Création de politiques et de rôles non administratifs - AWS Elemental MediaPackage
(Facultatif) Étape 1 : créer une IAM politique pour Amazon CloudFront(Facultatif) Étape 2 : créer une IAM politique pour MediaPackage VODÉtape 3 : créer un rôle dans la IAM consoleÉtape 4 : assumer le rôle depuis la IAM console ou AWS CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de politiques et de rôles non administratifs

Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources MediaPackage. Ils ne peuvent pas non plus effectuer de tâches en utilisant le AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.

Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, voir Créer des IAM politiques (console) dans le guide de l'IAMutilisateur.

Pour plus de détails sur les actions et les types de ressources définis par MediaPackage, y compris le format de ARNs pour chacun des types de ressources, voir Actions, ressources et clés de condition AWS Elemental MediaPackage dans la référence d'autorisation de service.

Cette section décrit comment créer des politiques et des rôles non administratifs afin que les utilisateurs puissent créer ou modifier des MediaPackage ressources. Cette section décrit également comment vos utilisateurs peuvent assumer ce rôle pour octroyer des informations d'identification sécurisées et temporaires.

(Facultatif) Étape 1 : créer une IAM politique pour Amazon CloudFront

Si vous ou vos utilisateurs souhaitez créer des CloudFront distributions Amazon à partir de la console AWS Elemental MediaPackage live, créez une IAM politique autorisant l'accès à CloudFront.

Pour plus d'informations sur l'utilisation CloudFront avec MediaPackage, consultezUtilisation de CDN.

Pour utiliser l'éditeur JSON de stratégie pour créer une stratégie

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, sélectionnez Policies (Politiques).

    Si vous sélectionnez Politiques pour la première fois, la page Bienvenue dans les politiques gérées s'affiche. Sélectionnez Mise en route.

  3. En haut de la page, sélectionnez Créer une politique.

  4. Dans la section Éditeur de politiques, choisissez l'JSONoption.

  5. Entrez le document JSON de politique suivant :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudfront:GetDistribution",
                "cloudfront:CreateDistributionWithTags",
                "cloudfront:UpdateDistribution",
                "cloudfront:CreateDistribution",
                "cloudfront:TagResource",
                "tag:GetResources"
            ],
            "Resource": "*"
        }
    ]
}

  6. Choisissez Suivant.

    Note

    Vous pouvez basculer entre les options Visual et celles de JSONl'éditeur à tout moment. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'éditeur visuel, vous IAM pouvez restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour plus d'informations, consultez la section Restructuration des politiques dans le guide de IAM l'utilisateur.

  7. Sur la page Vérifier et créer, tapez un Nom de politique et une Description (facultative) pour la politique que vous créez. Vérifiez les Autorisations définies dans cette politique pour voir les autorisations accordées par votre politique.

  8. Choisissez Create policy (Créer une politique) pour enregistrer votre nouvelle politique.

(Facultatif) Étape 2 : créer une IAM politique pour MediaPackage VOD

Si vous ou vos utilisateurs allez utiliser la fonctionnalité de vidéo à la demande (VOD) dans MediaPackage, créez une IAM politique autorisant l'accès aux ressources du mediapackage-vod service.

Les sections suivantes décrivent comment créer une stratégie qui autorise toutes les actions et une stratégie qui autorise les droits en lecture seule. Vous pouvez personnaliser les stratégies en ajoutant ou en supprimant des actions adaptées à vos flux de travail.

Politique d'VODaccès complet

Cette politique permet à l'utilisateur d'effectuer toutes les actions sur toutes les VOD ressources.

Pour utiliser l'éditeur JSON de stratégie pour créer une stratégie

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, sélectionnez Policies (Politiques).

    Si vous sélectionnez Politiques pour la première fois, la page Bienvenue dans les politiques gérées s'affiche. Sélectionnez Mise en route.

  3. En haut de la page, sélectionnez Créer une politique.

  4. Dans la section Éditeur de politiques, choisissez l'JSONoption.

  5. Entrez le document JSON de politique suivant :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "mediapackage-vod:*",
            "Resource": "*"
        }
    ]
}

  6. Choisissez Suivant.

    Note

    Vous pouvez basculer entre les options Visual et celles de JSONl'éditeur à tout moment. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'éditeur visuel, vous IAM pouvez restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour plus d'informations, consultez la section Restructuration des politiques dans le guide de IAM l'utilisateur.

  7. Sur la page Vérifier et créer, tapez un Nom de politique et une Description (facultative) pour la politique que vous créez. Vérifiez les Autorisations définies dans cette politique pour voir les autorisations accordées par votre politique.

  8. Choisissez Create policy (Créer une politique) pour enregistrer votre nouvelle politique.

Politique d'accès en lecture seule VOD

Cette politique permet à l'utilisateur de consulter toutes les VOD ressources.

Pour utiliser l'éditeur JSON de stratégie pour créer une stratégie

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, sélectionnez Policies (Politiques).

    Si vous sélectionnez Politiques pour la première fois, la page Bienvenue dans les politiques gérées s'affiche. Sélectionnez Mise en route.

