Manajemen Identitas dan Akses di IVS - Amazon IVS
AudiensBagaimana Amazon IVS Bekerja dengan IAMIdentitasKebijakanOtorisasi Berdasarkan Tag Amazon IVSPeranHak Akses Istimewa dan Tidak IstimewaPraktik Terbaik untuk KebijakanContoh Kebijakan Berbasis IdentitasPemecahan Masalah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajemen Identitas dan Akses di IVS

AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator akun mengontrol akses ke AWS sumber daya dengan aman. Setiap AWS sumber daya dimiliki oleh AWS akun, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. IAMadministrator akun mengontrol siapa yang dapat diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan sumber daya Amazon. IVS IAMadalah fitur AWS akun Anda yang ditawarkan tanpa biaya tambahan.

Penting: Untuk informasi lengkap, lihat halaman AWS IAM produk, Panduan IAM Pengguna, dan AWS APIPermintaan Penandatanganan. Di seluruh bagian ini, kami juga menyediakan tautan ke bagian tertentu dari Panduan IAM Pengguna. Anda harus terbiasa dengan materi ini sebelum melanjutkan.

Audiens

Cara Anda menggunakan IAM berbeda, tergantung pada pekerjaan yang Anda lakukan di AmazonIVS:

  • Pengguna layanan — Jika Anda menggunakan IVS layanan Amazon untuk melakukan pekerjaan Anda, administrator Anda memberi Anda kredensi dan izin yang Anda butuhkan. Saat Anda menggunakan lebih banyak IVS fitur Amazon untuk melakukan pekerjaan Anda, Anda mungkin memerlukan izin tambahan. Memahami cara akses dikelola dapat membantu Anda meminta izin yang tepat dari administrator Anda. Jika Anda tidak dapat mengakses fitur di AmazonIVS, lihatPemecahan Masalah.

  • Administrator layanan - Jika Anda bertanggung jawab atas sumber IVS daya Amazon di perusahaan Anda, Anda mungkin memiliki akses penuh ke AmazonIVS. Tugas Anda adalah menentukan IVS fitur dan sumber daya Amazon mana yang harus diakses karyawan Anda. Anda kemudian harus mengirimkan permintaan ke IAM administrator Anda, untuk mengubah izin pengguna layanan Anda. Tinjau informasi di halaman ini untuk memahami IAM konsep dasar. Untuk mempelajari lebih lanjut tentang bagaimana perusahaan Anda dapat menggunakan IAM AmazonIVS, lihatBagaimana Amazon IVS Bekerja dengan IAM.

  • IAMadministrator - Jika Anda seorang IAM administrator, Anda dapat menulis kebijakan untuk mengelola akses ke AmazonIVS. Untuk melihat contoh kebijakan IVS berbasis identitas Amazon yang dapat Anda gunakan, lihat. IAM Contoh Kebijakan Berbasis Identitas

Bagaimana Amazon IVS Bekerja dengan IAM

Sebelum Anda dapat membuat IVS API permintaan Amazon, Anda harus membuat satu atau beberapa IAM identitas (pengguna, grup, dan peran) dan IAM kebijakan, lalu lampirkan kebijakan ke identitas. Diperlukan waktu hingga beberapa menit agar izin menyebar; sampai saat itu, API permintaan ditolak.

Untuk tampilan tingkat tinggi tentang cara IVS kerja AmazonIAM, lihat AWS Layanan yang Bekerja dengan IAM di Panduan IAM Pengguna.

Identitas

Anda dapat membuat IAM identitas untuk memberikan otentikasi bagi orang dan proses di akun Anda AWS . IAMgrup adalah kumpulan IAM pengguna yang dapat Anda kelola sebagai satu unit. Lihat Identitas (Pengguna, Grup, dan Peran) di Panduan IAM Pengguna.

Kebijakan

Lihat bagian ini di Panduan IAM Pengguna:

Secara default, IAM pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi IVS sumber daya Amazon (bahkan untuk mengubah kata sandi mereka sendiri). Mereka juga tidak dapat melakukan tugas menggunakan AWS konsol, AWS CLI, atau AWS API. IAMAdministrator harus membuat IAM kebijakan yang memberikan izin kepada pengguna dan peran untuk melakukan API operasi tertentu pada sumber daya tertentu yang mereka butuhkan.

IAMkebijakan menentukan izin untuk tindakan terlepas dari metode yang digunakan untuk melakukan operasi. Misalnya, anggaplah Anda memiliki kebijakan yang mengizinkan tindakan iam:GetRole. Pengguna dengan kebijakan tersebut bisa mendapatkan informasi peran dari AWS Management Console, Console AWS CLI, atau AWS API.

