Identity and Access Management di IVS Chat - Amazon IVS
AudiensBagaimana Amazon IVS Bekerja dengan IAMIdentitasKebijakanOtorisasi Berdasarkan Tag Amazon IVSPeranHak Akses Istimewa dan Tidak IstimewaPraktik Terbaik untuk KebijakanContoh Kebijakan Berbasis IdentitasKebijakan Berbasis Sumber Daya untuk Obrolan Amazon IVSPemecahan Masalah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identity and Access Management di IVS Chat

AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator akun mengontrol akses ke AWS sumber daya dengan aman. Lihat Identity and Access Management IVS di Panduan Pengguna Streaming IVS Latensi Rendah.

Audiens

Cara Anda menggunakan IAM berbeda, tergantung pada pekerjaan yang Anda lakukan di AmazonIVS. Lihat Audiens di Panduan Pengguna Streaming IVS Latensi Rendah.

Bagaimana Amazon IVS Bekerja dengan IAM

Sebelum Anda dapat membuat IVS API permintaan Amazon, Anda harus membuat satu atau beberapa IAM identitas (pengguna, grup, dan peran) dan IAM kebijakan, lalu lampirkan kebijakan ke identitas. Diperlukan waktu hingga beberapa menit agar izin disebarkan; sampai saat itu, API permintaan ditolak.

Untuk tampilan tingkat tinggi tentang cara IVS kerja AmazonIAM, lihat AWS Layanan yang Bekerja dengan IAM di Panduan IAM Pengguna.

Identitas

Anda dapat membuat IAM identitas untuk memberikan otentikasi bagi orang dan proses di akun Anda AWS . IAMgrup adalah kumpulan IAM pengguna yang dapat Anda kelola sebagai satu unit. Lihat Identitas (Pengguna, Grup, dan Peran) di Panduan IAM Pengguna.

Kebijakan

Kebijakan adalah dokumen JSON kebijakan izin yang terdiri dari elemen. Lihat Kebijakan di Panduan Pengguna Streaming IVS Latensi Rendah.

Amazon IVS Chat mendukung tiga elemen:

  • Tindakan — Tindakan kebijakan untuk IVS Obrolan Amazon menggunakan ivschat awalan sebelum tindakan. Misalnya, untuk memberikan izin kepada seseorang untuk membuat ruang IVS Obrolan Amazon dengan CreateRoom API metode IVS Obrolan Amazon, Anda menyertakan ivschat:CreateRoom tindakan tersebut dalam kebijakan untuk orang tersebut. Pernyataan kebijakan harus memuat elemen Action atau NotAction.

  • Sumber daya - Sumber daya ruang IVS Obrolan Amazon memiliki ARNformat berikut:

    arn:aws:ivschat:${Region}:${Account}:room/${roomId}

    Misalnya, untuk menentukan VgNkEJgOVX9N ruangan dalam pernyataan Anda, gunakan iniARN:

    "Resource": "arn:aws:ivschat:us-west-2:123456789012:room/VgNkEJgOVX9N"

    Beberapa tindakan IVS Obrolan Amazon, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*):

    "Resource":"*"

  • Ketentuan - IVS Obrolan Amazon mendukung beberapa kunci kondisi global:aws:RequestTag,aws:TagKeys, danaws:ResourceTag.

Anda dapat memanfaatkan variabel sebagai placeholder dalam sebuah kebijakan. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama pengguna IAM pengguna. Lihat Variabel dan Tag di Panduan IAM Pengguna.

Amazon IVS menyediakan kebijakan AWS terkelola yang dapat digunakan untuk memberikan sekumpulan izin yang telah dikonfigurasi sebelumnya ke identitas (hanya baca atau akses penuh). Anda dapat memilih untuk menggunakan kebijakan terkelola alih-alih kebijakan berbasis identitas yang ditunjukkan di bawah ini. Untuk detailnya, lihat Kebijakan Terkelola untuk IVS Obrolan Amazon.

Otorisasi Berdasarkan Tag Amazon IVS

Anda dapat melampirkan tag ke sumber daya IVS Obrolan Amazon atau meneruskan tag dalam permintaan ke IVS Obrolan Amazon. Untuk mengontrol akses berdasarkan tanda, Anda harus memberikan informasi tanda di elemen persyaratan sebuah kebijakan dengan menggunakan kunci syarat aws:ResourceTag/key-name, aws:RequestTag/key-name, atau aws:TagKeys. Untuk informasi selengkapnya tentang menandai sumber daya IVS Obrolan Amazon, lihat “Menandai” di Referensi IVSObrolan API.

Peran

Lihat IAMPeran dan Kredenal Keamanan Sementara di IAMPanduan Pengguna.

IAMPeran adalah entitas dalam AWS akun Anda yang memiliki izin khusus.

