Steuerung des Zugriffs auf Elastic Transcoder - Amazon Elastic Transcoder
Steuerung des Zugriffs auf Elastic TranscoderPipeline-Servicerollen

Hinweis zum Ende des Supports: Am 13. November 2025 AWS wird der Support für Amazon Elastic Transcoder eingestellt. Nach dem 13. November 2025 können Sie nicht mehr auf die Elastic Transcoder Transcoder-Konsole oder die Elastic Transcoder Transcoder-Ressourcen zugreifen.

Weitere Informationen zur Umstellung auf finden Sie in diesem AWS Elemental MediaConvert Blogbeitrag.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuerung des Zugriffs auf Elastic Transcoder

Mit Amazon Elastic Transcoder können Sie AWS Identity and Access Management (IAM) verwenden, um zu kontrollieren, was Benutzer mit Elastic Transcoder tun können, und um den Zugriff von Elastic Transcoder auf andere AWS Services zu kontrollieren, die Elastic Transcoder benötigt. Sie kontrollieren den Zugriff mithilfe von IAM Richtlinien. Dabei handelt es sich um eine Sammlung von Berechtigungen, die einem IAM Benutzer, einer Gruppe oder einer Rolle zugeordnet werden können. IAM

Steuerung des Zugriffs auf Elastic Transcoder

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Um den Zugriff von Elastic Transcoder auf andere AWS Services zu kontrollieren, können Sie Servicerollen erstellen. Dies sind IAM Rollen, die Sie beim Erstellen einer Pipeline zuweisen und die Elastic Transcoder selbst Berechtigungen zur Ausführung der mit der Transcodierung verbundenen Aufgaben gewähren.

Um eine Rolle für eine (Konsole) zu erstellen AWS-Service IAM

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der IAM Konsole Rollen und anschließend Rolle erstellen aus.

  3. Wählen Sie für Vertrauenswürdige Entität die Option AWS-Service aus.

  4. Wählen Sie für Dienst oder Anwendungsfall einen Dienst und dann den Anwendungsfall aus. Anwendungsfälle werden durch den Service definiert, damit die für den Service erforderliche Vertrauensrichtlinie enthalten ist.

  5. Wählen Sie Weiter.

  6. Bei Berechtigungsrichtlinien hängen die Optionen vom ausgewählten Anwendungsfall ab:

    • Wenn der Dienst die Berechtigungen für die Rolle definiert, können Sie keine Berechtigungsrichtlinien auswählen.

    • Wählen Sie aus einer begrenzten Anzahl von Berechtigungsrichtlinien aus.

    • Wählen Sie aus allen Berechtigungsrichtlinien aus.

    • Wählen Sie keine Berechtigungsrichtlinien aus, erstellen Sie die Richtlinien, nachdem die Rolle erstellt wurde, und fügen Sie die Richtlinien dann der Rolle hinzu.

  7. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen.

    1. Öffnen Sie den Abschnitt Berechtigungsgrenze festlegen und wählen Sie dann Eine Berechtigungsgrenze verwenden aus, um die maximalen Rollenberechtigungen zu steuern.

      IAMenthält eine Liste der AWS verwalteten und von Kunden verwalteten Richtlinien in Ihrem Konto.

    2. Wählen Sie die Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll.

  8. Wählen Sie Weiter.

  9. Die Optionen für den Rollennamen hängen vom Dienst ab:

    • Wenn der Dienst den Rollennamen definiert, können Sie den Rollennamen nicht bearbeiten.

    • Wenn der Dienst ein Präfix für den Rollennamen definiert, können Sie ein optionales Suffix eingeben.

    • Wenn der Dienst den Rollennamen nicht definiert, können Sie der Rolle einen Namen geben.

      Wichtig

      Beachten Sie beim Benennen einer Rolle Folgendes:

      • Rollennamen müssen innerhalb Ihres AWS-Konto Unternehmens eindeutig sein und können nicht von Fall zu Fall eindeutig sein.