Kebijakan adalah dokumen JSON kebijakan izin yang terdiri dari elemen. Amazon IVS mendukung tiga elemen:

  • Tindakan — Tindakan kebijakan untuk Amazon IVS menggunakan ivs awalan sebelum tindakan. Misalnya, untuk memberikan izin kepada seseorang untuk membuat IVS saluran Amazon dengan IVS CreateChannel API metode Amazon, Anda menyertakan ivs:CreateChannel tindakan tersebut dalam kebijakan untuk orang tersebut. Pernyataan kebijakan harus memuat elemen Action atau NotAction.

  • Sumber daya - Sumber daya IVS saluran Amazon memiliki ARNformat berikut:

    arn:aws:ivs:${Region}:${Account}:channel/${channelId}

    Misalnya, untuk menentukan VgNkEJgOVX9N saluran dalam pernyataan Anda, gunakan iniARN:

    "Resource": "arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N"

    Beberapa IVS tindakan Amazon, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*):

    "Resource":"*"

  • Ketentuan - Amazon IVS mendukung beberapa kunci kondisi global:aws:RequestTag,aws:TagKeys, danaws:ResourceTag.

Anda dapat memanfaatkan variabel sebagai placeholder dalam sebuah kebijakan. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama pengguna IAM pengguna. Lihat Variabel dan Tag di Panduan IAM Pengguna.

Amazon IVS menyediakan kebijakan AWS terkelola yang dapat digunakan untuk memberikan sekumpulan izin yang telah dikonfigurasi sebelumnya ke identitas (hanya baca atau akses penuh). Anda dapat memilih untuk menggunakan kebijakan terkelola alih-alih kebijakan berbasis identitas yang ditunjukkan di bawah ini. Untuk detailnya, lihat Kebijakan Terkelola untuk Amazon IVS.

Otorisasi Berdasarkan Tag Amazon IVS

Anda dapat melampirkan tag ke IVS sumber daya Amazon atau meneruskan tag dalam permintaan ke AmazonIVS. Untuk mengontrol akses berdasarkan tanda, Anda harus memberikan informasi tanda di elemen persyaratan sebuah kebijakan dengan menggunakan kunci syarat aws:ResourceTag/key-name, aws:RequestTag/key-name, atau aws:TagKeys. Untuk informasi selengkapnya tentang menandai IVS sumber daya Amazon, lihat “Penandaan” di Referensi Streaming IVSLatensi Rendah, Referensi Streaming Waktu IVSNyata, dan API API Referensi Obrolan. IVS API

Sebagai contoh, lihat Lihat IVS Saluran Amazon Berdasarkan Tag.

Peran

Lihat IAMPeran dan Kredenal Keamanan Sementara di IAMPanduan Pengguna.

IAMPeran adalah entitas dalam AWS akun Anda yang memiliki izin khusus.

Amazon IVS mendukung penggunaan kredensil keamanan sementara. Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil API operasi Layanan Token AWS Keamanan seperti AssumeRole atau. GetFederationToken

Hak Akses Istimewa dan Tidak Istimewa

APIsumber daya memiliki akses istimewa. Akses pemutaran yang tidak memiliki hak istimewa dapat diatur melalui saluran pribadi; lihat. Menyiapkan Saluran Privat

Praktik Terbaik untuk Kebijakan

Lihat Praktik IAM Terbaik di Panduan IAM Pengguna.

Kebijakan berbasis identitas adalah pilihan yang sangat tepat. Mereka menentukan apakah seseorang dapat membuat, mengakses, atau menghapus IVS sumber daya Amazon di akun Anda. Tindakan ini dapat menimbulkan biaya untuk AWS akun Anda. Ikuti rekomendasi ini:

  • Berikan hak akses paling rendah — Ketika Anda membuat kebijakan kustom, berikan hanya izin yang diperlukan untuk melakukan tugas. Mulai dengan set izin minimum dan berikan izin tambahan sesuai kebutuhan. Hal itu lebih aman daripada memulai dengan izin yang terlalu fleksibel, lalu mencoba memperketatnya nanti. Secara khusus, simpan ivs:* untuk akses admin; jangan menggunakannya dalam aplikasi.

  • Aktifkan autentikasi multi-faktor (MFA) untuk operasi sensitif — Untuk keamanan ekstra, IAM pengguna harus menggunakannya MFA untuk mengakses sumber daya atau API operasi yang sensitif.