Amazon IVS mendukung penggunaan kredensil keamanan sementara. Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil API operasi Layanan Token AWS Keamanan seperti AssumeRole atau. GetFederationToken

Hak Akses Istimewa dan Tidak Istimewa

APIsumber daya memiliki akses istimewa. Akses pemutaran yang tidak memiliki hak istimewa dapat diatur melalui saluran pribadi; lihat Menyiapkan Saluran IVS Pribadi.

Praktik Terbaik untuk Kebijakan

Lihat Praktik IAM Terbaik di Panduan IAM Pengguna.

Kebijakan berbasis identitas adalah pilihan yang sangat tepat. Mereka menentukan apakah seseorang dapat membuat, mengakses, atau menghapus IVS sumber daya Amazon di akun Anda. Tindakan ini dapat menimbulkan biaya untuk AWS akun Anda. Ikuti rekomendasi ini:

  • Berikan hak akses paling rendah — Ketika Anda membuat kebijakan kustom, berikan hanya izin yang diperlukan untuk melakukan tugas. Mulai dengan set izin minimum dan berikan izin tambahan sesuai kebutuhan. Hal itu lebih aman daripada memulai dengan izin yang terlalu fleksibel, lalu mencoba memperketatnya nanti. Secara khusus, simpan ivschat:* untuk akses admin; jangan menggunakannya dalam aplikasi.

  • Aktifkan autentikasi multi-faktor (MFA) untuk operasi sensitif — Untuk keamanan ekstra, IAM pengguna harus menggunakannya MFA untuk mengakses sumber daya atau API operasi yang sensitif.

  • Gunakan syarat kebijakan untuk keamanan ekstra — Selama bisa dilakukan, tentukan persyaratan agar kebijakan berbasis identitas Anda mengizinkan akses ke sumber daya. Misalnya, Anda dapat menulis persyaratan untuk menentukan rentang alamat IP yang diizinkan untuk mengajukan permintaan. Anda juga dapat menulis kondisi untuk mengizinkan permintaan hanya dalam tanggal atau rentang waktu tertentu, atau untuk meminta penggunaan SSL atauMFA.

Contoh Kebijakan Berbasis Identitas

Gunakan IVS Konsol Amazon

Untuk mengakses IVS konsol Amazon, Anda harus memiliki seperangkat izin minimum yang memungkinkan Anda membuat daftar dan melihat detail tentang sumber daya IVS Obrolan Amazon di AWS akun Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tersebut tidak akan berfungsi sebagaimana mestinya untuk identitas dengan kebijakan tersebut. Untuk memastikan akses ke IVS konsol Amazon, lampirkan kebijakan berikut ke identitas (lihat Menambahkan dan Menghapus IAM Izin di Panduan IAM Pengguna).

Bagian-bagian dari kebijakan berikut menyediakan akses ke:

  • Semua titik API akhir IVS Obrolan Amazon

  • Kuota layanan IVS Obrolan Amazon Anda

  • Mencantumkan lambda dan menambahkan izin untuk lambda yang dipilih untuk moderasi Obrolan Amazon IVS

  • Amazon Cloudwatch untuk mendapatkan metrik bagi sesi obrolan Anda

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "ivschat:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "servicequotas:ListServiceQuotas"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "cloudwatch:GetMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "lambda:AddPermission",
        "lambda:ListFunctions"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Kebijakan Berbasis Sumber Daya untuk Obrolan Amazon IVS

Anda harus memberikan izin layanan IVS Obrolan Amazon untuk memanggil sumber daya lambda Anda untuk meninjau pesan. Untuk melakukannya, ikuti petunjuk di Menggunakan kebijakan berbasis sumber daya untuk Lambda (dalam Panduan Pengembang AWS Lambda) dan isi AWS kolom seperti yang ditentukan di bawah ini.

Untuk mengontrol akses ke sumber daya lambda, Anda dapat menggunakan persyaratan berdasarkan:

  • SourceArn — Contoh kebijakan kami memanfaatkan wildcard (*) agar semua ruang di akun Anda dapat menginvokasi lambda. Secara opsional, Anda dapat menentukan ruang di akun untuk mengizinkan hanya ruang tersebut yang dapat menginvokasi lambda.

  • SourceAccount— Dalam contoh kebijakan di bawah ini, ID AWS akun adalah123456789012.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Principal": {
            "Service": "ivschat.amazonaws.com"
         },
         "Action": [
            "lambda:InvokeFunction"
         ],
         "Effect": "Allow",
         "Resource": "arn:aws:lambda:us-west-2:123456789012:function:name",
         "Condition": {
            "StringEquals": {
               "AWS:SourceAccount": "123456789012"
            },
            "ArnLike": {
               "AWS:SourceArn": "arn:aws:ivschat:us-west-2:123456789012:room/*"
            }
         }
      }
   ]
}

Pemecahan Masalah

Lihat Pemecahan Masalah di Panduan Pengguna Streaming IVS Latensi Rendah untuk informasi tentang mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Obrolan Amazon dan. IVS IAM