Gerenciamento de Identidade e Acesso no IVS
O AWS Identity and Access Management (IAM) é um serviço da AWS que ajuda o administrador de uma conta a controlar de forma segura o acesso aos recursos da AWS. Cada recurso da AWS pertence a uma conta da AWS, e as permissões para criá-lo ou acessá-lo são regidas por políticas de permissões. Os administradores de conta do IAM controlam quem pode ser autenticado (conectado) e autorizado (ter permissões) para usar os recursos da Amazon IVS. O IAM é um recurso da conta da AWS oferecido sem custo adicional.
Importante: para obter informações abrangentes, consulte a página do produto AWS IAM
Público
O uso do IAM varia, dependendo do trabalho que você realiza no Amazon IVS:
-
Usuário do serviço: se você usar o serviço do Amazon IVS para fazer seu trabalho, o administrador fornecerá as credenciais e as permissões necessárias. À medida que mais recursos do Amazon IVS forem usados para realizar o trabalho, talvez sejam necessárias permissões adicionais. Entender como o acesso é gerenciado pode ajudar você a solicitar as permissões corretas ao seu administrador. Se você não puder acessar um recurso no Amazon IVS, consulte Solução de problemas.
-
Administrador do serviço: se você for o responsável pelos recursos do Amazon IVS em sua empresa, você provavelmente terá acesso total ao Amazon IVS. É seu trabalho determinar quais recursos do Amazon IVS os funcionários devem acessar. Assim, é necessário enviar solicitações ao administrador do IAM para alterar as permissões dos usuários de seu serviço. Revise as informações nesta página para entender os conceitos básicos do IAM. Para saber mais sobre como a empresa pode usar o IAM com a Amazon IVS, consulte Como a Amazon IVS funciona com o IAM.
-
Administrador do IAM: se você for um administrador do IAM, você pode escrever políticas para gerenciar o acesso ao Amazon IVS. Para visualizar exemplos de políticas baseadas em identidade do Amazon IVS que podem ser usadas no IAM, consulte Exemplos de políticas baseadas em identidade.
Como a Amazon IVS funciona com o IAM
Ants de fazer solicitações de API do Amazon IVS, você deve criar uma ou mais identidades do IAM (usuários, grupos e funções) e políticas do IAM, depois anexar as políticas às identidades. Leva alguns minutos para que as permissões sejam propagadas; até então, as solicitações de API são rejeitadas.
Para uma visualização de alto nível de como o Amazon IVS funciona com o IAM, consulte Serviços da AWS que funcionam com o IAM no Guia do usuário do IAM.
Identidades
Você pode criar identidades do IAM para fornecer autenticação a pessoas e processos na sua conta da AWS. Os grupos do IAM são conjuntos de usuários do IAM que podem ser gerenciados como uma unidade. Consulte Identidades (usuários, grupos e funções) no Guia do usuário do IAM.
Políticas
Veja estas seções no Guia do usuário do IAM:
-
Gerenciamento de acesso: tudo sobre políticas.
-
Referência de elementos da política JSON do IAM: todos os elementos que podem ser usados em uma política JSON.
Por padrão, os usuários e as funções do IAM não têm permissão para criar ou modificar recursos do Amazon IVS (mesmo para alterar suas próprias senhas). Eles também não podem executar tarefas usando o Console da AWS, a AWS CLI ou a API da AWS. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e funções permissão para executar operações de API específicas nos recursos especificados de que precisam.
As políticas do IAM definem permissões para uma ação, independentemente do método usado para executar a operação. Por exemplo, suponha que você tenha uma política que permite a ação iam:GetRole
. Um usuário com essa política pode obter informações do perfil no Console de Gerenciamento da AWS, na AWS CLI ou na API da AWS.