  • Gunakan syarat kebijakan untuk keamanan ekstra — Selama bisa dilakukan, tentukan persyaratan agar kebijakan berbasis identitas Anda mengizinkan akses ke sumber daya. Misalnya, Anda dapat menulis persyaratan untuk menentukan rentang alamat IP yang diizinkan untuk mengajukan permintaan. Anda juga dapat menulis kondisi untuk mengizinkan permintaan hanya dalam tanggal atau rentang waktu tertentu, atau untuk meminta penggunaan SSL atauMFA.

Contoh Kebijakan Berbasis Identitas

Gunakan IVS Konsol Amazon

Untuk mengakses IVS konsol Amazon, Anda harus memiliki set izin minimum yang memungkinkan Anda untuk membuat daftar dan melihat detail tentang IVS sumber daya Amazon di AWS akun Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tersebut tidak akan berfungsi sebagaimana mestinya untuk identitas dengan kebijakan tersebut. Untuk memastikan akses ke IVS konsol Amazon, lampirkan kebijakan berikut ke identitas (lihat Menambahkan dan Menghapus IAM Izin di Panduan IAM Pengguna).

Bagian-bagian dari kebijakan berikut menyediakan akses ke:

  • Semua titik IVS API akhir Amazon

  • Kuota IVS layanan Amazon Anda

  • Titik akhir Amazon S3 diperlukan untuk IVS auto-record-to-S 3 fungsionalitas (low-latency-streaming) dan fungsionalitas IVS perekaman komposit (streaming waktu nyata).

  • Penciptaan uto-record-to -S3 service-linked-role

  • Amazon Cloudwatch untuk mendapatkan metrik untuk sesi live-stream Anda

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "ivs:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "servicequotas:ListServiceQuotas"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "s3:CreateBucket",
        "s3:DeleteBucketPolicy",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicy",
        "s3:ListAllMyBuckets",
        "s3:PutBucketPolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
    },
    {
      "Action": [
        "cloudwatch:GetMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "lambda:AddPermission",
        "lambda:ListFunctions"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Izinkan Pengguna untuk Melihat Izin Mereka Sendiri

Contoh ini menunjukkan kebijakan yang memungkinkan IAM pengguna untuk melihat kebijakan sebaris dan terkelola yang dilampirkan pada identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di AWS konsol atau secara terprogram menggunakan atau. AWS CLI AWS API

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ViewOwnUserInfo",
         "Effect": "Allow",
         "Action": [
            "iam:GetUserPolicy",
            "iam:ListGroupsForUser",
            "iam:ListAttachedUserPolicies",
            "iam:ListUserPolicies",
            "iam:GetUser"
         ],
         "Resource": [
            "arn:aws:iam:*:*:user/${aws:username}"
         ]
      },
      {
         "Sid": "NavigateInConsole",
         "Effect": "Allow",
         "Action": [
            "iam:GetGroupPolicy",
            "iam:GetPolicyVersion",
            "iam:GetPolicy",
            "iam:ListAttachedGroupPolicies",
            "iam:ListGroupPolicies",
            "iam:ListPolicyVersions",
            "iam:ListPolicies",
            "iam:ListUsers"
         ],
         "Resource": "*"
      }
   ]
}

Akses IVS Saluran Amazon

Di sini, Anda ingin memberi IAM pengguna di AWS akun Anda akses ke salah satu IVS saluran Amazon Anda,VgNkEJgOVX9N. Anda juga ingin mengizinkan pengguna menghentikan stream (ivs:StopStream), menambahkan metadata (ivs:PutMetadata), dan memperbarui channel (ivs:UpdateChannel). Kebijakan ini juga memberikan izin yang diperlukan oleh IVS konsol Amazon:ivs:ListChannels,, ivs:ListStreamsivs:GetChannel, dan. ivs:GetStream

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListChannelsInConsole",
         "Effect":"Allow",
         "Action":[
            "ivs:ListChannels",
            "ivs:ListStreams"

         ],
         "Resource":"arn:aws:ivs:*:*:channel/*"
      },
      {
         "Sid":"ViewSpecificChannelInfo",
         "Effect":"Allow",
         "Action":[
            "ivs:GetChannel",
            "ivs:GetStream"
         ],
         "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
      },
      {
         "Sid":"ManageChannel",
         "Effect":"Allow",
         "Action":[
            "ivs:StopStream",
            "ivs:PutMetadata",
            "ivs:UpdateChannel"
         ],
         "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N" 
      }
   ]
}