        Erstellen Sie beispielsweise keine Rollen, die PRODROLE sowohl als auch benannt sindprodrole. Wenn ein Rollenname in einer Richtlinie oder als Teil einer verwendet wirdARN, unterscheidet der Rollenname Groß- und Kleinschreibung. Wenn Kunden jedoch ein Rollenname in der Konsole angezeigt wird, z. B. während des Anmeldevorgangs, wird die Groß- und Kleinschreibung nicht berücksichtigt.

      • Sie können den Namen der Rolle nicht bearbeiten, nachdem er erstellt wurde, da andere Entitäten möglicherweise auf die Rolle verweisen.

  10. (Optional) Geben Sie unter Beschreibung eine Beschreibung für die Rolle ein.

  11. (Optional) Um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten, wählen Sie in den Abschnitten Schritt 1: Vertrauenswürdige Entitäten auswählen oder Schritt 2: Berechtigungen hinzufügen die Option Bearbeiten aus.

  12. (Optional) Fügen Sie Tags als Schlüssel-Wert-Paare hinzu, um die Rolle leichter zu identifizieren, zu organisieren oder nach ihr zu suchen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Tags für AWS Identity and Access Management Ressourcen im IAMBenutzerhandbuch.

  13. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

Ein Beispiel dafür, wie wichtig sowohl Benutzer- als auch Servicerollen während des Transcodierungsprozesses sind: Elastic Transcoder benötigt eine Servicerolle, um Dateien aus einem Amazon S3 S3-Bucket abzurufen und die transkodierten Dateien in einem anderen Amazon S3 S3-Bucket zu speichern, während ein Benutzer eine IAM Rolle benötigt, die es ihm ermöglicht, einen Job in Elastic Transcoder zu erstellen.

Weitere Informationen IAM dazu finden Sie im Benutzerhandbuch. IAM Weitere Informationen zu Servicerollen finden Sie unter Rolle für einen AWS Dienst erstellen.

Beispielrichtlinien für Elastic Transcoder

Damit Benutzer administrative Funktionen von Elastic Transcoder ausführen können, wie z. B. das Erstellen von Pipelines und das Ausführen von Jobs, benötigen Sie eine Richtlinie, die Sie dem Benutzer zuordnen können. In diesem Abschnitt wird gezeigt, wie eine Richtlinie erstellt wird. Außerdem werden drei Richtlinien zur Steuerung des Zugriffs auf Elastic Transcoder-Operationen und auf die Operationen verwandter Dienste beschrieben, auf die Elastic Transcoder angewiesen ist. Sie können Benutzern Ihres AWS Kontos Zugriff auf alle Elastic Transcoder Transcoder-Operationen oder nur auf einen Teil davon gewähren.

Weitere Informationen zur Verwaltung von Richtlinien finden Sie unter IAMRichtlinien verwalten im IAM Benutzerhandbuch.

So verwenden Sie den JSON Richtlinien-Editor, um eine Richtlinie zu erstellen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

    Wenn Sie zum ersten Mal Policies (Richtlinien) auswählen, erscheint die Seite Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien). Wählen Sie Get Started.

  3. Wählen Sie oben auf der Seite Create policy (Richtlinie erstellen) aus.

  4. Wählen Sie im Bereich Policy-Editor die JSONOption aus.

  5. Geben Sie ein JSON Richtliniendokument ein oder fügen Sie es ein. Einzelheiten zur Sprache der IAM Richtlinie finden Sie in der IAMJSONRichtlinienreferenz.

  6. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Weiter.

    Anmerkung

    Sie können jederzeit zwischen den Optionen Visual und JSONEditor wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual Editor auf Weiter klicken, kann es IAM sein, dass Ihre Richtlinie neu strukturiert wird, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Umstrukturierung von Richtlinien.

  7. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS Management Console, können Sie eine JSON oder eine YAML Richtlinienvorlage generieren, die Sie in AWS CloudFormation Vorlagen verwenden können.

