No permitir los tipos de ubicación de entrada mediante una política de entrada ¿Cómo usar las claves de IAM condición con las políticas de entrada

Cómo permitir o no permitir los tipos de ubicación de entrada

AWS Elemental MediaConvert es compatible con Amazon S3 y los tipos HTTP de ubicación de entrada para los archivos y medios de entrada. HTTPS Puede permitir o impedir el acceso a uno o más de estos tipos de ubicaciones de entrada mediante una MediaConvert política.

De forma predeterminada, cada región de tu AWS cuenta no tiene una política y MediaConvert permite todos los tipos de ubicaciones de entrada compatibles. Cree una política de entrada solo si quiere impedir el acceso a uno o más de estos tipos de ubicaciones de entrada.

Para evitar que los trabajos se ejecuten con un tipo de ubicación de entrada no permitido, cree una política MediaConvert de entrada.

Además, para evitar que los trabajos se envíen a la MediaConvert API cuenta si no existe una política de entrada, cree una IAM política con claves de condición. Puedes aplicar estas IAM políticas a los IAM roles de tu organización.

En las siguientes secciones se describe cómo crear una política de entrada y cómo utilizar las claves de IAM condición para permitir o no permitir los tipos de ubicación de entrada.

Temas

Cómo permitir o no permitir los tipos de ubicación de entrada mediante una política de entrada
¿Cómo usar las claves de IAM condición con las políticas de entrada?

Cómo permitir o no permitir los tipos de ubicación de entrada mediante una política de entrada

Para crear o cambiar una política, envíe un put-policy comando mediante la API interfaz de línea de comandos (CLI) o incluya la política en JSON ella. SDK Visite la sección de MediaConvert APIreferencia para obtener más información sobre los comandos de política compatibles y los códigos de respuesta esperados.

A continuación se muestra un ejemplo de cómo enviar una política medianteCLI. En este ejemplo, se permiten trabajos con Amazon S3 y HTTPS entradas, y no se permiten los trabajos con HTTP entradas:


aws mediaconvert put-policy --policy '{"S3Inputs":"ALLOWED", "HttpsInputs":"ALLOWED", "HttpInputs":"DISALLOWED"}'

Si no especificas una ubicación de entrada en la políticaJSON, MediaConvert trataremos la ubicación de entrada como talALLOWED. Este es otro ejemplo que permite trabajos con Amazon S3 y HTTPS entradas, y no permite trabajos con HTTP entradas:


aws mediaconvert put-policy --policy '{"HttpInputs":"DISALLOWED"}'

Tenga en cuenta que el comando put-policy sobrescribe cualquier política existente en la región.

Recuperación de la política actual

Para recuperar la política actualJSON, envíe un get-policy comando:


aws mediaconvert get-policy

Eliminación de la política actual

Para eliminar la política actual y permitir todas las entradas (volver al comportamiento predeterminado), envíe un comando delete-policy:


aws mediaconvert delete-policy

¿Qué ocurre cuando intenta enviar un tarea con una ubicación de entrada no permitida?

Si intenta enviar un trabajo que especifique una ubicación de entrada que su política no permite, MediaConvert devolverá un error HTTP400 (BadRequestException). El mensaje de error será: Especificó una ubicación de entrada que su política no permite. Especifique una ubicación de entrada permitida y vuelva a enviar su tarea. Como MediaConvert impide que se envíen estos trabajos, no aparecerán en su historial de trabajos.

Si envía un tarea que especifica una ubicación de entrada permitida, pero el tarea requiere acceder a otra ubicación de entrada que no está permitida, su tarea no se completará correctamente. Por ejemplo, puede ocurrir esto si especificas un HLS manifiesto de Apple en una ubicación permitida de Amazon S3 que hace referencia a otros archivos de segmentos de entrada en una HTTP ubicación no permitida. El código de error del tarea será 3457 y el mensaje será: Especificó una ubicación de entrada que su política no permite. Especifique una ubicación de entrada permitida y vuelva a enviar su tarea.

¿Cómo usar las claves de IAM condición con las políticas de entrada?

Cuando incluyes una clave de condición en tu IAM política que utilizas para enviar solicitudes de creación de empleo, IAM comprueba si tu cuenta tiene una política de entrada que cumpla esa condición. La condición que especifiques debe coincidir con la política de entrada de tu cuenta para que se autorice la API solicitud. Puedes usar cualquiera de las siguientes claves de condición booleanas:

HttpInputsAllowed
HttpsInputsAllowed
S3InputsAllowed

Al utilizar claves de condición, tenga en cuenta estas situaciones:

Si la condición y la política de entrada coinciden, por ejemplo, si has establecido HTTPInputsAllowedHTTPentradas true y la política de entrada de tu cuenta las permite, tu solicitud de creación de trabajo se enviará a la MediaConvert API.

Si la condición y la política de entradas no coinciden, por ejemplo, si has establecido HTTPInputsAllowedHTTPentradas false y la política de entrada de tu cuenta las permite, tu solicitud de creación de trabajo no se enviará a la MediaConvert API. En su lugar, recibirá el siguiente mensaje de error: «message»: «User: arn:aws:iam: :111122223333:" user/User is not authorized to perform: mediaconvert:CreateJob on resource: arn:aws:mediaconvert:us-west-2:111122223333:queues/Default

Si la condición y la política de entrada coinciden, por ejemplo, si estableces HTTP entradas false y la política de entrada de tu cuenta no las permite, tu solicitud de creación de trabajo se enviará a la. HTTPInputsAllowed MediaConvert API Sin embargo, API devolverá un error HTTP400 (BadRequestException). El mensaje de error será: Especificó una ubicación de entrada que su política no permite. Especifique una ubicación de entrada permitida y vuelva a enviar su tarea.

Para obtener más información sobre el uso de las claves de IAM condición, consulte los elementos de la IAM JSON política: Condición en la Guía del IAM usuario.

A continuación JSON se muestra un ejemplo de IAM política que utiliza claves de MediaConvert condición y que comprueba si tu cuenta tiene una política de entrada que no permite la introducción de HTTP datos:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BlockHTTPInputsExample",
            "Effect": "Allow",
            "Action": "mediaconvert:CreateJob",
            "Resource": "*",
            "Condition": {
                "ForAllValues:BoolIfExists": {
                    "mediaconvert:HttpInputsAllowed": [
                        "false"
                    ],
                    "mediaconvert:HttpsInputsAllowed": [
                        "true"
                    ],

                    "mediaconvert:S3InputsAllowed": [
                        "true"
                    ]
                }
            }
        }
    ]
}

Para obtener más información sobre la compatibilidad con las claves de condición MediaConvert, consulte¿Cómo AWS Elemental MediaConvert funciona con IAM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Escritura de salidas en un bucket de otra cuenta

Validación de conformidad