Lihat IVS Saluran Amazon Berdasarkan Tag

Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke IVS sumber daya Amazon berdasarkan tag. Contoh ini menunjukkan kebijakan yang memungkinkan melihat saluran. Kebijakan ini juga memberikan izin yang diperlukan untuk menyelesaikan tindakan ini di konsol AmazonIVS.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ListWidgetsInConsole",
         "Effect": "Allow",
         "Action": "ivs:ListChannels",
         "Resource": "arn:aws:ivs:*:*:channel/*"
      },
      {
         "Sid": "ViewChannelIfOwner",
         "Effect": "Allow",
         "Action": "ivs:GetChannel",
         "Resource": "arn:aws:ivs:*:*:channel/*",
         "Condition": {
            "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
         }
      }
   ]
}

Anda dapat melampirkan kebijakan ini ke pengguna IAM di akun Anda. Namun, izin diberikan hanya jika saluran ditandai dengan nama pengguna pengguna tersebut sebagai pemilik. Jika pengguna bernama richard-roe mencoba melihat IVS saluran Amazon, saluran tersebut harus diberi tag Owner=richard-roe atauowner=richard-roe; jika tidak, dia ditolak aksesnya. (Kunci tag kondisi Owner cocok dengan keduanya Owner dan owner karena nama kunci kondisi tidak peka huruf besar/kecil.)

Pemecahan Masalah

Gunakan informasi berikut untuk membantu mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Amazon IVS danIAM.

  • Saya tidak berwenang untuk melakukan tindakan di AmazonIVS.

    Contoh kesalahan berikut terjadi ketika IAM pengguna mateojackson mencoba menggunakan AWS konsol untuk melihat detail tentang saluran tetapi tidak memiliki ivs:GetChannel izin.

    User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ivs:GetChannel on resource: arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N

    Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N menggunakan tindakan ivs:GetChannel.

  • Saya ingin melihat kunci akses saya.

    Setelah Anda membuat kunci akses IAM pengguna, Anda dapat melihat ID kunci akses Anda kapan saja. Namun, Anda tidak dapat melihat secret access key Anda lagi. Jika Anda kehilangan secret key, Anda harus membuat pasangan access key baru. Kunci akses memiliki dua bagian:

    • ID kunci akses (misalnya,AKIAIOSFODNN7EXAMPLE)

    • Kunci akses rahasia (misalnya,wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)

    Seperti halnya nama pengguna dan kata sandi, Anda harus menggunakan ID kunci akses dan kunci akses rahasia bersama-sama untuk mengautentikasi permintaan Anda. Kelola access key Anda seaman nama pengguna dan kata sandi Anda.

    Penting: Jangan berikan kunci akses Anda ke pihak ketiga, bahkan untuk membantu menemukan ID pengguna kanonik Anda. Melakukannya mungkin memberi seseorang akses permanen ke akun Anda.

    Saat Anda membuat pasangan access key, Anda diminta menyimpan access key ID dan secret access key di lokasi yang aman. Kunci akses rahasia hanya tersedia saat Anda membuatnya. Jika Anda kehilangan kunci akses rahasia Anda, Anda harus menambahkan kunci akses baru ke IAM pengguna Anda.

    Anda dapat memiliki paling banyak dua kunci akses. Jika Anda sudah memiliki dua, Anda harus menghapus satu pasangan kunci sebelum membuat pasangan baru. Lihat Mengelola Kunci Akses untuk IAM Pengguna di Panduan IAM Pengguna.

  • Saya seorang administrator dan ingin mengizinkan orang lain mengakses AmazonIVS.

    Untuk mengizinkan orang lain mengakses AmazonIVS, Anda harus membuat IAM entitas (pengguna atau peran) untuk orang atau aplikasi yang membutuhkan akses. Orang atau aplikasi akan menggunakan kredensil untuk entitas tersebut untuk mengakses. AWS Anda kemudian harus melampirkan kebijakan ke entitas yang memberikan izin yang benar di Amazon. IVS

    Untuk memulai, lihat Membuat Pengguna dan Grup IAM Delegasi Pertama Anda di Panduan IAM Pengguna.

  • Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses IVS sumber daya Amazon saya.

    Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang di luar organisasi untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda. Untuk informasi terkait, lihat bagian Panduan IAM Pengguna ini:

    Untuk belajar... Lihat...
    Cara menyediakan akses ke sumber daya Anda di seluruh AWS akun yang Anda miliki

    Memberikan Akses ke IAM Pengguna di AWS Akun Lain yang Anda Miliki
    Cara menyediakan akses ke sumber daya Anda ke AWS akun pihak ketiga

    Menyediakan Akses ke AWS Akun yang Dimiliki oleh Pihak Ketiga
    Cara menyediakan akses melalui federasi identitas

    Menyediakan Akses ke Pengguna yang Diautentikasi Secara Eksternal (Federasi Identitas)
    Perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun

    Akses Sumber Daya Lintas Akun di IAM