Fase 3: configurare le autorizzazioni IAM
Successivamente, sarà necessario creare una policy AWS Identity and Access Management (IAM) che fornisca agli utenti un set di autorizzazioni di base (ad esempio per creare un canale Amazon IVS, ottenere informazioni in streaming e registrare automaticamente su S3) e assegnare tale policy agli utenti. È possibile assegnare le autorizzazioni durante la creazione di un nuovo utente o aggiungere le autorizzazioni a un utente esistente. Entrambe le procedure sono riportate di seguito.
Per ulteriori informazioni (ad esempio, per informazioni sugli utenti e sulle policy IAM, su come collegare una policy a un utente e su come vincolare ciò che gli utenti possono fare con Amazon IVS), consultare:
-
Creazione di un utente IAM nella Guida per l'utente di IAM
-
Le informazioni in Sicurezza di Amazon IVS su IAM e "Policy gestite per IVS".
-
Per la funzionalità di registrazione su S3: Utilizzo di ruoli collegati ai servizi e Registrazione automatica su Amazon S3 nell'Amazon IVS User Guide (Guida per l'utente Amazon IVS)
Puoi utilizzare una policy gestita da AWS esistente per Amazon IVS o crearne una nuova che personalizzi le autorizzazioni che desideri concedere a un insieme di utenti, gruppi o ruoli. Entrambi gli approcci sono descritti di seguito.
Utilizza una policy esistente per le autorizzazioni IVS
Nella maggior parte dei casi, ti consigliamo di utilizzare una policy gestita da AWS per Amazon IVS. Sono descritte in dettaglio nella sezione Policy gestite per IVS di Sicurezza di IVS.
-
Utilizza la policy gestita da AWS
IVSReadOnlyAccess
per consentire agli sviluppatori di applicazioni di accedere a tutti gli endpoint API IVS Get and List (sia per lo streaming a bassa latenza che in tempo reale). -
Utilizza la policy gestita da AWS
IVSFullAccess
per consentire agli sviluppatori di applicazioni di accedere a tutti gli endpoint API IVS (sia per lo streaming a bassa latenza che in tempo reale).
Facoltativo: creazione di una policy personalizzata per le autorizzazioni Amazon IVS
Completa la procedura riportata di seguito.
-
Accedere alla Gestione della Console AWS e aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, selezionare Policies (Policy) e Create Policy (Crea policy). Si apre una finestra Specifica le autorizzazioni.
-
Nella finestra Specifica autorizzazioni seleziona la scheda JSON, quindi copia e incolla la seguente policy IVS nell'area ti testo Editor delle policy. (La policy non include tutte le azioni di Amazon IVS. È possibile aggiungere/eliminare (Consentire/negare) le autorizzazioni di accesso agli endpoint in base alle esigenze. Consulta Riferimento all'API di streaming a bassa latenza IVS.)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ivs:CreateChannel", "ivs:CreateRecordingConfiguration", "ivs:GetChannel", "ivs:GetRecordingConfiguration", "ivs:GetStream", "ivs:GetStreamKey", "ivs:GetStreamSession", "ivs:ListChannels", "ivs:ListRecordingConfigurations", "ivs:ListStreamKeys", "ivs:ListStreams", "ivs:ListStreamSessions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "servicequotas:ListAWSDefaultServiceQuotas", "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota", "servicequotas:ListServiceQuotas", "servicequotas:ListServices", "servicequotas:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*" } ] }
-
Sempre nella finestra Specifica autorizzazioni, scegli Successivo (scorri fino alla fine della finestra per visualizzare questa opzione). Si apre una finestra Rivedi e crea.
-
Nella finestra Rivedi e crea inserisci un Nome per la policy e, facoltativamente, aggiungi una Descrizione. Prendi nota del nome della policy poiché sarà necessario per creare gli utenti (di seguito). Scegli Create policy (Crea policy) nella parte inferiore della finestra.
-
Tornerai alla finestra della console IAM, dove dovresti vedere un banner che conferma che la tua nuova policy è stata creata.
Creare un Nuovo utente e Aggiungere autorizzazioni
Chiavi di accesso utente IAM
Le chiavi di accesso IAM sono composte da un ID chiave di accesso e una chiave di accesso segreta. Vengono utilizzati per firmare le richieste a livello di programmazione che fai ad AWS. In mancanza di chiavi di accesso, puoi crearle utilizzando la Console di gestione AWS. Come best practice, non utilizzare le chiavi di accesso dell'utente root.
L'unico momento in cui è possibile visualizzare o scaricare la chiave di accesso segreta è durante la creazione delle chiavi di accesso. Non sarà possibile recuperarle successivamente. Tuttavia, è possibile creare nuove chiavi di accesso in qualsiasi momento; è necessario disporre delle autorizzazioni per effettuare le operazioni IAM richieste.
Conserva sempre le chiavi di accesso in modo sicuro. Non condividerle mai con terze parti (anche se sembra che una richiesta provenga da Amazon). Per ulteriori informazioni, consulta Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente di IAM .
Procedura
Completare la procedura riportata di seguito.
-
Nel riquadro di navigazione, seleziona Utenti, quindi Crea utente. Si apre una finestra Specifica i dettagli dell'utente.
-
Nella finestra Specifica i dettagli dell'utente:
-
Sotto a Dettagli dell'utente, digita il nuovo Nome utente da creare.
-
Seleziona la casella di controllo Console di gestione AWS.
-
Quando richiesto, seleziona Desidero creare un utente IAM.
-
Per Console password (Password della console), seleziona Autogenerated password (Password generata automaticamente).
-
Seleziona la casella di controllo Gli utenti devono creare una nuova password all'accesso successivo.
-
Seleziona Next (Successivo). Si apre una finestra Imposta autorizzazioni.
-
-
Sotto a Imposta autorizzazioni, seleziona Collega direttamente le policy esistenti. Si apre una finestra Policy di autorizzazione.
-
Nella casella di ricerca, inserisci il nome di una policy IVS (una policy gestita da AWS o personalizzata creata in precedenza). Una volta trovato, seleziona la casella per selezionare la policy.
-
Seleziona Successivo (nella parte inferiore della finestra). Si apre una finestra Rivedi e crea.
-
Nella finestra Rivedi e crea, conferma che tutti i dettagli dell'utente siano corretti, quindi scegli Crea utente (nella parte inferiore della finestra).
-
Si apre la finestra Recupera password, contenente i Dettagli di accesso alla console. Salva queste informazioni in modo sicuro per l'utilizzo futuro. Al termine, seleziona Torna all'elenco utenti.
Aggiungere autorizzazioni a un utente esistente
Completa la procedura riportata di seguito.
-
Accedere alla Gestione della Console AWS e aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione, scegliere Utenti, quindi un nome utente esistente da aggiornare. (Scegli il nome facendo clic su di esso; non selezionare la casella di selezione.)
-
Nella pagina Riepilogo, nella scheda Autorizzazioni, seleziona Aggiungi autorizzazioni. Si apre una finestra Aggiungi autorizzazioni.
-
Seleziona Attach existing policies directly (Collega direttamente le policy esistenti). Si apre una finestra Policy di autorizzazione.
-
Nella casella di ricerca, inserisci il nome di una policy IVS (una policy gestita da AWS o personalizzata creata in precedenza). Una volta trovata la policy, seleziona la casella per selezionarla.
-
Seleziona Successivo (nella parte inferiore della finestra). Si apre una finestra Rivedi.
-
Nella finestra Rivedi, seleziona Aggiungi autorizzazioni (nella parte inferiore della finestra).
-
Nella pagina di riepilogo, verifica che la policy IVS sia stata aggiunta.