    Wählen Sie dazu im Richtlinien-Editor Aktionen und anschließend CloudFormationVorlage generieren aus. Weitere Informationen AWS CloudFormation finden Sie in der Referenz zum AWS Identity and Access Management Ressourcentyp im AWS CloudFormation Benutzerhandbuch.

  8. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie Next (Weiter) aus.

  9. Geben Sie auf der Seite Prüfen und erstellen unter Richtlinienname einen Namen und unter Beschreibung (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.

  10. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Tags für AWS Identity and Access Management Ressourcen im IAMBenutzerhandbuch.

  11. Wählen Sie Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Geben Sie Elastic Transcoder und Amazon S3 schreibgeschützten Zugriff

Die folgende Richtlinie gewährt nur Lesezugriff auf Elastic Transcoder Transcoder-Ressourcen und Zugriff auf den Listenbetrieb von Amazon S3. Diese Richtlinie ist nützlich, wenn es darum geht, transkodierte Dateien zu finden und anzusehen und um zu sehen, welche Buckets für das IAM Konto verfügbar sind, wer aber nicht die Möglichkeit benötigt, Ressourcen oder Dateien zu aktualisieren, zu erstellen oder zu löschen. Diese Richtlinie ermöglicht auch das Auflisten aller verfügbaren Pipelines, Voreinstellungen und Jobs für das Konto. IAM Wie Sie den Zugriff auf einen bestimmte Bucket beschränken, erfahren Sie unter Beschränkung des Zugriffs auf bestimmte Ressourcen.

{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "elastictranscoder:Read*",
            "elastictranscoder:List*",
            "s3:List*"
         ],
         "Resource": "*"
      }
   ]
}

Erteilen Sie die Erlaubnis, Jobs zu erstellen

Die folgende Richtlinie gewährt die Rechte zum Auflisten und Abrufen aller Elastic Transcoder Transcoder-Ressourcen, die mit dem Konto verknüpft sind, Jobs und Presets zu erstellen oder zu ändern und die Listenoperationen von Amazon S3 und Amazon zu verwenden. SNS

Diese Richtlinie ist nützlich, um Transcodierungseinstellungen zu ändern und Presets oder Jobs zu erstellen oder zu löschen. Das Erstellen, Aktualisieren oder Löschen von Pipelines, Amazon S3 S3-Buckets oder SNS Amazon-Benachrichtigungen ist nicht möglich.

{
    "Version":"2012-10-17",
    "Statement": [
       {
           "Effect": "Allow",
           "Action": [
               "elastictranscoder:Read*",
               "elastictranscoder:List*",
               "elastictranscoder:*Job",
               "elastictranscoder:*Preset",
               "s3:List*",
               "sns:List*"
           ],
           "Resource": "*"
       }
    ]
}

Elastic Transcoder Transcoder-Operationen mit kontrollierbarem Zugriff

Im Folgenden finden Sie die vollständige Liste der Elastic Transcoder Transcoder-Operationen.


    elastictranscoder:CancelJob
    elastictranscoder:CreateJob
    elastictranscoder:CreatePipeline
    elastictranscoder:CreatePreset
    elastictranscoder:DeletePipeline
    elastictranscoder:DeletePreset
    elastictranscoder:ListJobsByPipeline
    elastictranscoder:ListJobsByStatus
    elastictranscoder:ListPipelines
    elastictranscoder:ListPresets
    elastictranscoder:ReadJob
    elastictranscoder:ReadPipeline
    elastictranscoder:ReadPreset
    elastictranscoder:TestRole
    elastictranscoder:UpdatePipeline
    elastictranscoder:UpdatePipelineNotifications
    elastictranscoder:UpdatePipelineStatus

Beschränkung des Zugriffs auf bestimmte Ressourcen

Neben der Zugriffsbeschränkung für Operationen (Aktionen) können Sie auch den Zugriff auf bestimmte Aufträge, Pipelines und Voreinstellungen weiter einschränken. Damit gewähren Sie "Berechtigungen auf Ressourcenebene".