As políticas são documentos de política de permissão de JSON compostos de elementos. O Amazon IVS oferece suporte a três elementos:
-
Ações: as ações de política para o Amazon IVS usam o prefixo
ivs
antes da ação. Por exemplo, para conceder permissão a alguém para criar um canal do Amazon IVS com o método da API doCreateChannel
do Amazon IVS, inclua a açãoivs:CreateChannel
na política dessa pessoa. As instruções de política devem incluir um elementoAction
ouNotAction
. -
Recursos: o recurso do canal do Amazon IVS tem o seguinte formato ARN:
arn:aws:ivs:${Region}:${Account}:channel/${channelId}
Por exemplo, para especificar o canal
VgNkEJgOVX9N
em sua instrução, use este ARN:"Resource": "arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N"
Algumas ações da Amazon IVS, como as de criação de recursos, não podem ser executadas em um recurso específico. Nesses casos, você deve usar o caractere curinga (
*
):"Resource":"*"
-
Condições: o Amazon IVS oferece suporte a algumas chaves de condição globais:
aws:RequestTag
,aws:TagKeys
eaws:ResourceTag
.
Você pode usar variáveis como espaços reservados em uma política. Por exemplo, será possível conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcado com o nome de usuário do IAM. Consulte Variáveis e tags no Guia do usuário do IAM.
O Amazon IVS fornece políticas gerenciadas pela AWS que podem ser usadas para conceder um conjunto predefinido de permissões para identidades (somente leitura ou acesso total). Você pode optar por usar políticas gerenciadas em vez das políticas baseadas em identidade mostradas abaixo. Para obter detalhes, consulte Managed Policies for Amazon IVS.
Autorização baseada em tags do Amazon IVS
É possível anexar tags a recursos do Amazon IVS ou informar tags em uma solicitação para o Amazon IVS. Para controlar o acesso baseado em tags, forneça informações sobre as tags no elemento de condição de uma política usando as chaves de condição aws:ResourceTag/key-name
, aws:RequestTag/key-name
ou aws:TagKeys
. Para obter mais informações sobre como marcar recursos do Amazon IVS, consulte “Tagging” na Referência de API do streaming de baixa latência do IVS, na Referência de API do streaming em tempo real do IVS e na Referência de API do Chat do IVS.
Para ver um exemplo, consulte Visualizar canais do Amazon IVS com base em tags.
Perfis
Consulte Funções do IAM eCredenciais de segurança temporárias no Guia do usuário do IAM.
Perfil do IAM é uma entidade dentro da sua conta da AWS que tem permissões específicas.
O Amazon IVS oferece suporte ao uso de credenciais de segurança temporárias. É possível usar credenciais temporárias para fazer login com federação, assumir uma função do IAM ou assumir uma função entre contas. Obtenha credenciais de segurança temporárias chamando operações de API do AWS Security Token Service, como AssumeRole
ou GetFederationToken
.
Acesso privilegiado e sem privilégios
Os recursos da API têm acesso privilegiado. O acesso de reprodução sem privilégios pode ser configurado por meio de canais privados; consulte Configurando Canais Privados.
Práticas recomendadas para políticas
Consulte Práticas recomendadas do IAM no Guia do usuário do IAM.
As políticas baseadas em identidade são muito eficientes. Elas determinam se alguém pode criar, acessar ou excluir recursos do Amazon IVS em sua conta. Essas ações podem incorrer em custos para sua conta da AWS. Siga estas recomendações:
-
Conceder privilégios mínimos: ao criar políticas personalizadas, conceda apenas as permissões necessárias para executar uma tarefa. Comece com um conjunto mínimo de permissões e conceda permissões adicionais, conforme necessário. Fazer isso é mais seguro do que começar com permissões que são muito lenientes, e tentar restringi-las posteriormente. Especificamente, reservar
ivs:*
para acesso de administrador; não usá-lo em aplicações. -
Habilitar autenticação multifator (MFA) para operações confidenciais: para aumentar a segurança, exija que os usuários do IAM usem MFA para acessar recursos ou operações de API confidenciais.
