本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 亚马逊 EventBridge 和 Amazon Identity and Access Management
<a name="eb-iam"></a>

要访问 Amazon EventBridge，您需要 Amazon 可用于验证您的请求的凭证。您的证书必须具有访问 Amazon 资源的权限，例如从其他 Amazon 资源检索事件数据。以下各节详细介绍了如何使用 [Amazon Identity and Access Management (IAM)](https://docs.amazonaws.cn/IAM/latest/UserGuide/introduction.html)，以及 EventBridge 如何通过控制谁可以访问资源来帮助保护您的资源。

**Topics**
+ [身份验证](#eb-authentication)
+ [访问控制](#eb-access-control)
+ [管理对您的 Amazon EventBridge 资源的访问权限](eb-manage-iam-access.md)
+ [使用适用于亚马逊的基于身份的政策（IAM 策略） EventBridge](eb-use-identity-based.md)
+ [为 Amazon 使用基于资源的政策 EventBridge](eb-use-resource-based.md)
+ [亚马逊的跨服务混淆了副手预防 EventBridge](cross-service-confused-deputy-prevention.md)
+ [Amazon EventBridge 架构的基于资源的政策](eb-resource-based-schemas.md)
+ [Amazon EventBridge 权限参考](eb-permissions-reference.md)
+ [在 Amazon 中使用 IAM 政策条件 EventBridge](eb-use-conditions.md)
+ [将服务相关角色用于 EventBridge](using-service-linked-roles.md)

## 身份验证
<a name="eb-authentication"></a>

您可以 Amazon 作为以下任何类型的身份进行访问：
+ **Amazon 账户 root 用户** — 注册时 Amazon，您需要提供与您的帐户关联的电子邮件地址和密码。这些是您的*根证书*，可让您完全访问您的所有 Amazon 资源。
**重要**  
出于安全考虑，我们建议您仅使用根凭证创建*管理员*，它是对您的账户具有完全访问权限的 *IAM 用户*。随后，您可以使用此管理员来创建具有有限权限的其他 用户和角色。有关更多信息，请参阅《IAM 用户指南》**中的 [IAM 最佳实践](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#create-iam-users)和[创建管理员用户和组](https://docs.amazonaws.cn/IAM/latest/UserGuide/getting-started_create-admin-group.html)。
+ **IAM 用户** — [IAM 用户](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users.html)是您的账户中具有特定权限的身份，例如，向中的目标发送事件数据的权限 EventBridge。[您可以使用 IAM 登录凭证登录安全 Amazon 网页，例如[Amazon Web Services 管理控制台](https://console.amazonaws.cn/)、[Amazon 讨论论坛](https://forums.aws.csdn.net/)或中心。Amazon Web Services 支持](https://console.amazonaws.cn/support/home#/)

  除了登录凭证之外，还可以为每个用户生成[访问密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_access-keys.html)。在以编程方式访问 Amazon 服务时，您可以使用这些密钥对请求进行加密签名，方法是通过[其中一个](https://www.amazonaws.cn/tools/)密钥 SDKs或使用 [Amazon Command Line Interface ()Amazon CLI](https://www.amazonaws.cn/cli/)。如果您不使用 Amazon 工具，则必须使用*签名版本 4* 自行对请求进行签名。这是一种用于对入站 API 请求进行身份验证的协议。有关验证请求的更多信息，请参阅《Amazon Web Services 一般参考》** 中的[签名版本 4 签名流程](https://docs.amazonaws.cn/general/latest/gr/signature-version-4.html)。
+ **IAM 角色** - [IAM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)是可在账户中创建的另一种具有特定权限的 IAM 身份。它类似于 *IAM 用户*，但未与特定人员相关联。利用 IAM 角色，您可以获得可用于访问 Amazon 服务和资源的临时访问密钥。具有临时凭证的 IAM 角色在以下情况下很有用：
  + **联合用户访问权限**-您可以使用来自 Amazon Directory Service企业用户目录或 Web 身份提供商 (IdP) 的身份，而不是创建用户。这些用户被称为*联合用户*。 Amazon 当联合用户通过[身份提供商](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers.html)请求访问权限时，将角色分配给该用户。有关联合用户的更多信息，请参阅《IAM 用户指南》**中的[联合用户和角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)。
  + **跨账户存取** - 您可以使用您账户中的 IAM 角色，向另一个账户授予对您账户中资源的访问权限。有关示例，请参阅 IAM *用户指南*中的[教程：使用 IAM 角色委派跨 Amazon 账户访问权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)。
  + **Amazon 服务访问权限** — 您可以使用账户中的 IAM 角色向 Amazon 服务授予访问您账户资源的权限。例如，您可以创建一个角色，允许 Amazon Redshift 将存储在一个 Amazon S3 桶中的数据加载到一个 Amazon Redshift 集群中。有关更多信息，请参阅 *IAM 用户指南*中的[创建角色以向 Amazon 服务委派权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_create_for-service.html)。
  + **在 Amazon EC2 上运行**的应用程序 — 对于需要访问的 Amazon EC2 应用程序 EventBridge，您可以将访问密钥存储在 EC2 实例中，也可以使用 IAM 角色来管理临时证书。要向 EC2 实例分配 Amazon 角色，您需要创建附加到该实例的实例配置文件。实例配置文件包含角色，并为 EC2 实例上运行的应用程序提供临时凭证。有关更多信息，请参阅 *IAM 用户指南*中的[对 Amazon EC2 上的应用程序使用角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。

    

## 访问控制
<a name="eb-access-control"></a>

要创建或访问 EventBridge 资源，您需要有效的证书和权限。例如，要调用 Amazon Lambda亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 和亚马逊简单队列服务 (Amazon SQS) 目标，您必须拥有对这些服务的权限。