Um den Zugriff auf eine Teilmenge der Elastic Transcoder Transcoder-Ressourcen einzuschränken oder zu gewähren, fügen ARN Sie die Ressource in das Ressourcenelement Ihrer Richtlinie ein. Elastic Transcoder ARNs haben das folgende allgemeine Format:

arn:aws:elastictranscoder:region:account:resource/ID

Ersetzen Sie den region, account, resource, und ID Variablen durch gültige Werte. Gültige Werte können beispielsweise folgende sein:

  • region: Der Name der Region. Eine Liste der Regionen finden Sie hier. Um alle Regionen anzugeben, verwenden Sie ein Platzhalterzeichen (*). Sie müssen einen Wert angeben.

  • account: Die ID des AWS Kontos. Sie müssen einen Wert angeben.

  • resource: Der Typ der Elastic Transcoder Transcoder-Ressource;preset,pipeline, oder. job

  • ID: Die ID der spezifischen Voreinstellung, Pipeline oder des Jobs oder *, um alle Ressourcen des angegebenen Typs anzugeben, die dem aktuellen AWS Konto zugeordnet sind.

Im Folgenden werden beispielsweise alle voreingestellten Ressourcen in der us-east-2 Region für das Konto ARN angegeben111122223333:

arn:aws:elastictranscoder:us-east-2:111122223333:preset/*

Sie können die ARN einer Ressource finden, indem Sie auf den Seiten der Pipeline, der Voreinstellung oder der Job-Konsole auf das Lupensymbol ( Magnifying glass icon with a plus sign, representing a search or zoom function. ) neben dem Ressourcennamen klicken.

Weitere Informationen finden Sie im Benutzerhandbuch unter Ressourcen. IAM

Beispiel für eine Richtlinie zur Beschränkung von Ressourcen

Die folgende Richtlinie gewährt Berechtigungen für den amzn-s3-demo-bucket in Amazon S3 genannten Bucket, Listen- und Leseberechtigungen für alles in Elastic Transcoder sowie die Erlaubnis, Jobs in der genannten Pipeline zu erstellen. example_pipeline

Diese Richtlinie ist nützlich für SDK CLI Benutzer, die in der Lage sein müssen, zu sehen, welche Dateien und Ressourcen verfügbar sind, und diese Ressourcen verwenden müssen, um ihre eigenen Transcodierungsaufträge zu erstellen. Sie erlaubt nicht das Aktualisieren oder Löschen von Ressourcen, das Erstellen von Ressourcen, die keine Aufträge sind, oder das Arbeiten mit Ressourcen, die sich von denen hier angegebenen Ressourcen unterscheiden. Sie gilt nicht für Konsolenbenutzer.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"1",
         "Effect":"Allow",
         "Action":[
            "s3:ListAllMyBuckets",
            "s3:GetBucketLocation",
            "s3:ListBucket",
            "s3:GetObject",
            "s3:PutObject"
            ],
         "Resource":[
             "arn:aws:s3:::amzn-s3-demo-bucket",
             "arn:aws:s3:::amzn-s3-demo-bucket/*"
         ]
      },
      {
         "Sid":"2",
         "Effect":"Allow",
         "Action":[
            "elastictranscoder:List*",
            "elastictranscoder:Read*",
            "elastictranscoder:CreateJob"
         ],
         "Resource":[
            "arn:aws:elastictranscoder:region:account:pipeline/example_pipeline",
            "arn:aws:elastictranscoder:region:account:job/*"
         ]
      }
   ]
}

Servicerollen für Elastic Transcoder-Pipelines

Wenn Sie eine Pipeline erstellen, die Ihre Transcodierungsaufträge verwaltet, müssen Sie eine Servicerolle angeben. IAM Die IAM Servicerolle verfügt über eine Richtlinie, die die Berechtigungen festlegt, die von dieser Pipeline für die Transcodierung verwendet werden.

