Paso 3: configurar permisos de IAM
A continuación, debe crear una política de AWS Identity and Access Management (IAM) que proporcione a los usuarios una serie de permisos básicos (por ejemplo, para crear un canal de Amazon IVS, obtener información del streaming y grabar automáticamente en S3), y asignarla a los usuarios. Puede asignar los permisos cuando crea un usuario nuevo o agregarlos a un usuario actual. A continuación, se explican ambos procedimientos.
Para obtener más información (por ejemplo, para obtener información sobre los usuarios y las políticas de IAM, cómo adjuntar una política a un usuario y cómo restringir lo que los usuarios pueden hacer con Amazon IVS), consulte:
-
Crear un usuario de IAM en la Guía del usuario de IAM.
-
La información de Seguridad en Amazon IVS en IAM y “Políticas administradas para IVS”.
-
Para la funcionalidad de grabación en S3: Uso de roles vinculados a servicios y Grabación automática en Amazon S3 en la Guía del usuario de Amazon IVS
Puede utilizar una política administrada de AWS existente para Amazon IVS o crear una nueva que personalice los permisos que quiera conceder a un conjunto de usuarios, grupos o roles. A continuación se describen ambos enfoques.
Uso de una política existente para los permisos de IVS
En la mayoría de los casos, querrá utilizar una política administrada de AWS para Amazon IVS. Se describen detalladamente en la sección Managed Policies for IVS de Seguridad de IVS.
-
Utilice la política administrada de AWS
IVSReadOnlyAccess
para ofrecer a los desarrolladores de aplicaciones acceso a todos los puntos de conexión de las API Get y List de IVS (para transmisión de baja latencia y en tiempo real). -
Utilice la política administrada de AWS
IVSFullAccess
para ofrecer a los desarrolladores de aplicaciones acceso a todos los puntos de conexión de la API de IVS (para transmisión de baja latencia y en tiempo real).
Opcional: crear una política personalizada para los permisos de Amazon IVS
Siga estos pasos:
-
Inicie sesión en la consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, seleccione Políticas y, a continuación, elija Crear política. Se abre la ventana Especificar permisos.
-
En la ventana Especificar permisos, elija la pestaña JSON. Luego, copie y pegue la siguiente política de IVS en el área de texto del Editor de políticas. (La política no incluye todas las acciones de Amazon IVS. Puede agregar o eliminar, es decir, permitir o denegar, los permisos de acceso a los puntos de conexión según sea necesario. Consulte la referencia de la API de transmisión de baja latencia de IVS para obtener más información sobre los puntos de conexión de IVS).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ivs:CreateChannel", "ivs:CreateRecordingConfiguration", "ivs:GetChannel", "ivs:GetRecordingConfiguration", "ivs:GetStream", "ivs:GetStreamKey", "ivs:GetStreamSession", "ivs:ListChannels", "ivs:ListRecordingConfigurations", "ivs:ListStreamKeys", "ivs:ListStreams", "ivs:ListStreamSessions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "servicequotas:ListAWSDefaultServiceQuotas", "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota", "servicequotas:ListServiceQuotas", "servicequotas:ListServices", "servicequotas:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*" } ] }
-
En la ventana Especificar permisos, elija Siguiente (desplácese a la parte inferior de la ventana para verlo). Se abre la ventana Revisar y crear.
-
En la ventana Revisar y crear, asígnele un nombre a la política y, si lo desea, agregue una descripción. Anote el nombre de la política, ya que lo necesitará cuando cree usuarios (más adelante). Elija Create policy (Crear política) (en la parte inferior de la ventana).
-
Volverá a la ventana de la consola de IAM, donde debería ver un banner que confirma la creación de la política nueva.
Crear usuarios nuevos y agregar permisos
Claves de acceso de usuario de IAM
Las claves de acceso de IAM constan de un ID de clave de acceso y de una clave de acceso secreta. Se utilizan para firmar las solicitudes programáticas que realiza a AWS. Si no tiene claves de acceso, puede crearlas mediante la consola de administración de AWS. Como práctica recomendada, no cree claves de acceso del usuario raíz.
El único momento que puede ver o descargar la clave de acceso secreta es cuando crea las claves de acceso. No puede recuperarla más adelante. Sin embargo, puede crear claves de acceso nuevas en cualquier momento; debe tener permisos para realizar las acciones de IAM requeridas.
Siempre almacene las claves de acceso de forma segura. Nunca las comparta con terceros (incluso si parece que la consulta proviene de Amazon). Para obtener más información, consulte Administración de claves de acceso para usuarios de IAM en la Guía del usuario de IAM.
Procedimiento
Siga estos pasos:
-
En el panel de navegación, elija Usuarios y la opción Agregar usuario. Se abre la ventana Especificar los detalles del usuario.
-
En la ventana Especificar los detalles del usuario:
-
En Detalles del usuario, escriba el nuevo nombre de usuario que se va a crear.
-
Active la casilla de verificación Acceso de usuario a la consola de administración de AWS.
-
Cuando se le solicite, seleccione Quiero crear un usuario de IAM.
-
En Contraseña de la consola, seleccione Contraseña generada de manera automática.
-
Seleccione la casilla de verificación El usuario debe crear una contraseña nueva en el siguiente inicio de sesión.
-
Elija Siguiente. Se abre la ventana Establecer permisos.
-
-
En Establecer permisos, elija Asociar directamente las políticas existentes. Se abre la ventana Políticas de permisos.
-
En el cuadro de búsqueda, ingrese el nombre de una política de IVS (ya sea una política administrada de AWS o una política personalizada creada con anterioridad). Cuando la encuentre, marque la casilla para seleccionar la política.
-
Elija Siguiente (en la parte inferior de la ventana). Se abre la ventana Revisar y crear.
-
En la ventana Revisar y crear, confirme que toda la información del usuario sea correcta y, a continuación, elija Crear usuario (en la parte inferior de la ventana).
-
Se abre la ventana Recuperar la contraseña, que contiene los detalles de inicio de sesión de la consola. Guarde esta información de forma segura para consultarla en el futuro. Cuando haya terminado, elija Volver a la lista de usuarios.
Agregar permisos para un usuario existente
Siga estos pasos:
-
Inicie sesión en la consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, elija Users (Usuarios) y, a continuación, elija un nombre de usuario existente para actualizarlo. (Haga clic en el nombre para elegirlo; no marque la casilla de selección.)
-
En la página Resumen, en la pestaña Permisos, elija Agregar permisos. Se abre la ventana Agregar permisos.
-
Seleccione Asociar directamente las políticas existentes. Se abre la ventana Políticas de permisos.
-
En el cuadro de búsqueda, ingrese el nombre de una política de IVS (ya sea una política administrada de AWS o una política personalizada creada con anterioridad). Cuando encuentre la política, marque la casilla para seleccionarla.
-
Elija Siguiente (en la parte inferior de la ventana). Se abre la ventana Revisión.
-
En la ventana de Revisión, selecciona Agregar permisos (en la parte inferior de la ventana).
-
En la página Summary (Resumen), confirme que se agregó la política de IVS.