Identitäts- und Zugriffsverwaltung in IVS - Amazon IVS
ZielgruppeWie Amazon IVS mit IAM funktioniertIdentitätenRichtlinienAutorisierung auf der Basis von Amazon IVS TagsRollenPrivilegierter und unprivilegierter ZugriffBest Practices für PolicenBeispiele für identitätsbasierte RichtlinienFehlerbehebung

Identitäts- und Zugriffsverwaltung in IVS

AWS Identity and Access Management (IAM) ist ein AWS-Service, mit dem Kontoadministratoren den Zugriff auf AWS-Ressourcen sicher steuern können. Jede AWS-Ressource ist Eigentum eines AWS-Kontos und die Berechtigungen für die Erstellung einer Ressource oder den Zugriff darauf werden durch Berechtigungsrichtlinien geregelt. IAM-Kontoadministratoren legen fest, wer für die Nutzung von Amazon-IVS-Ressourcen authentifiziert (angemeldet) und autorisiert (mit Berechtigungen ausgestattet) werden kann. IAM ist ein Feature Ihres AWS-Kontos, die ohne zusätzliche Kosten angeboten wird.

Wichtig: Umfassende Informationen finden Sie auf der AWS-IAM-Produktseite im IAM-Benutzerhandbuch und unter Signieren von AWS-API-Anforderungen. In diesem Abschnitt stellen wir auch Links zu bestimmten Abschnitten des IAM-Benutzerhandbuchs bereit. Sie sollten mit diesem Material vertraut sein, bevor Sie fortfahren.

Zielgruppe

Wie Sie IAM verwenden, hängt von der Arbeit ab, die Sie in Amazon IVS ausführen:

  • Servicebenutzer – Wenn Sie den Amazon IVS-Service verwenden, um Ihre Aufgabe zu erledigen, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie mehr Amazon IVS-Features für Ihre Arbeit verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle verstehen, kann Ihnen dies helfen, die richtigen Berechtigungen von Ihrem Administrator anzufordern. Wenn Sie auf ein Feature in Amazon IVS nicht zugreifen können, siehe Fehlerbehebung.

  • Service-Administrator – Wenn Sie in Ihrem Unternehmen für die Amazon IVS-Ressourcen zuständig sind, haben Sie wahrscheinlich vollen Zugriff auf Amazon IVS. Es ist Ihre Aufgabe, zu bestimmen, auf welche Amazon IVS-Features und -Ressourcen Ihre Mitarbeiter zugreifen sollen. Sie müssen dann Anträge an Ihren IAM-Administrator stellen, um die Berechtigungen Ihrer Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um Basic IAM-Konzepte zu verstehen. Weitere Informationen dazu, wie Ihr Unternehmen IAM mit Amazon IVS verwenden kann, finden Sie unter Wie Amazon IVS mit IAM funktioniert.

  • IAM-Administrator – Wenn Sie ein IAM-Administrator sind, können Sie Richtlinien schreiben, um den Zugriff auf Amazon IVS zu verwalten. Beispiele für identitätsbasierte Amazon IVS-Richtlinien, die Sie in IAM verwenden können, finden Sie unter Beispiele für identitätsbasierte Richtlinien.

Wie Amazon IVS mit IAM funktioniert

Bevor Sie Amazon IVS-API-Anfragen stellen können, müssen Sie eine oder mehrere IAM-Identitäten (Benutzer, Gruppen und Rollen) und IAM-Richtlinien erstellen und dann den Identitäten Richtlinien zuordnen. Es dauert bis zu einigen Minuten, bis die Berechtigungen weitergegeben werden. Bis dahin werden API-Anforderungen abgelehnt.

Eine Übersicht darüber, wie Amazon IVS mit IAM funktioniert, finden Sie unter AWS-Services, die mit IAM arbeiten im IAM-Benutzerhandbuch.

Identitäten

Sie können IAM-Identitäten erstellen, um die Authentifizierung für Personen und Prozesse in Ihrem AWS-Konto bereitzustellen. IAM-Gruppen sind Sammlungen von IAM-Benutzern, die Sie als eine Einheit verwalten können. Siehe Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Richtlinien

Sehen Sie sich diese Abschnitte im IAM-Benutzerhandbuch an:

Standardmäßig verfügen IAM-Benutzer und -Rollen nicht über die Berechtigung zum Erstellen oder Ändern von Amazon IVS-Ressourcen (auch zum Ändern ihrer eigenen Kennwörter). Sie können auch keine Aufgaben unter Verwendung der AWS-Konsole, AWS-CLI oder AWS-API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen.