-
Usar condições de política para segurança adicional: na medida do possível, defina as condições sob as quais suas políticas baseadas em identidade permitem o acesso a um recurso. Por exemplo, você pode gravar condições para especificar um intervalo de endereços IP permitidos do qual a solicitação deve partir. Você também pode escrever condições para permitir somente solicitações em uma data especificada ou período ou para exigir o uso de SSL ou MFA.
Exemplos de políticas baseadas em identidade
Use o console do Amazon IVS.
Para acessar o console do Amazon IVS, é necessário ter um conjunto mínimo de permissões que permitam listar e visualizar detalhes sobre os recursos do Amazon IVS em sua conta da AWS. Se você criar uma política de permissões baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não vai funcionar como pretendido para entidades com essa política. Para garantir o acesso ao console do Amazon IVS, anexe a seguinte política às identidades (consulte Adicionar e remover permissões do IAM no Guia do usuário do IAM).
As partes da política a seguir fornecem acesso a:
-
Todos os endpoints de API do Amazon IVS
-
Suas cotas de serviço do Amazon IVS
-
Os endpoints do Amazon S3 necessários para a funcionalidade de gravação automática do IVS para S3 (streaming de baixa latência) e para a funcionalidade de gravação composta do IVS (streaming em tempo real).
-
Criação de função vinculada ao serviço do S3 com gravação automática
-
Amazon Cloudwatch para obter métricas para sua sessão de transmissão ao vivo
{ "Version": "2012-10-17", "Statement": [ { "Action": "ivs:*", "Effect": "Allow", "Resource": "*" }, { "Action": [ "servicequotas:ListServiceQuotas" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "s3:CreateBucket", "s3:DeleteBucketPolicy", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListAllMyBuckets", "s3:PutBucketPolicy" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*" }, { "Action": [ "cloudwatch:GetMetricData" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "lambda:AddPermission", "lambda:ListFunctions" ], "Effect": "Allow", "Resource": "*" } ] }
Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como você pode criar uma política que permite que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console da AWS ou de forma programática usando a AWS CLI ou a API da AWS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam:*:*:user/${aws:username}" ] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Acessar um canal do Amazon IVS
Aqui, você deseja conceder a um usuário do IAM em sua conta da AWS acesso a um de seus canais do Amazon IVS, VgNkEJgOVX9N
. Você também quer permitir que o usuário interrompa o stream (ivs:StopStream
), adicione metadados (ivs:PutMetadata
) e atualize o canal (ivs:UpdateChannel
). A política também concede as permissões necessárias pelo console do Amazon IVS: ivs:ListChannels
, ivs:ListStreams
, ivs:GetChannel
e ivs:GetStream
.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ListChannelsInConsole", "Effect":"Allow", "Action":[ "ivs:ListChannels", "ivs:ListStreams" ], "Resource":"arn:aws:ivs:*:*:channel/*" }, { "Sid":"ViewSpecificChannelInfo", "Effect":"Allow", "Action":[ "ivs:GetChannel", "ivs:GetStream" ], "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N" }, { "Sid":"ManageChannel", "Effect":"Allow", "Action":[ "ivs:StopStream", "ivs:PutMetadata", "ivs:UpdateChannel" ], "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N" } ] }
Visualizar canais do Amazon IVS com base em tags
Você pode usar condições em sua política baseada em identidade para controlar o acesso aos recursos do Amazon IVS com base em tags. Este exemplo mostra uma política que permite visualizar um canal. Essa política também concede as permissões necessárias para concluir essa ação no console do Amazon IVS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListWidgetsInConsole", "Effect": "Allow", "Action": "ivs:ListChannels", "Resource": "arn:aws:ivs:*:*:channel/*" }, { "Sid": "ViewChannelIfOwner", "Effect": "Allow", "Action": "ivs:GetChannel", "Resource": "arn:aws:ivs:*:*:channel/*", "Condition": { "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"} } } ] }
É possível anexar essa política aos usuários do IAM na sua conta. No entanto, a permissão será concedida somente se o canal for marcado com esse nome de usuário com um proprietário. Se um usuário chamado richard-roe tentar visualizar um canal do Amazon IVS, o canal deverá ser marcado com Owner=richard-roe
ou owner=richard-roe
; caso contrário, ele terá o acesso negado. (A chave da tag da condição Owner
corresponde a Owner
e a owner
porque os nomes de chaves de condição não fazem distinção entre maiúsculas e minúsculas.
