帳戶根使用者** – 當您註冊時 AWS，請提供與您帳戶相關聯的電子郵件地址和密碼。這些是您的*根登入*資料，可讓您完整存取所有 AWS 資源。
**重要**  
基於安全理由，建議您只在建立*管理員*時使用根登入資料，管理員也就是擁有您帳戶完整許可的 *IAM 使用者*。接著，您可以使用此管理員來建立其他使用者和角色，授予其有限的許可。如需詳細資訊，請參閱《IAM 使用者指南》[https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)中的[IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)和*建立 Admin (管理員) 使用者和群組*。
+ **IAM 使用者**：[IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是您帳戶中的一種身分，擁有特定的許可，例如，將事件資料傳送至 EventBridge 中的目標的許可。您可以使用 IAM 登入憑證登入安全 AWS 網頁，例如 [AWS 管理主控台](https://console.aws.amazon.com/)、 [AWS 開發論壇](https://forums.aws.amazon.com/)或 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

  除了登入憑證外，您還可以為每個使用者產生[存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。當您透過其中一個 [ SDKs](https://aws.amazon.com/tools/) 或使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)，以程式設計方式存取 AWS 服務以密碼編譯方式簽署您的請求時，您可以使用這些金鑰。如果您不使用 AWS 工具，便必須使用*簽章版本 4*，即用來驗證送入 API 請求的協議，來自行簽署請求。如需有關驗證請求的詳細資訊，請參閱《Amazon Web Services 一般參考》**中的 [Signature 第 4 版簽署程序](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)。
+ **IAM 角色**：[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您可以在帳戶中建立的另一種 IAM 身分，具有特定的許可。它類似 *IAM 使用者*，但未與特定的人員建立關聯。您可利用 IAM 角色取得臨時存取金鑰，以存取 AWS 服務和資源。使用臨時憑證的 IAM 角色在下列情況中非常有用：
  + **聯合身分使用者存取** – 您可以使用來自 的身分 Directory Service、企業使用者目錄或 Web 身分提供者 (IdP)，而不是建立使用者。這些稱為*聯合身分使用者*。當使用者透過[身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)請求存取時， 會將角色 AWS 指派給聯合身分使用者。如需有關聯合身分使用者的詳細資訊，請參閱 *IAM 使用者指南*中的[聯合身分使用者和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)。
  + **跨帳户存取權**：您可以使用帳戶中的 IAM 角色，授予另一個帳戶許可來存取您帳戶中的資源。如需範例，請參閱《IAM *使用者指南*》中的[教學課程：使用 IAM 角色跨 AWS 帳戶委派存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)。
  + **AWS 服務存取** – 您可以使用帳戶中的 IAM 角色來授予 AWS 服務存取您帳戶資源的許可。例如，您可以建立角色，以允許 Amazon Redshift 將存放於 Amazon S3 儲存貯體中的資料載入到 Amazon Redshift 叢集。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
  + **Amazon EC2上執行的應用程式**：對於需要存取 EventBridge 的 Amazon EC2 應用程式，您可以將存取金鑰存放於 EC2 執行個體中，或使用 IAM 角色來管理臨時憑證。若要將 AWS 角色指派給 EC2 執行個體，您可以建立連接至執行個體的執行個體描述檔。執行個體設定檔包含該角色，並且會為在 EC2 執行個體上執行的程式提供臨時憑證。如需詳細資訊，請參閱 IAM 使用者指南[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)中的*為 Amazon EC2 上的應用程式使用角色*。

    

## 存取控制
<a name="eb-access-control"></a>

若要建立或存取 EventBridge 資源，您需要有效的憑證和權限。例如，若要叫用 AWS Lambda Amazon Simple Notification Service (Amazon SNS) 和 Amazon Simple Queue Service (Amazon SQS) 目標，您必須擁有這些服務的許可。