IAM-Richtlinien definieren Berechtigungen für eine Aktion unabhängig von der Methode, die zur Ausführung der Operation verwendet wird. Angenommen, es gibt eine Richtlinie, die Berechtigungen für die iam:GetRole-Aktion erteilt. Ein Benutzer mit dieser Richtlinie kann Rolleninformationen über die AWS-Managementkonsole, die AWS CLI oder die AWS-API abrufen.

Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die aus Elementen bestehen. Amazon IVS unterstützt drei Elemente:

  • Aktionen – Richtlinienaktionen für Amazon IVS verwenden das ivs-Präfix vor der Aktion. Um beispielsweise jemandem die Berechtigung zum Erstellen eines Amazon IVS-Channels mit der Amazon IVS CreateChannel-API-Methode zu erteilen, nehmen Sie die ivs:CreateChannel-Aktion in die Richtlinie für diese Person auf. Richtlinienanweisungen müssen entweder ein Action- oder ein NotAction-Element enthalten.

  • Ressourcen – Die Amazon IVS-Kanal-Ressource hat den folgenden ARN-Format:

    arn:aws:ivs:${Region}:${Account}:channel/${channelId}

    Um z. B. den Kanal VgNkEJgOVX9N in Ihrer Anweisung anzugeben, verwenden Sie diese ARN:

    "Resource": "arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N"

    Einige Amazon IVS-Aktionen, wie z. B. die zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource durchgeführt werden. In diesen Fällen müssen Sie den Platzhalter (*) verwenden:

    "Resource":"*"

  • Bedingungen – Amazon IVS unterstützt einige globale Bedingungsschlüssel: aws:RequestTag, aws:TagKeys, und aws:ResourceTag.

Sie können Variablen als Platzhalter in einer Richtlinie verwenden. Sie können beispielsweise einem IAM-Benutzer nur dann die Berechtigung zum Zugriff auf eine Ressource erteilen, wenn diese mit dem IAM-Benutzernamen des Benutzers gekennzeichnet ist. Siehe Variablen und Tags im IAM-Benutzerhandbuch.

Amazon IVS stellt von AWS verwaltete Richtlinien bereit, mit denen Identitäten ein Satz vorkonfigurierter Berechtigungen gewährt werden können (nur Lesezugriff oder Vollzugriff). Sie können anstelle der unten angezeigten identitätsbasierten Richtlinien auch verwaltete Richtlinien verwenden. Einzelheiten finden Sie unter Verwaltete Richtlinien für Amazon IVS.

Autorisierung auf der Basis von Amazon IVS Tags

Sie können Tags an Amazon IVS-Ressourcen anhängen oder Tags in einer Anforderung an Amazon IVS übergeben. Um den Zugriff auf Basis von Tags zu steuern, geben Sie Tag-Informationen im Bedingungselement einer Richtlinie mithilfe der Bedingungsschlüssel aws:ResourceTag/key-name, aws:RequestTag/key-name oder aws:TagKeys an. Weitere Informationen zum Taggen von Amazon-IVS-Ressourcen finden Sie unter „Tagging“ in der Referenz zur IVS-Streaming-API mit niedriger LatenzReferenz zur IVS-Echtzeit-Streaming-API, und IVS-Chat-API-Referenz.

Ein Beispiel finden Sie unter Anzeigen von Amazon IVS-Kanälen auf der Basis von Tags.

Rollen

Siehe IAM-Rollen und Temporäre Anmeldeinformationen im IAM-Benutzerhandbuch.

Eine IAM-Rolle ist eine Entität in Ihrem AWS-Konto mit spezifischen Berechtigungen.

Amazon IVS unterstützt die Verwendung temporärer Sicherheitsanmeldeinformationen. Sie können temporäre Anmeldeinformationen verwenden, um sich mit dem Verbund anzumelden, eine IAM-Rolle zu übernehmen oder eine kontoübergreifende Rolle zu übernehmen. Sie erhalten temporäre Sicherheitsanmeldeinformationen durch Aufrufen von AWS Security Token Service API-Operationen wie AssumeRole oder GetFederationToken.

