确定访问要求 - MediaLive

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

确定访问要求

您必须确定 MediaLive 在部署中交互的服务。然后,对于每个服务,您必须确定 MediaLive 需要访问的操作和资源。最后,您必须设计处理这些要求的 IAM 策略。

在您的组织中,必须由了解组织的资源访问要求的人员来执行此要求分析。此人必须了解 MediaLive 通道是否要求限制对其他 AWS 服务中资源的访问权限。例如,此人应确定是否需要限制通道对 Amazon S3 中存储桶的访问权限,使得指定通道可以访问一些存储桶但不能访问另一些存储桶。

确定 MediaLive 的访问要求

  1. 有关 MediaLive 通常需要访问的服务的信息,请参阅 可信实体的访问要求 中的表格。确定您的部署使用其中哪些服务以及需要哪些操作。

  2. 在服务中,确定您需要创建的策略数。您是否需要多个针对不同工作流的对象和操作的不同组合?是否需要出于安全原因单独保留这些组合?

    具体而言,确定您是否需要为不同工作流访问不同资源,以及是否必须将访问权限限制为特定资源。例如在 AWS Systems Manager Parameter Store 中,您可能有属于不同工作流的密码,并且可能希望对于任意给定工作流,只允许特定用户访问此密码。

    如果对于对象、操作和资源,不同工作流有不同要求,则对于该服务,您需要适用于各个工作流的单独策略。

  3. 设计各个策略:确定允许(或不允许)的对象、操作以及策略中允许(或不允许)的资源。

  4. 确定您是否已发现托管策略涵盖了任意策略。

  5. 对于每个工作流,确定您对该工作流使用的所有服务需要的策略。创建策略时,您将能够在策略中包含多项服务。不需要为每个单独的服务创建一个策略。

  6. 确定您需要的角色的数量。对于每个唯一的策略组合,您需要一个角色。

  7. 将名称分配到您已确定的所有策略和角色。确保不要在这些名称中包含敏感识别信息(例如客户账户名称)。