Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara mengizinkan atau melarang jenis lokasi input
AWS Elemental MediaConvert mendukung Amazon S3,HTTPS, dan jenis lokasi HTTP input untuk media input dan file Anda. Anda dapat mengizinkan atau melarang akses ke satu atau beberapa jenis lokasi masukan ini dengan menggunakan MediaConvert kebijakan.
Secara default, setiap Wilayah di AWS akun Anda tidak memiliki kebijakan dan MediaConvert mengizinkan semua jenis lokasi input yang didukung. Anda hanya perlu membuat kebijakan input jika Anda ingin melarang akses ke satu atau beberapa jenis lokasi input ini.
Untuk mencegah pekerjaan berjalan dengan jenis lokasi input yang tidak diizinkan, buat kebijakan MediaConvert Input.
Selain itu, untuk mencegah lowongan dikirimkan ke MediaConvert API jika kebijakan Input tidak ada, buat IAM kebijakan menggunakan kunci kondisi. Anda dapat menerapkan IAM kebijakan ini ke IAM peran di seluruh organisasi Anda.
Bagian berikut menjelaskan cara membuat kebijakan Input dan cara menggunakan tombol IAM kondisi untuk mengizinkan atau melarang jenis lokasi masukan.
Topik
Cara mengizinkan atau melarang jenis lokasi input menggunakan kebijakan Input
Untuk membuat atau mengubah kebijakan, kirimkan put-policy perintah menggunakanAPI,SDK, atau Antarmuka Baris Perintah (CLI) dan sertakan kebijakan dalamJSON. Kunjungi MediaConvert APIReferensi untuk mempelajari lebih lanjut tentang perintah kebijakan yang didukung dan kode respons yang diharapkan.
Berikut ini adalah contoh cara mengirimkan kebijakan menggunakanCLI. Contoh ini memungkinkan pekerjaan dengan Amazon S3 dan HTTPS input, dan melarang pekerjaan dengan input: HTTP
aws mediaconvert put-policy --policy '{"S3Inputs":"ALLOWED", "HttpsInputs":"ALLOWED", "HttpInputs":"DISALLOWED"}'
Jika Anda tidak menentukan lokasi input dalam kebijakanJSON, MediaConvert akan memperlakukan lokasi input sebagaiALLOWED. Berikut adalah contoh lain yang memungkinkan pekerjaan dengan Amazon S3 dan HTTPS input, dan melarang pekerjaan dengan input: HTTP
aws mediaconvert put-policy --policy '{"HttpInputs":"DISALLOWED"}'
Perhatikan bahwa perintah put-policy menimpa kebijakan yang ada di Region.
Ambil kebijakan saat ini
Untuk mengambil kebijakan saat iniJSON, kirimkan get-policy perintah:
aws mediaconvert get-policy
Hapus kebijakan saat ini
Untuk menghapus kebijakan saat ini dan mengizinkan semua input (kembali ke perilaku default), kirimkan delete-policy perintah:
aws mediaconvert delete-policy
Apa yang terjadi ketika Anda mencoba mengirimkan pekerjaan dengan lokasi input yang tidak diizinkan?
Jika Anda mencoba mengirimkan lowongan yang menentukan lokasi input yang dilarang oleh kebijakan Anda, MediaConvert akan menampilkan kesalahan HTTP400 (BadRequestException). Pesan galatnya adalah: Anda menentukan lokasi input yang dilarang oleh kebijakan Anda. Tentukan lokasi input yang diizinkan dan kirim ulang pekerjaan Anda. Karena MediaConvert mencegah pekerjaan ini dikirimkan, mereka tidak akan muncul dalam riwayat pekerjaan Anda.
Jika Anda mengirimkan pekerjaan yang menentukan lokasi input yang diizinkan, tetapi pekerjaan tersebut mengharuskan mengakses lokasi input lain yang tidak diizinkan, pekerjaan Anda akan gagal. Misalnya, Anda mungkin mengalami ini jika menentukan HLS manifes Apple di lokasi Amazon S3 yang diizinkan yang mereferensikan file segmen masukan lainnya di lokasi yang tidak HTTP diizinkan. Kode kesalahan kegagalan pekerjaan adalah 3457 dan pesannya adalah: Anda menentukan lokasi input yang dilarang oleh kebijakan Anda. Tentukan lokasi input yang diizinkan dan kirim ulang pekerjaan Anda.
Cara menggunakan tombol IAM kondisi dengan kebijakan Input
Saat menyertakan kunci kondisi dalam IAM kebijakan yang Anda gunakan untuk mengirimkan permintaan pekerjaan buat, IAM periksa apakah akun Anda memiliki kebijakan Input yang cocok dengan kondisi tersebut. Kondisi yang Anda tentukan harus sesuai dengan kebijakan Input akun Anda agar API permintaan tersebut diotorisasi. Anda dapat menggunakan salah satu tombol kondisi boolean berikut:
-
HttpInputsAllowed
-
HttpsInputsAllowed
-
S3 InputsAllowed
Saat menggunakan tombol kondisi, pertimbangkan skenario berikut:
Jika kondisi dan kebijakan Input cocok, misalnya jika Anda menyetel HTTPInputsAllowedke true dan kebijakan Input akun Anda mengizinkan HTTP input, maka permintaan pekerjaan buat Anda akan dikirimkan MediaConvert API ke.
Jika kondisi dan kebijakan Input tidak cocok, misalnya jika Anda menyetel HTTPInputsAllowedke false dan kebijakan Input akun Anda mengizinkan HTTP input, maka permintaan pekerjaan buat Anda tidak akan dikirimkan MediaConvert API ke. Anda akan menerima pesan galat berikut sebagai gantinya: “message”: “User: arn:aws:iam: :111122223333:" user/User is not authorized to perform:
mediaconvert:CreateJob on resource:
arn:aws:mediaconvert:us-west-2:111122223333:queues/Default
Jika kondisi dan kebijakan Input cocok, misalnya jika Anda menyetel HTTPInputsAllowedke false dan kebijakan Input akun Anda melarang HTTP input, maka permintaan pekerjaan buat Anda akan dikirimkan ke. MediaConvert API Namun, API akan mengembalikan kesalahan HTTP400 (BadRequestException). Pesan galatnya adalah: Anda menentukan lokasi input yang dilarang oleh kebijakan Anda. Tentukan lokasi input yang diizinkan dan kirim ulang pekerjaan Anda.
Untuk informasi selengkapnya tentang menggunakan kunci IAM kondisi, lihat elemen IAM JSON kebijakan: Kondisi dalam Panduan IAM Pengguna.
Berikut JSON ini adalah contoh IAM kebijakan menggunakan kunci MediaConvert kondisi yang memeriksa apakah akun Anda memiliki kebijakan Input yang melarang HTTP input:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BlockHTTPInputsExample", "Effect": "Allow", "Action": "mediaconvert:CreateJob", "Resource": "*", "Condition": { "ForAllValues:BoolIfExists": { "mediaconvert:HttpInputsAllowed": [ "false" ], "mediaconvert:HttpsInputsAllowed": [ "true" ], "mediaconvert:S3InputsAllowed": [ "true" ] } } } ] }
Untuk informasi selengkapnya tentang dukungan kunci kondisi di dalam MediaConvert, lihatBagaimana AWS Elemental MediaConvert bekerja dengan IAM.
