本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建策略和非管理角色
默认情况下,用户和角色没有创建或修改 MediaPackage 资源的权限。他们也无法使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或来执行任务 AWS API。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。管理员随后可以向角色添加 IAM 策略,用户可以代入这些角色。
要了解如何使用这些示例策略文档创建IAM基于身份的JSON策略,请参阅IAM用户指南中的创建IAM策略(控制台)。
有关由 MediaPackage定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《服务授权参考》 AWS Elemental MediaPackage中的操作、资源和条件密钥。ARNs
本节介绍如何创建策略和创建非管理角色,以便用户可以创建或修改 MediaPackage 资源。本部分还介绍您的用户如何担任该角色以授予安全临时凭证。
主题
(可选)步骤 1:为亚马逊创建IAM政策 CloudFront
如果您或您的用户将通过 AWS Elemental MediaPackage 实时控制台创建 Amazon CloudFront 分配,请创建允许访问的IAM策略 CloudFront。
有关 CloudFront 与一起使用的更多信息 MediaPackage,请参阅使用 CDN。
使用JSON策略编辑器创建策略
登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用。
-
在页面的顶部,选择 Create Policy(创建策略)。
-
在策略编辑器部分中,选择JSON选项。
-
输入以下JSON策略文档:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudfront:GetDistribution", "cloudfront:CreateDistributionWithTags", "cloudfront:UpdateDistribution", "cloudfront:CreateDistribution", "cloudfront:TagResource", "tag:GetResources" ], "Resource": "*" } ] }
-
选择下一步。
注意
您可以随时在 “可视化” 和 “JSON编辑器” 选项之间切换。但是,如果您进行更改或在可视化编辑器中选择 “下一步”,则IAM可能会重构您的策略以针对可视化编辑器对其进行优化。有关更多信息,请参阅《IAM用户指南》中的策略重组。
-
在查看并创建页面上,为您要创建的策略输入策略名称和描述(可选)。查看此策略中定义的权限以查看策略授予的权限。
-
选择创建策略可保存新策略。
(可选)步骤 2:为创建IAM策略 MediaPackage VOD
如果您或您的用户将在中使用视频点播 (VOD) 功能 MediaPackage,请创建允许访问mediapackage-vod
服务资源的IAM策略。
以下部分描述如何创建一个允许所有操作的策略和一个允许只读权限的策略。您可以通过添加或删除操作来自定义策略以适合您的工作流程。
完全VOD访问权限政策
此策略允许用户对所有VOD资源执行所有操作。
使用JSON策略编辑器创建策略
登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用。
-
在页面的顶部,选择 Create Policy(创建策略)。
-
在策略编辑器部分中,选择JSON选项。
-
输入以下JSON策略文档:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "mediapackage-vod:*", "Resource": "*" } ] }
-
选择下一步。
注意
您可以随时在 “可视化” 和 “JSON编辑器” 选项之间切换。但是,如果您进行更改或在可视化编辑器中选择 “下一步”,则IAM可能会重构您的策略以针对可视化编辑器对其进行优化。有关更多信息,请参阅《IAM用户指南》中的策略重组。
-
在查看并创建页面上,为您要创建的策略输入策略名称和描述(可选)。查看此策略中定义的权限以查看策略授予的权限。
-
选择创建策略可保存新策略。
只读VOD访问策略
此策略允许用户查看所有VOD资源。
使用JSON策略编辑器创建策略
登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用。
-
在页面的顶部,选择 Create Policy(创建策略)。
-
在策略编辑器部分中,选择JSON选项。
-
输入以下JSON策略文档:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "mediapackage-vod:List*", "mediapackage-vod:Describe*" ], "Resource": "*" } ] }