Privilegierter und unprivilegierter Zugriff

API-Ressourcen haben privilegierten Zugriff. Unprivilegierter Wiedergabezugriff kann über private Kanäle eingerichtet werden; siehe Einrichten privater Kanäle.

Best Practices für Policen

Siehe IAM Best Practices im IAM-Benutzerhandbuch.

Identitätsbasierte Richtlinien sind sehr leistungsfähig. Sie bestimmen, ob jemand Amazon IVS-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr AWS-Konto verursachen. Befolgen Sie diese Empfehlungen:

  • Gewähren Sie die geringsten Rechte – Wenn Sie benutzerdefinierte Richtlinien erstellen, gewähren Sie nur die Berechtigungen, die zum Ausführen einer Aufgabe erforderlich sind. Beginnen Sie mit einem minimalen Satz an Berechtigungen und gewähren Sie bei Bedarf mehr Berechtigungen. Dies ist sicherer, als mit zu laxen Berechtigungen zu beginnen und dann zu versuchen, diese später zu verschärfen. Insbesondere reservieren Sie ivs:* für Admin-Zugriff. Verwenden Sie es nicht in Anwendungen.

  • Aktivieren von MFA für sensible Vorgänge – Fordern Sie von IAM-Benutzern die Verwendung von Multi-Factor Authentication (MFA), um zusätzliche Sicherheit beim Zugriff auf sensible Ressourcen oder API-Operationen zu bieten.

  • Verwenden von Richtlinienbedingungen für zusätzliche Sicherheit – Definieren Sie, soweit dies möglich ist, die Bedingungen, unter denen Ihre identitätsbasierten Richtlinien den Zugriff auf eine Ressource erlauben. Sie können z. B. Bedingungen schreiben, um einen Bereich zulässiger IP-Adressen festzulegen, von denen eine Anfrage kommen muss. Sie können auch Bedingungen schreiben, um Anfragen nur innerhalb eines bestimmten Datums oder Zeitbereichs zuzulassen oder um die Verwendung von SSL oder MFA zu verlangen.

Beispiele für identitätsbasierte Richtlinien

Verwenden Sie die Amazon IVS-Konsole

Um auf die Amazon-IVS-Konsole zuzugreifen, müssen Sie über ein Minimum an Berechtigungen verfügen, die es Ihnen ermöglichen, Details zu den Amazon-IVS-Ressourcen in Ihrem AWS-Konto aufzulisten und anzuzeigen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die restriktiver ist als die erforderlichen Mindestberechtigungen, funktioniert die Konsole für Identitäten mit dieser Richtlinie nicht wie vorgesehen. Um den Zugriff auf die Amazon IVS-Konsole sicherzustellen, fügen Sie den Identitäten die folgende Richtlinie an (siehe IAM-Berechtigungen hinzufügen und entfernen im IAM-Benutzerhandbuch).

Die Teile der folgenden Richtlinie bieten Zugriff auf:

  • Alle Amazon IVS-API-Endpunkte

  • Ihre Service Quotas für Amazon IVS

  • Amazon-S3-Endpunkte, die für IVS automatische Aufzeichnungsfunktion in S3 (Streaming mit niedriger Latenz) und IVS zusammengesetzte Aufzeichnungsfunktion (Echtzeit-Streaming) erforderlich sind.

  • Automatische Aufnahme-zu-S3 serviceverknüpfte Rolle erstellen

  • Amazon CloudWatch, um Metriken für Ihre Live-Stream-Sitzung zu erhalten

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "ivs:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "servicequotas:ListServiceQuotas"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "s3:CreateBucket",
        "s3:DeleteBucketPolicy",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicy",
        "s3:ListAllMyBuckets",
        "s3:PutBucketPolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
    },
    {
      "Action": [
        "cloudwatch:GetMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "lambda:AddPermission",
        "lambda:ListFunctions"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