  3. En haut de la page, sélectionnez Créer une politique.

  4. Dans la section Éditeur de politiques, choisissez l'JSONoption.

  5. Entrez le document JSON de politique suivant :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "mediapackage-vod:List*",
                "mediapackage-vod:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

  6. Choisissez Suivant.

    Note

    Vous pouvez basculer entre les options Visual et celles de JSONl'éditeur à tout moment. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'éditeur visuel, vous IAM pouvez restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour plus d'informations, consultez la section Restructuration des politiques dans le guide de IAM l'utilisateur.

  7. Sur la page Vérifier et créer, tapez un Nom de politique et une Description (facultative) pour la politique que vous créez. Vérifiez les Autorisations définies dans cette politique pour voir les autorisations accordées par votre politique.

  8. Choisissez Create policy (Créer une politique) pour enregistrer votre nouvelle politique.

Étape 3 : créer un rôle dans la IAM console

Créez un rôle dans la IAM console pour chaque politique que vous créez. Cela permet aux utilisateurs d'assumer un rôle plutôt que d'associer des politiques individuelles à chaque utilisateur.

Pour créer un rôle dans la IAM console

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de la console IAM, choisissez Rôles, puis Créer un rôle.

  3. Sous Sélectionner une entité de confiance, sélectionnez un AWS compte.

  4. Sous Un AWS compte, sélectionnez le compte auprès duquel les utilisateurs joueront ce rôle.

    • Si un tiers doit accéder à ce rôle, il est recommandé de sélectionner Exiger un identifiant externe. Pour plus d'informations sur l'accès externeIDs, consultez la section Utilisation d'un identifiant externe pour l'accès de tiers dans le Guide de IAM l'utilisateur.

    • Il est recommandé d'exiger une authentification multifactorielle (MFA). Vous pouvez cocher la case à côté de Exiger MFA. Pour plus d'informationsMFA, voir Authentification multifactorielle (MFA) dans le guide de l'IAMutilisateur.

  5. Choisissez Suivant.

  6. Sous Politiques d'autorisations, recherchez et ajoutez la politique avec le niveau MediaPackage d'autorisation approprié.

    • Pour accéder aux fonctionnalités en direct, choisissez l'une des options suivantes :

      • Utilisez AWSElementalMediaPackageFullAccesspour autoriser l'utilisateur à effectuer toutes les actions sur toutes les ressources actives de MediaPackage.

      • AWSElementalMediaPackageReadOnlyÀ utiliser pour fournir à l'utilisateur des droits de lecture seule pour toutes les ressources en direct dans. MediaPackage

    • Pour accéder à la fonctionnalité de vidéo à la demande (VOD), utilisez la politique que vous avez créée dans(Facultatif) Étape 2 : créer une IAM politique pour MediaPackage VOD.

  7. Ajoutez des politiques permettant à la MediaPackage console de passer des appels à Amazon CloudWatch au nom de l'utilisateur. Sans ces politiques, l'utilisateur ne peut utiliser API que le service (pas la console). Choisissez l’une des options suivantes :

    • ReadOnlyAccessÀ utiliser MediaPackage pour autoriser la communication avec CloudWatch l'utilisateur et également fournir à l'utilisateur un accès en lecture seule à tous les AWS services de votre compte.

    • Utilisez CloudWatchReadOnlyAccessCloudWatchEventsReadOnlyAccess, et CloudWatchLogsReadOnlyAccesspour autoriser MediaPackage à communiquer avec CloudWatch l'utilisateur et limiter son accès en lecture seule à. CloudWatch

  8. (Facultatif) Si cet utilisateur souhaite créer des CloudFront distributions Amazon à partir de la MediaPackage console, joignez la politique que vous avez créée dans(Facultatif) Étape 1 : créer une IAM politique pour Amazon CloudFront.

  9. (Facultatif) Définissez une limite d'autorisations. Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service.

    1. Développez la section Limite des autorisations et choisissez Utiliser une limite d'autorisations pour contrôler le maximum d'autorisations de rôle. IAMinclut une liste des politiques AWS gérées et gérées par le client dans votre compte.

    2. Sélectionnez la politique à utiliser pour la limite d'autorisations ou choisissez Créer une politique pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d'informations, consultez la section Création IAM de politiques dans le guide de IAM l'utilisateur.

    3. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial pour sélectionner la politique à utiliser pour la limite d'autorisations.

  10. Vérifiez que les bonnes politiques sont ajoutées à ce groupe, puis choisissez Next.

  11. Si possible, saisissez un nom de rôle ou le suffixe d'un nom de rôle vous permettant d'identifier l'objectif du rôle. Les noms de rôle doivent être uniques dans votre Compte AWS. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux rôles nommés PRODROLE et prodrole. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création.

  12. (Facultatif) Pour Description, saisissez une description pour le nouveau rôle.

  13. Choisissez Edit (Modifier) dans les sections Step 1: Select trusted entities (Étape 1 : sélection d'entités de confiance) ou Step 2: Select permissions (Étape 2 : sélection d'autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle.

  14. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balisesIAM, consultez les IAMressources relatives au balisage dans le guide de l'IAMutilisateur.

  15. Passez en revue les informations du rôle, puis choisissez Créer un rôle.

Étape 4 : assumer le rôle depuis la IAM console ou AWS CLI

Consultez les ressources suivantes pour en savoir plus sur l'octroi d'autorisations aux utilisateurs pour qu'ils assument le rôle et sur la manière dont les utilisateurs peuvent passer au rôle depuis la IAM console ou AWS CLI.