AWS Elemental MediaLive 的操作、资源和条件键
AWS Elemental MediaLive(服务前缀:medialive)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。
参考:
AWS Elemental MediaLive 定义的操作
您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AcceptInputDeviceTransfer | 授予接受输入设备传输的权限 | Write | |||
| BatchDelete | 授予删除通道、输入、输入安全组和多路传输的权限 | Write | |||
| BatchStart | 授予启动通道和多路传输的权限 | Write | |||
| BatchStop | 授予停止通道和多路传输的权限 | Write | |||
| BatchUpdateSchedule | 授予在通道的计划中添加和删除操作的权限 | Write | |||
| CancelInputDeviceTransfer | 授予取消输入设备传输的权限 | 写入 | |||
| ClaimDevice | 授予申请输入设备的权限 | 写入 | |||
| CreateChannel | 授予权限以创建通道 | 写入 | |||
| CreateChannelPlacementGroup | 授予权限以创建集群 | 写入 | |||
| CreateCloudWatchAlarmTemplate | 授予权限以创建 CloudWatch 警报模板 | 写入 | |||
| CreateCloudWatchAlarmTemplateGroup | 授予权限以创建 CloudWatch 警报模板组 | 写入 | |||
| CreateCluster | 授予权限以创建集群 | 写入 | |||
| CreateEventBridgeRuleTemplate | 授予权限以创建 EventBridge 规则模板 | 写入 | |||
| CreateEventBridgeRuleTemplateGroup | 授予权限以创建 EventBridge 规则模板组 | 写入 | |||
| CreateInput | 授予权限以创建输入 | Write | |||
| CreateInputSecurityGroup | 授予权限以创建输入安全组 | Write | |||
| CreateMultiplex | 授予权限以创建多路传输 | Write | |||
| CreateMultiplexProgram | 授予权限以创建多路复用程序 | 写入 | |||
| CreateNetwork | 授予权限以创建网络 | 写入 | |||
| CreateNode | 授予权限以创建节点 | 写入 | |||
| CreateNodeRegistrationScript | 授予权限以创建节点注册脚本 | 写入 | |||
| CreatePartnerInput | 授予权限以创建合作伙伴输入 | 写入 | |||
| CreateSignalMap | 授予权限以创建信号映射 | 写入 | |||
| CreateTags | 授予权限以为通道、输入、输入安全组、多路传输、预留、节点、网络、集群、通道替换组、信号映射、模板组和模版创建标签 | 标记 | |||
| DeleteChannel | 授予权限以删除通道 | 写入 | |||
| DeleteChannelPlacementGroup | 授予权限以删除集群 | 写入 | |||
| DeleteCloudWatchAlarmTemplate | 授予权限以删除 CloudWatch 警报模板 | 写入 | |||
| DeleteCloudWatchAlarmTemplateGroup | 授予权限以删除 CloudWatch 警报模板组 | 写入 | |||
| DeleteCluster | 授予权限以删除集群 | 写入 | |||
| DeleteEventBridgeRuleTemplate | 授予权限以删除 EventBridge 规则模板 | 写入 | |||
| DeleteEventBridgeRuleTemplateGroup | 授予权限以删除 EventBridge 规则模板组 | 写入 | |||
| DeleteInput | 授予权限以删除输入 | Write | |||
| DeleteInputSecurityGroup | 授予权限以删除输入安全组 | Write | |||
| DeleteMultiplex | 授予权限以删除多路传输 | Write | |||
| DeleteMultiplexProgram | 授予权限以删除多路复用程序 | 写入 | |||
| DeleteNetwork | 授予权限以删除网络 | 写入 | |||
| DeleteNode | 授予权限以删除节点 | 写入 | |||
| DeleteReservation | 授予权限以删除过期的预留 | Write | |||
| DeleteSchedule | 授予删除通道所有计划操作的权限 | 写入 | |||
| DeleteSignalMap | 授予权限以删除信号映射 | 写入 | |||
| DeleteTags | 授予权限以从通道、输入、输入安全组、多路传输、预留、节点、集群、网络、通道替换组、信号映射、模板组和模版中删除标签 | 标记 | |||
| DescribeAccountConfiguration | 授予权限以查看客户的账户配置 | 读取 | |||
| DescribeChannel | 授予权限以获取有关通道的详细信息 | 读取 | |||
| DescribeChannelPlacementGroup | 授予权限以描述通道位置组 | 读取 | |||
| DescribeCluster | 授予权限以描述集群 | 读取 | |||
| DescribeInput | 授予权限以描述输入 | Read | |||
| DescribeInputDevice | 授予权限以描述输入设备 | Read | |||
| DescribeInputDeviceThumbnail | 授予权限以描述输入设备缩略图 | Read | |||
