Création de rôles non administrateurs - AWSÉlémentaire MediaConnect

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de rôles non administrateurs

Les utilisateurs du groupe Administrateurs d'un compte ont accès à tous les AWS services et ressources de ce compte. L'octroi d'un accès direct à toutes les AWS ressources va à l'encontre de la meilleure pratique qui consiste à appliquer les autorisations les moins privilégiées à un utilisateur. Cette section décrit comment créer des rôles avec des autorisations limitées à AWS Elemental MediaConnect. Cette section décrit également comment vos utilisateurs peuvent assumer ce rôle pour octroyer des informations d'identification sécurisées et temporaires.

Étape 1 : créer une politique pour les non-administrateurs

Créez deux politiques pour AWS Elemental MediaConnect : une pour fournir un accès en lecture/écriture et une pour fournir un accès en lecture seule. Exécutez ces étapes une seule fois pour chaque stratégie. Plus tard, vous associerez ces politiques aux rôles. Ces rôles peuvent ensuite être temporairement assumés par les utilisateurs pour accorder l'accès à MediaConnect.

Pour créer des stratégies
  1. Utilisez votre identifiant de AWS compte ou votre alias de compte, ainsi que les informations d'identification de votre utilisateur administrateur, pour vous connecter à la IAMconsole.

  2. Dans le volet de navigation de la console, choisissez Stratégies.

  3. Sur la page Politiques, créez une politique nommée MediaConnectAllAccess qui autorise toutes les actions sur toutes les ressources dans AWS Elemental MediaConnect :

    1. Choisissez Create Policy (Créer une politique).

    2. Choisissez l'JSONonglet et collez la politique suivante :

      { "Version": "2012-10-17", "Statement": [ { "Action": [ "mediaconnect:*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAvailabilityZones" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricData" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "mediaconnect.amazonaws.com" } } } ] }

      Cette politique autorise toutes les actions sur toutes les ressources d'AWSElemental MediaConnect.

    3. Choisissez Suivant : Balises.

    4. Choisissez Suivant : Vérification.

    5. Sur la page Réviser et créer, dans le champ Nom de la politiqueMediaConnectAllAccess, entrez puis choisissez Créer une politique.

  4. Sur la page Politiques, créez une politique en lecture seule nommée MediaConnectReadOnlyAccess d'après Elemental : AWS MediaConnect

    1. Choisissez Create Policy (Créer une politique).

    2. Choisissez l'JSONonglet et collez la politique suivante :

      { "Version": "2012-10-17", "Statement": [ { "Action": [ "mediaconnect:List*", "mediaconnect:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAvailabilityZones" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricData" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "mediaconnect.amazonaws.com" } } } ] } .
    3. Choisissez Suivant : Balises.

    4. Choisissez Suivant : Vérification.

    5. Sur la page Réviser et créer, dans le champ Nom de la politiqueMediaConnectReadOnlyAccess, entrez puis choisissez Créer une politique.

Étape 2 : créer des rôles non administrateurs

Vous pouvez créer un rôle pour chaque politique et les utilisateurs peuvent assumer ce rôle, plutôt que d'associer des politiques individuelles à chaque utilisateur. À l'aide de la procédure suivante, créez deux rôles : un pour la MediaConnectAllAccessstratégie et un pour la MediaConnectReadOnlyAccessstratégie.

Pour créer des rôles
  1. Dans le volet de navigation de la IAM console, sélectionnez Rôles.

  2. Sur la page Rôles, créez un rôle d'administrateur à l'aide de la MediaConnectAllAccess politique suivante :

    1. Sélectionnez Créer un rôle.

    2. Dans la section Sélectionner une entité de confiance, sélectionnez un AWS compte.

    3. Dans la section Un AWS compte, sélectionnez le compte auprès duquel les utilisateurs joueront ce rôle.

      1. Si un tiers doit accéder à ce rôle, il est recommandé de sélectionner Exiger un identifiant externe. Pour plus d'informations sur l'accès externeIDs, consultez : Utiliser un identifiant externe pour l'accès de tiers dans le Guide de IAM l'utilisateur.

      2. Il est recommandé d'exiger une authentification multifactorielle (MFA). Vous pouvez cocher la case à côté de Exiger MFA. Pour plus d'informationsMFA, consultez : Authentification multifactorielle (MFA) dans le guide de l'IAMutilisateur.

    4. Choisissez Next pour accéder à la section Ajouter des autorisations.

    5. Dans la section Politique d'autorisations, choisissez la MediaConnectAllAccesspolitique que vous avez créée dans la procédure de l'étape 3a : Créer une politique.

    6. Vérifiez que les bonnes politiques sont ajoutées à ce groupe, puis choisissez Next.

    7. Dans la section Nom, révision et création, nommez le rôleMediaConnectAdmins. (Facultatif) Ajoutez une description du rôle. Sélectionnez Créer le rôle.

  3. Sur la page Rôles, créez un rôle d'administrateur à l'aide de la MediaConnectReadOnlyAccess politique suivante :

    1. Sélectionnez Créer un rôle.

    2. Dans la section Sélectionner une entité de confiance, sélectionnez un AWS compte.

    3. Dans la section Un AWS compte, sélectionnez le compte auprès duquel les utilisateurs joueront ce rôle.

      1. Si un tiers doit accéder à ce rôle, il est recommandé de sélectionner Exiger un identifiant externe. Pour plus d'informations sur l'accès externeIDs, consultez : Utiliser un identifiant externe pour l'accès de tiers dans le Guide de IAM l'utilisateur.

      2. Il est recommandé d'exiger une authentification multifactorielle (MFA). Vous pouvez cocher la case à côté de Exiger MFA. Pour plus d'informationsMFA, consultez : Authentification multifactorielle (MFA) dans le guide de l'IAMutilisateur.

    4. Choisissez Next pour accéder à la section Ajouter des autorisations.

    5. Dans la section Politique d'autorisations, choisissez la MediaConnectReadOnlyAccesspolitique que vous avez créée dans la procédure de l'étape 3a : Créer une politique.

    6. Vérifiez que les bonnes politiques sont ajoutées à ce groupe, puis choisissez Next.

    7. Dans la section Nom, révision et création, nommez le rôleMediaConnectReaders. (Facultatif) Ajoutez une description du rôle. Sélectionnez Créer le rôle.

Étape 3 : Assumez le rôle

Après avoir créé une politique et l'avoir attachée à un rôle, vos utilisateurs devront assumer ce rôle pour bénéficier d'un accès sécurisé et temporaire MediaConnect.

Consultez les ressources suivantes pour en savoir plus sur l'octroi d'autorisations aux utilisateurs pour qu'ils assument le rôle et sur la manière dont les utilisateurs peuvent passer au rôle depuis la console ou AWS CLI.