Beim Angeben einer Rolle für eine Pipeline haben Sie zwei Möglichkeiten:

  • Verwenden Sie die Standardrolle, die nur die Berechtigungen enthält, die Elastic Transcoder für die Transcodierung benötigt. Wenn Sie die Elastic Transcoder Transcoder-Konsole verwenden, um Ihre Pipelines zu erstellen, bietet Ihnen die Konsole bei der Erstellung Ihrer ersten Pipeline die Option, die Standardrolle automatisch zu erstellen. Sie benötigen Administratorrechte, um IAM Servicerollen, einschließlich der Standardrolle, zu erstellen.

  • Wählen Sie eine vorhandene Rolle aus. In diesem Fall müssen Sie die Rolle zuvor in erstellt IAM und der Rolle eine Richtlinie angehängt haben, die Elastic Transcoder ausreichende Rechte zur Transcodierung Ihrer Dateien einräumt. Dies ist nützlich, wenn Sie die Rolle auch für andere AWS Dienste verwenden möchten.

Die IAM Standardrolle für Pipelines

Mit der von Elastic Transcoder erstellten Standardrolle kann Elastic Transcoder die folgenden Operationen ausführen:

  • Rufen Sie eine Datei aus einem Amazon S3 S3-Bucket zur Transcodierung ab.

  • Listet den Inhalt eines beliebigen Amazon S3 S3-Buckets auf.

  • Speichern Sie eine transkodierte Datei in einem Amazon S3 S3-Bucket.

  • Erstellen Sie einen mehrteiligen Amazon S3 S3-Upload.

  • Veröffentlichen Sie eine Benachrichtigung zu einem beliebigen SNS Thema.

Die Richtlinie verhindert, dass Elastic Transcoder die folgenden Operationen ausführt:

  • Führen Sie alle SNS Amazon-Löschvorgänge durch oder fügen Sie eine Richtlinienerklärung zu einem Thema hinzu oder entfernen Sie sie.

  • Führen Sie alle Amazon S3 S3-Bucket- oder Elementlöschvorgänge durch oder fügen Sie eine Bucket-Richtlinie hinzu, entfernen oder ändern Sie sie.

Die Definition der Zugriffs(berechtigungs-)richtline für die Standardrolle sieht wie folgt aus:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"1",
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:ListBucket",
            "s3:Put*",
            "s3:*MultipartUpload*"
         ],
         "Resource":"*"
      },
      {
         "Sid":"2",
         "Effect":"Allow",
         "Action":"sns:Publish",
         "Resource":"*"
      },
      {
         "Sid":"3",
         "Effect":"Deny",
         "Action":[
            "sns:*Permission*",
            "sns:*Delete*",
            "sns:*Remove*",
            "s3:*Policy*",
            "s3:*Delete*"
         ],
         "Resource":"*"
      }
   ]
}

Unterstützte Regionen für dienstverknüpfte Elastic Transcoder-Rollen

Elastic Transcoder unterstützt die Verwendung von serviceverknüpften Rollen in den folgenden Regionen.

Name der Region Region-ID Support in Elastic Transcoder
USA Ost (Nord-Virginia) us-east-1 Ja
USA Ost (Ohio) us-east-2 Nein
USA West (Nordkalifornien) us-west-1 Ja
USA West (Oregon) us-west-2 Ja
Asien-Pazifik (Mumbai) ap-south-1 Ja
Asien-Pazifik (Osaka) ap-northeast-3 Nein
Asien-Pazifik (Seoul) ap-northeast-2 Nein
Asien-Pazifik (Singapur) ap-southeast-1 Ja
Asien-Pazifik (Sydney) ap-southeast-2 Ja
Asien-Pazifik (Tokyo) ap-northeast-1 Ja
Kanada (Zentral) ca-central-1 Nein
Europa (Frankfurt) eu-central-1 Nein
Europa (Irland) eu-west-1 Ja
Europa (London) eu-west-2 Nein
Europa (Paris) eu-west-3 Nein
Südamerika (São Paulo) sa-east-1 Nein