| DescribeInputSecurityGroup | 授予权限以描述输入安全组 | Read | |||
| DescribeMultiplex | 授予权限以描述多路传输 | Read | |||
| DescribeMultiplexProgram | 授予权限以描述多路复用程序 | 读取 | |||
| DescribeNetwork | 授予权限以描述网络 | 读取 | |||
| DescribeNode | 授予权限以描述节点 | 读取 | |||
| DescribeOffering | 授予权限以获取有关预留产品的详细信息 | Read | |||
| DescribeReservation | 授予权限以获取有关预留的详细信息 | Read | |||
| DescribeSchedule | 授予查看在通道上计划的操作列表的权限 | 读取 | |||
| DescribeThumbnails | 授予权限以查看渠道的缩略图 | 读取 | |||
| GetCloudWatchAlarmTemplate | 授予权限以获取 CloudWatch 警报模板 | 读取 | |||
| GetCloudWatchAlarmTemplateGroup | 授予权限以获取 CloudWatch 警报模板组 | 读取 | |||
| GetEventBridgeRuleTemplate | 授予权限以获取 EventBridge 规则模板 | 读取 | |||
| GetEventBridgeRuleTemplateGroup | 授予权限以获取 EventBridge 规则模板组 | 读取 | |||
| GetSignalMap | 授予权限以获取信号映射 | 读取 | |||
| ListChannelPlacementGroups | 授予权限以列出通道位置组 | 列出 | |||
| ListChannels | 授予权限以列出通道 | 列出 | |||
| ListCloudWatchAlarmTemplateGroups | 授予权限以列出 CloudWatch 警报模板组 | 列出 | |||
| ListCloudWatchAlarmTemplates | 授予权限以列出 CloudWatch 警报模板 | 列出 | |||
| ListClusters | 授予权限以列出集群 | 列出 | |||
| ListEventBridgeRuleTemplateGroups | 授予权限以列出 EventBridge 规则模板组 | 列出 | |||
| ListEventBridgeRuleTemplates | 授予权限以列出 EventBridge 规则模板 | 列出 | |||
| ListInputDeviceTransfers | 授予列出输入设备传输的权限 | List | |||
| ListInputDevices | 授予权限以列出输入设备 | List | |||
| ListInputSecurityGroups | 授予权限以列出输入安全组 | List | |||
| ListInputs | 授予权限以列出输入 | List | |||
| ListMultiplexPrograms | 授予权限以列出多路复用程序 | List | |||
| ListMultiplexes | 授予权限以列出多路传输 | 列出 | |||
| ListNetworks | 授予权限以列出网络 | 列出 | |||
| ListNodes | 授予权限以列出节点 | 列出 | |||
| ListOfferings | 授予权限以列出预留产品 | List | |||
| ListReservations | 授予权限以列出预留 | 列出 | |||
| ListSignalMaps | 授予权限以列出信号映射 | 列出 | |||
| ListTagsForResource | 授予权限以列出通道、输入、输入安全组、多路传输、预留、节点、集群、网络、通道替换组、信号映射、模板组和模版的标签 | 列出 | |||
| PollAnywhere | 向节点授予轮询集群的权限 | 写入 | |||
| PurchaseOffering | 授予权限以购买预留产品 | 写入 | |||
| RebootInputDevice | 授予重启输入设备的权限 | 写入 | |||
| RejectInputDeviceTransfer | 授予拒绝输入设备传输的权限 | 写入 | |||
| RestartChannelPipelines | 授予权限以在运行的通道上重新启动管道 | 写入 | |||
| StartChannel | 授予权限以启动通道 | 写入 | |||
| StartDeleteMonitorDeployment | 授予权限以开始删除信号映射的监控器 | 写入 | |||
| StartInputDevice | 授予权限以启动连接到 MediaConnect 流程的输入设备 | 写入 | |||
| StartInputDeviceMaintenanceWindow | 授予为输入设备启动维护时段的权限 | 写入 | |||
| StartMonitorDeployment | 授予权限以启动信号映射监控器部署 | 写入 | |||
| StartMultiplex | 授予权限以启动多路传输 | 写入 | |||
| StartUpdateSignalMap | 授予权限以启动信号映射更新 | 写入 | |||
| StopChannel | 授予权限以停止通道 | 写入 | |||
| StopInputDevice | 授予权限以停止连接到 MediaConnect 流程的输入设备 | 写入 | |||
| StopMultiplex | 授予权限以停止多路传输 | 写入 | |||
| SubmitAnywhereStateChange | 向节点授予向集群提交状态更改的权限 | 写入 | |||
| TransferInputDevice | 授予传输输入设备的权限 | 写入 | |||
| UpdateAccountConfiguration | 授予权限以更新客户的账户配置 | 写入 | |||
| UpdateChannel | 授予权限以更新通道 | Write | |||
| UpdateChannelClass | 授予权限以更新通道类 | 写入 | |||
| UpdateChannelPlacementGroup | 授予权限以更新节点 | 写入 | |||