Solução de problemas
Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você possa encontrar ao trabalhar com o Amazon IVS e o IAM.
-
Não tenho autorização para executar uma ação no Amazon IVS.
O erro de exemplo a seguir ocorre quando o usuário mateojackson do IAM tenta usar o Console da AWS para visualizar detalhes sobre um canal, mas não tem a permissão
ivs:GetChannel
.User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ivs:GetChannel on resource: arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N
Nesse caso, Mateo pede ao administrador para atualizar suas políticas para conceder a ele acesso ao recurso
arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N
usando a açãoivs:GetChannel
. -
Quero visualizar minhas chaves de acesso
Depois de criar suas chaves de acesso de usuário do IAM, é possível visualizar seu ID da chave de acesso a qualquer momento. No entanto, você não pode visualizar sua chave de acesso secreta novamente. Se você perder sua chave secreta, crie um novo par de chaves de acesso. As chaves de acesso têm duas partes:
-
Um ID de chave de acesso (por exemplo,
AKIAIOSFODNN7EXAMPLE
) -
Uma chave de acesso secreta (por exemplo,
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
)
Como um nome de usuário e uma senha, você deve usar o ID da chave de acesso e a chave de acesso secreta em conjunto para autenticar suas solicitações. Gerencie suas chaves de acesso de forma tão segura quanto você gerencia seu nome de usuário e sua senha.
Importante: não forneça as chaves de acesso a terceiros, mesmo que seja para ajudar a encontrar seu ID de usuário canônico. Ao fazer isso, você pode dar a alguém acesso permanente à sua conta.
Ao criar um par de chaves de acesso, será solicitado que você salve o ID da chave de acesso e a chave de acesso secreta em um local seguro. A chave de acesso secreta só é acessível no momento em que é criada. Se você perder sua chave de acesso secreta, será necessário adicionar novas chaves de acesso ao seu usuário do IAM.
Você pode ter no máximo duas chaves de acesso. Se já tiver duas, você deverá excluir um par de chaves antes de criar um novo. Consulte Como gerenciar chaves de acesso para usuários do IAM no Guia do usuário do IAM.
-
-
Sou administrador e quero permitir que outros usuários tenham acesso ao Amazon IVS.
Para permitir que outros usuários acessem o Amazon IVS, é necessário criar uma entidade do IAM (usuário ou função) para a pessoa ou a aplicação que precisa do acesso. A pessoa ou a aplicação vai usar as credenciais dessa entidade para acessar a AWS. Você deve anexar uma política à entidade que concede a eles as permissões corretas no Amazon IVS.
Para começar a usar, consulte Como criar seu primeiro usuário e grupo delegados do IAM no Guia do usuário do IAM.
-
Quero permitir que pessoas fora de minha conta da AWS acessem meus recursos do Amazon IVS.
Você pode criar uma função que os usuários de outras contas ou pessoas fora da sua organização possam usar para acessar seus recursos. Você pode especificar quem é confiável para assumir a função. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos. Para obter informações relacionadas, consulte estas seções do Guia do usuário do IAM:
Para aprender ... Consulte … Como fornecer acesso aos seus recursos em contas da AWS que você possui Fornecer acesso a um usuário do IAM em outra conta da AWS de sua propriedade
Fornecer acesso aos seus recursos para contas da AWS de terceiros Como fornecer acesso por meio da federação de identidades Fornecer acesso aos usuários autenticados externamente (federação de identidades)
A diferença entre usar funções e políticas baseadas em recurso para acesso entre contas