Dieses Beispiel zeigt eine Richtlinie, die es IAM-Benutzern ermöglicht, die Inline- und verwalteten Richtlinien anzuzeigen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie enthält Berechtigungen für die Ausführung dieser Aktion auf der AWS-Konsole oder für die programmgesteuerte Ausführung über die AWS-CLI oder die AWS-API.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ViewOwnUserInfo",
         "Effect": "Allow",
         "Action": [
            "iam:GetUserPolicy",
            "iam:ListGroupsForUser",
            "iam:ListAttachedUserPolicies",
            "iam:ListUserPolicies",
            "iam:GetUser"
         ],
         "Resource": [
            "arn:aws:iam:*:*:user/${aws:username}"
         ]
      },
      {
         "Sid": "NavigateInConsole",
         "Effect": "Allow",
         "Action": [
            "iam:GetGroupPolicy",
            "iam:GetPolicyVersion",
            "iam:GetPolicy",
            "iam:ListAttachedGroupPolicies",
            "iam:ListGroupPolicies",
            "iam:ListPolicyVersions",
            "iam:ListPolicies",
            "iam:ListUsers"
         ],
         "Resource": "*"
      }
   ]
}

Zugriff auf einen Amazon IVS-Kanal

Hier möchten Sie einem IAM-Benutzer in Ihrem AWS-Konto den Zugriff auf einen Ihrer Amazon-IVS-Kanäle gewähren, VgNkEJgOVX9N. Sie möchten dem Benutzer außerdem erlauben, den Stream zu stoppen (ivs:StopStream), fügen Sie Metadaten hinzu (ivs:PutMetadata) und aktualisieren Sie den Kanal (ivs:UpdateChannel). Die Richtlinie gewährt außerdem Berechtigungen, die für die Amazon-IVS-Konsole erforderlich sind: ivs:ListChannels, ivs:ListStreams, ivs:GetChannel, und ivs:GetStream.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListChannelsInConsole",
         "Effect":"Allow",
         "Action":[
            "ivs:ListChannels",
            "ivs:ListStreams"

         ],
         "Resource":"arn:aws:ivs:*:*:channel/*"
      },
      {
         "Sid":"ViewSpecificChannelInfo",
         "Effect":"Allow",
         "Action":[
            "ivs:GetChannel",
            "ivs:GetStream"
         ],
         "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
      },
      {
         "Sid":"ManageChannel",
         "Effect":"Allow",
         "Action":[
            "ivs:StopStream",
            "ivs:PutMetadata",
            "ivs:UpdateChannel"
         ],
         "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N" 
      }
   ]
}

Anzeigen von Amazon IVS-Kanälen auf der Basis von Tags

Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf Amazon IVS-Ressourcen basierend auf Tags zu steuern. Dieses Beispiel zeigt eine Richtlinie, die das Anzeigen eines Kanals erlaubt. Diese Richtlinie gewährt auch die erforderlichen Berechtigungen, um diese Aktion auf der Amazon IVS-Konsole durchzuführen.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ListWidgetsInConsole",
         "Effect": "Allow",
         "Action": "ivs:ListChannels",
         "Resource": "arn:aws:ivs:*:*:channel/*"
      },
      {
         "Sid": "ViewChannelIfOwner",
         "Effect": "Allow",
         "Action": "ivs:GetChannel",
         "Resource": "arn:aws:ivs:*:*:channel/*",
         "Condition": {
            "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
         }
      }
   ]
}

Sie können diese Richtlinie den IAM-Benutzern in Ihrem Konto zuweisen. Die Berechtigung wird jedoch nur erteilt, wenn der Kanal mit dem Benutzernamen dieses Benutzers als Besitzer gekennzeichnet ist. Wenn ein Benutzer namens richard-roe versucht, einen Amazon IVS-Kanal anzuzeigen, muss der Kanal mit Owner=richard-roe oder owner=richard-roe gekennzeichnet sein; andernfalls wird ihm der Zugriff verweigert. Der Tag-Schlüssel Owner der Bedingung stimmt sowohl mit Owner als auch mit owner überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden.

Fehlerbehebung

Verwenden Sie die folgenden Informationen, um häufige Probleme, die bei der Arbeit mit Amazon IVS und IAM auftreten können, zu diagnostizieren und zu beheben.

  • Ich bin nicht berechtigt, eine Aktion in Amazon IVS durchzuführen.

    Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer mateojackson versucht, die AWS-Konsole zu verwenden, um Details zu einem Kanal anzuzeigen, aber keine ivs:GetChannel-Berechtigung hat.

    User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ivs:GetChannel on resource: arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N

    In diesem Fall bittet Mateo seinen Administrator, seine Richtlinien zu aktualisieren, um ihm den Zugriff auf die arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N-Ressource mit der Aktion ivs:GetChannel zu erlauben.

  • Ich möchte meine Zugriffsschlüssel anzeigen

    Nachdem Sie Ihre IAM-Benutzerzugriffsschlüssel erstellt haben, können Sie Ihre Zugriffsschlüssel-ID jederzeit anzeigen. Sie können Ihren geheimen Zugriffsschlüssel jedoch nicht erneut anzeigen. Wenn Sie den geheimen Zugriffsschlüssel verlieren, müssen Sie ein neues Zugriffsschlüsselpaar erstellen. Zugriffsschlüssel bestehen aus zwei Teilen:

    • Eine Zugriffsschlüssel-ID (z. B. AKIAIOSFODNN7EXAMPLE)

    • Ein geheimer Zugriffsschlüssel (z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)

    Wie bei einem Benutzernamen und einem Passwort müssen Sie sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel zusammen verwenden, um Ihre Anfragen zu authentifizieren. Verwalten Sie Ihre Zugriffsschlüssel so sicher wie Ihren Benutzernamen und Ihr Passwort.

    Wichtig: Geben Sie Ihre Zugangsschlüssel nicht an Dritte weiter, auch nicht, um Ihre kanonische Benutzer-ID zu finden. Dadurch kann eine Person permanenten Zugriff auf Ihr Konto erlangen.

    Während der Erstellung eines Zugriffsschlüsselpaars werden Sie aufgefordert, die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel an einem sicheren Speicherort zu speichern. Der geheime Zugriffsschlüssel ist nur verfügbar, wenn Sie ihn erstellen. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie Ihrem IAM-Benutzer neue Zugriffsschlüssel hinzufügen.

    Sie können höchstens zwei Zugriffsschlüssel haben. Wenn Sie bereits zwei Zugriffschlüssel besitzen, müssen Sie ein Schlüsselpaar löschen, bevor Sie ein neues erstellen. Siehe Verwalten von Zugriffsschlüsseln für IAM-Benutzer im IAM-Benutzerhandbuch.

  • Ich bin ein Administrator und möchte anderen den Zugriff auf Amazon IVS ermöglichen.

    Um anderen Personen oder einer Anwendung Zugriff auf Amazon IVS zu gewähren, müssen Sie eine juristische Stelle von IAM (Benutzer oder Rolle) für die Person oder Anwendung erstellen, die Zugriff benötigt. Die Person oder Anwendung verwendet die Anmeldeinformationen für diese juristische Stelle, um auf AWS zuzugreifen. Anschließend müssen Sie der juristischen Stelle eine Richtlinie anfügen, durch die dieser die korrekten Berechtigungen in Amazon IVS gewährt werden.

    Informationen zum Einstieg finden Sie unter Erstellen Ihrer ersten delegierten IAM-Benutzer und -Gruppen im IAM-Benutzerhandbuch.

  • Ich möchte Personen außerhalb meines AWS-Kontos Zugriff auf meine Amazon-IVS-Ressourcen gewähren.

    Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können angeben, welchen Personen vertraut werden darf, damit diese die Rolle übernehmen können. Im Fall von Services, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (Access Control Lists, ACLs) verwenden, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren. Weitere Informationen finden Sie in diesen Abschnitten des IAM-Benutzerhandbuchs:

    Um zu lernen... Siehe ...
    So stellen Sie Zugriff auf Ihre Ressourcen in AWS-Konten bereit, die Sie besitzen

    Gewähren von Zugriff für einen IAM-Benutzer auf ein anderes AWS-Konto, das Sie besitzen
    Gewusst wie: Zugriff auf Ihre Ressourcen für AWS-Konten von Drittanbietern

    Gewähren des Zugriffs auf AWS-Konten von externen Benutzern
    So stellen Sie den Zugriff über Identitätsverbund

    Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)
    Der Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für kontenübergreifenden Zugriff

    Kontoübergreifender Zugriff auf Ressourcen in IAM