| UpdateCloudWatchAlarmTemplate | 授予权限以更新 CloudWatch 警报模板 | 写入 | |||
| UpdateCloudWatchAlarmTemplateGroup | 授予权限以更新 CloudWatch 警报模板组 | 写入 | |||
| UpdateCluster | 授予权限以更新集群 | 写入 | |||
| UpdateEventBridgeRuleTemplate | 授予权限以更新 EventBridge 规则模板 | 写入 | |||
| UpdateEventBridgeRuleTemplateGroup | 授予权限以更新 EventBridge 规则模板组 | 写入 | |||
| UpdateInput | 授予权限以更新输入 | Write | |||
| UpdateInputDevice | 授予权限以更新输入设备 | Write | |||
| UpdateInputSecurityGroup | 授予权限以更新输入安全组 | Write | |||
| UpdateMultiplex | 授予权限以更新多路传输 | Write | |||
| UpdateMultiplexProgram | 授予权限以更新多路复用程序 | 写入 | |||
| UpdateNetwork | 授予权限以更新节点的状态 | 写入 | |||
| UpdateNode | 授予权限以更新节点 | 写入 | |||
| UpdateNodeState | 授予权限以更新节点的状态 | 写入 | |||
| UpdateReservation | 授予权限以更新预留 | Write |
AWS Elemental MediaLive 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| channel |
arn:${Partition}:medialive:${Region}:${Account}:channel:${ChannelId}
|
|
| input |
arn:${Partition}:medialive:${Region}:${Account}:input:${InputId}
|
|
| input-device |
arn:${Partition}:medialive:${Region}:${Account}:inputDevice:${DeviceId}
|
|
| input-security-group |
arn:${Partition}:medialive:${Region}:${Account}:inputSecurityGroup:${InputSecurityGroupId}
|
|
| multiplex |
arn:${Partition}:medialive:${Region}:${Account}:multiplex:${MultiplexId}
|
|
| reservation |
arn:${Partition}:medialive:${Region}:${Account}:reservation:${ReservationId}
|
|
| offering |
arn:${Partition}:medialive:${Region}:${Account}:offering:${OfferingId}
|
|
| signal-map |
arn:${Partition}:medialive:${Region}:${Account}:signal-map:${SignalMapId}
|
|
| cloudwatch-alarm-template-group |
arn:${Partition}:medialive:${Region}:${Account}:cloudwatch-alarm-template-group:${CloudWatchAlarmTemplateGroupId}
|
|
| cloudwatch-alarm-template |
arn:${Partition}:medialive:${Region}:${Account}:cloudwatch-alarm-template:${CloudWatchAlarmTemplateId}
|
|
| eventbridge-rule-template-group |
arn:${Partition}:medialive:${Region}:${Account}:eventbridge-rule-template-group:${EventBridgeRuleTemplateGroupId}
|
|
| eventbridge-rule-template |
arn:${Partition}:medialive:${Region}:${Account}:eventbridge-rule-template:${EventBridgeRuleTemplateId}
|
|
| cluster |
arn:${Partition}:medialive:${Region}:${Account}:cluster:${ClusterId}
|
|
| node |
arn:${Partition}:medialive:${Region}:${Account}:node:${ClusterId}/${NodeId}
|
|
| network |
arn:${Partition}:medialive:${Region}:${Account}:network:${NetworkId}
|
|
| channel-placement-group |
arn:${Partition}:medialive:${Region}:${Account}:channelPlacementGroup:${ClusterId}/${ChannelPlacementGroupId}
|
AWS Elemental MediaLive 的条件键
AWS Elemental MediaLive 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 按请求中传递的标签筛选访问权限 | String |
| aws:ResourceTag/${TagKey} | 按与资源关联的标签筛选访问权限 | String |
| aws:TagKeys | 按请求中传递的标签键筛选访问权限 | 字符串数组 |
