本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 3:在IAM控制台中创建角色
在IAM控制台中为您创建的每个策略创建一个角色。这允许用户担任角色,而不是将单个策略附加到每个用户。
在IAM控制台中创建角色
登录 AWS Management Console 然后打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在IAM控制台的导航窗格中,选择角色,然后选择创建角色。
-
在 “选择可信实体” 下,选择 AWS 账户。
-
Und er A AWS 帐户,选择将担任此角色的用户所在的帐户。
-
如果第三方将访问此角色,最佳做法是选择需要外部 ID。有关外部的更多信息IDs,请参阅《IAM用户指南》中的使用外部 ID 进行第三方访问。
-
最佳做法是要求多因素身份验证 (MFA)。您可以选中 “需要” 旁边的复选框MFA。有关的更多信息MFA,请参阅《IAM用户指南》中的多重身份验证 (MFA)。
-
-
选择下一步。
-
在 “权限策略” 下,搜索并添加具有相应 MediaPackage 权限级别的策略。
-
要访问实时功能,请选择下列选项之一:
-
用于AWSElementalMediaPackageFullAccess允许用户对中的所有实时资源执行所有操作 MediaPackage。
-
用于AWSElementalMediaPackageReadOnly为用户提供中所有实时资源的只读权限 MediaPackage。
-
-
要访问视频点播 (VOD) 功能,请使用您在中创建的政策(可选)步骤 2:为创建IAM策略 MediaPackage VOD。
-
-
添加策略以允许 MediaPackage 控制台代表用户向 Amaz CloudWatch on 拨打电话。如果没有这些策略,用户API只能使用该服务(不能使用控制台)。请选择以下选项之一:
-
用于ReadOnlyAccess允许与所有 MediaPackage 人通信 CloudWatch,并向用户提供对所有人的只读访问权限 AWS 您账户上的服务。
-
使用CloudWatchReadOnlyAccessCloudWatchEventsReadOnlyAccess、和CloudWatchLogsReadOnlyAccess MediaPackage 允许与 CloudWatch用户通信并限制用户的只读访问权限 CloudWatch。
-
-
(可选)如果此用户要通过 MediaPackage 控制台创建 Amazon CloudFront 分配,请附上您在中创建的政策(可选)步骤 1:为亚马逊创建IAM政策 CloudFront。
-
(可选)设置权限边界。这是一项高级特征,可用于服务角色,但不可用于服务相关角色。
展开 Permissions boundary(权限边界)部分,然后选择 Use a permissions boundary to control the maximum role permissions(使用权限边界控制最大角色权限)。IAM包括清单 AWS 您账户中的托管策略和客户托管政策。
选择要用于权限边界的策略,或选择创建策略以打开新的浏览器选项卡并从头开始创建新策略。有关更多信息,请参阅《IAM用户指南》中的创建IAM策略。
在您创建策略后,关闭该选项卡并返回到您的原始选项卡,以选择要用于权限边界的策略。
-
验证是否已将正确的策略添加到该组,然后选择下一步。
-
如果可能,输入有助于识别该角色的作用的角色名称或角色名称后缀。角色名称在您的角色中必须是唯一的 AWS 账户。 它们不按大小写区分。例如,您无法同时创建名为
PRODROLE和prodrole的角色。由于多个单位可能引用该角色,角色创建完毕后无法编辑角色名称。 -
(可选)对于 Description(描述),输入新角色的描述。
-
在 Step 1: Select trusted entities(步骤 1:选择可信实体)或 Step 2: Select permissions(步骤 2:选择权限)部分中的 Edit(编辑),以编辑角色的用户案例和权限。
-
(可选)通过以键值对的形式附加标签来向用户添加元数据。有关在中使用标签的更多信息IAM,请参阅《IAM用户指南》中的为IAM资源添加标签。
-
检查角色,然后选择创建角色。
