本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置 MediaLive 为可信实体
如果您的组织要使用 Link 设备作为 MediaConnect 流程的来源,IAM 管理员必须考虑 MediaLive所需的特殊权限。
您必须设置 MediaLive 为可信实体。在可信实体关系中,角色标识 MediaLive 为可信实体。一个或多个策略已附加到该角色。每个策略包含有关所允许操作和资源的声明。可信实体、角色和策略之间的关联组成了此声明:
“MediaLive 允许担任此角色,以便对策略中指定的资源执行操作。”
重要
您可能熟悉 MediaLive 需要在运行时使用渠道的可信实体角色。我们建议您创建一个单独的可信实体角色 MediaLive 以用于 Link 设备。频道的权限非常复杂。设备的权限非常简单。将它们分开。
MediaLive 需要的权限
要使用 Link 设备, MediaLive 必须拥有 Secrets Manager MediaConnectand 中的操作和资源的权限:
-
对于 MediaConnect: MediaLive 必须能够读取有关流程的详细信息。
-
对于 Secrets Manager:设备始终对其发送到 MediaConnect的内容进行加密。它使用加密密钥进行加密,. MediaLiveprovides MediaLive 反过来又从 MediaConnect 用户存储在 Secrets Manager 中的密钥中获取加密密钥。因此, MediaLive 需要权限才能读取存储在机密中的加密密钥。
此表指定了所需的操作和资源。
权限 | IAM 中的服务名称 | 操作 | 资源 |
---|---|---|---|
查看流程的详细信息 | mediaconnect |
|
所有资源 |
从密钥中获取加密密钥。参见此表后面的解释。 | secretsmanager |
|
包含 MediaLive 需要访问的加密密钥的每个密钥的 ARN |
步骤 1:创建 IAM 策略
在此步骤中,您将创建一个策略,声明为 “允许委托人访问指定资源上的指定 Secrets Manager 操作”。请注意,该政策未指定委托人。在下一步中,在设置可信实体角色时,您可以指定委托人。
登录 AWS Management Console 并打开 IAM 控制台,网址为 https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。选择 Create policy(创建策略),然后选择 JSON 选项卡。
-
在策略编辑器中,清除示例内容并粘贴以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "mediaconnect:DescribeFlow" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
Region
:account
:secret:secret name
" ] } ] } -
在 secretsmanager 的 “资源” 部分中,将区域、账户和密钥名称替换为实际值。
-
在 “资源” 部分添加更多行
secretsmanager
,或者为每个密钥添加一行。确保在除最后一行之外的所有行的末尾都包含一个逗号。例如:"Resource": [ "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01" ]
-
为该策略命名,以明确此策略适用于链接和流程。例如,
medialiveForLinkFlowAccess
。 -
选择 创建策略。
步骤 2:设置可信实体角色
在此步骤中,您将创建一个由信任策略(“让我们 MediaLive AssumeRole
采取行动”)和策略(您刚刚创建的策略)组成的角色。通过这种方式, MediaLive 拥有担任该角色的权限。当它担任该角色时,它将获得策略中指定的权限。
-
在 IAM 控制台的左侧导航窗格中,选择角色,然后选择创建角色。将出现 “创建角色” 向导。此向导将引导您完成设置可信实体和添加权限(通过添加策略)的步骤。
-
在选择可信实体页面上,选择自定义信任策略卡。此时将出现 “自定义信任策略” 部分,其中包含策略示例。
-
删除示例,复制以下文本,然后将文本粘贴到自定义信任策略部分。自定义信任策略部分现在如下所示:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "medialive.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
选择下一步。
-
在 “添加权限” 页面上,找到您创建的策略(例如,
medialiveForLinkFlowAccess
),然后选中相应的复选框。然后选择下一步。 -
在审阅页面上,输入角色的名称。例如,
medialiveRoleForLinkFlowAccess
。 -
选择 创建角色。