-
选择下一步。
注意
您可以随时在 “可视化” 和 “JSON编辑器” 选项之间切换。但是,如果您进行更改或在可视化编辑器中选择 “下一步”,则IAM可能会重构您的策略以针对可视化编辑器对其进行优化。有关更多信息,请参阅《IAM用户指南》中的策略重组。
-
在查看并创建页面上,为您要创建的策略输入策略名称和描述(可选)。查看此策略中定义的权限以查看策略授予的权限。
-
选择创建策略可保存新策略。
步骤 3:在IAM控制台中创建角色
在IAM控制台中为您创建的每个策略创建一个角色。这允许用户担任角色,而不是将单个策略附加到每个用户。
在IAM控制台中创建角色
登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在 IAM 控制台的导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)。
-
在选择可信实体下,选择 AWS 账户。
-
在 “ AWS 帐户” 下,选择将担任此角色的用户所在的账户。
-
如果第三方将访问此角色,最佳做法是选择需要外部 ID。有关外部的更多信息IDs,请参阅《IAM用户指南》中的使用外部 ID 进行第三方访问。
-
最佳做法是要求多因素身份验证 (MFA)。您可以选中 “需要” 旁边的复选框MFA。有关的更多信息MFA,请参阅《IAM用户指南》中的多重身份验证 (MFA)。
-
-
选择下一步。
-
在 “权限策略” 下,搜索并添加具有相应 MediaPackage 权限级别的策略。
-
要访问实时功能,请选择下列选项之一:
-
用于AWSElementalMediaPackageFullAccess允许用户对中的所有实时资源执行所有操作 MediaPackage。
-
用于AWSElementalMediaPackageReadOnly为用户提供中所有实时资源的只读权限 MediaPackage。
-
-
要访问视频点播 (VOD) 功能,请使用您在中创建的政策(可选)步骤 2:为创建IAM策略 MediaPackage VOD。
-
-
添加策略以允许 MediaPackage 控制台代表用户向 Amaz CloudWatch on 拨打电话。如果没有这些策略,用户API只能使用该服务(不能使用控制台)。请选择以下选项之一:
-
用于ReadOnlyAccess允许 MediaPackage 与 CloudWatch您通信并向用户提供对您账户中所有 AWS 服务的只读访问权限。
-
使用CloudWatchReadOnlyAccessCloudWatchEventsReadOnlyAccess、和CloudWatchLogsReadOnlyAccess MediaPackage 允许与 CloudWatch用户通信并限制用户的只读访问权限 CloudWatch。
-
-
(可选)如果此用户要通过 MediaPackage 控制台创建 Amazon CloudFront 分配,请附上您在中创建的政策(可选)步骤 1:为亚马逊创建IAM政策 CloudFront。
-
(可选)设置权限边界。这是一项高级特征,可用于服务角色,但不可用于服务相关角色。
展开 “权限边界” 部分,然后选择 “使用权限边界” 来控制最大角色权限。 IAM包括您账户中的 AWS 托管和客户托管政策的列表。
选择要用于权限边界的策略,或选择创建策略以打开新的浏览器选项卡并从头开始创建新策略。有关更多信息,请参阅《IAM用户指南》中的创建IAM策略。
在您创建策略后,关闭该选项卡并返回到您的原始选项卡,以选择要用于权限边界的策略。
-
验证是否已将正确的策略添加到该组,然后选择下一步。
-
如果可能,输入有助于识别该角色的作用的角色名称或角色名称后缀。角色名称在您的 AWS 账户内必须是唯一的。名称不区分大小写。例如,您无法同时创建名为
PRODROLE
和prodrole
的角色。由于多个单位可能引用该角色,角色创建完毕后无法编辑角色名称。 -
(可选)对于 Description(描述),输入新角色的描述。
-
在 Step 1: Select trusted entities(步骤 1:选择可信实体)或 Step 2: Select permissions(步骤 2:选择权限)部分中的 Edit(编辑),以编辑角色的用户案例和权限。
-
(可选)通过以键值对的形式附加标签来向用户添加元数据。有关在中使用标签的更多信息IAM,请参阅《IAM用户指南》中的为IAM资源添加标签。
-
检查角色,然后选择创建角色。
步骤 4:从IAM控制台担任角色或 AWS CLI
查看以下资源,了解如何向用户授予代入该角色的权限,以及用户如何从IAM控制台或切换到该角色 AWS CLI。
-
有关授予用户切换角色权限的更多信息,请参阅《用户指南》中的授予IAM用户切换角色的权限。
-
有关切换角色(控制台)的更多信息,请参阅《IAM用户指南》中的切换到角色(控制台)。
-
有关切换角色 (AWS CLI) 的更多信息,请参阅《IAM用户指南》中的切换到IAM角色 (AWSCLI)。