步驟 3:設定 IAM 許可
接下來,您必須建立 AWS Identity and Access Management (IAM) 政策,為使用者提供一組基本許可 (例如,用於建立 Amazon IVS 頻道、取得串流資訊以及自動錄製到 S3 的許可),並將該政策指派給使用者。您可以在建立新使用者時指派許可,也可以為現有的使用者新增許可。兩種程序如下所示。
如需詳細資訊 (例如,若要了解 IAM 使用者和政策、如何將政策附加到使用者、以及如何限制使用者可以使用 Amazon IVS 執行的動作),請參閱:
-
《IAM 使用者指南》中的建立 IAM 使用者
-
Amazon IVS 安全性 中有關 IAM 和「IVS 的受管政策」的資訊。
-
對於錄製到 S3 功能:使用服務連結角色和《Amazon IVS 使用者指南》中的 自動錄製至 Amazon S3
您可以對 Amazon IVS 使用現有的 AWS 受管政策,也可以建立新政策來自訂要授予一組使用者、群組或角色的許可。兩種方法皆在下面有所描述。
對 IVS 許可使用現有的政策
在大多數情況下,您會想要對 Amazon IVS 使用 AWS 受管政策。IVS 安全性的 IVS 的受管政策章節對它們進行了完整描述。
-
使用
IVSReadOnlyAccessAWS 受管政策可讓應用程式開發人員存取所有 IVS Get 和 List API 端點 (同時用於低延遲和即時串流)。 -
使用
IVSFullAccessAWS 受管政策可讓應用程式開發人員存取所有 IVS API 端點 (同時用於低延遲和即時串流)。
選用:為 Amazon IVS 許可建立自訂政策
請遵循下列步驟:
-
登入 AWS 管理主控台,然後前往 https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在導覽窗格中,選擇政策,然後選擇建立政策。Specify permissions (指定許可) 視窗隨即開啟。
-
在指定許可視窗中,選擇 JSON 標籤,將以下 IVS 政策複製並貼上至政策編輯器文字區域。(此政策不包括所有 Amazon IVS 動作。您可以視需要新增/刪除 (允許/拒絕) 端點存取許可。如需有關 IVS 端點的詳細資訊,請參閱 IVS 低延遲串流 API 參考。)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ivs:CreateChannel", "ivs:CreateRecordingConfiguration", "ivs:GetChannel", "ivs:GetRecordingConfiguration", "ivs:GetStream", "ivs:GetStreamKey", "ivs:GetStreamSession", "ivs:ListChannels", "ivs:ListRecordingConfigurations", "ivs:ListStreamKeys", "ivs:ListStreams", "ivs:ListStreamSessions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "servicequotas:ListAWSDefaultServiceQuotas", "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota", "servicequotas:ListServiceQuotas", "servicequotas:ListServices", "servicequotas:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*" } ] } -
仍在指定許可視窗中,選擇下一步 (捲動至視窗底部即可看到此選項)。Review and create (審查並建立) 視窗隨即開啟。
-
在審查並建立視窗中,輸入政策名稱,並選擇性地新增描述。請記下政策名稱,因為您在建立使用者時要用到此資料 (如下)。選擇 Create policy (建立政策) (位於視窗底部)。
-
您會返回 IAM 主控台視窗,在其中看到一個橫幅,確認您的新政策已建立。
建立新使用者並新增許可
IAM 使用者存取金鑰
IAM 存取金鑰由存取金鑰 ID 和私密存取金鑰組成。這些金鑰用於簽署您對 AWS 提出的程式設計請求。如果您沒有存取金鑰,可以使用 AWS 管理主控台來建立。根據最佳實務,請勿建立根使用者存取金鑰。
您只能在建立存取金鑰時,檢視或下載私密存取金鑰。稍後您便無法復原。不過,您可以隨時建立新的存取金鑰;您必須具有執行必要 IAM 動作的許可。
請務必安全地儲存存取金鑰。切勿與第三方分享 (即使查詢似乎來自 Amazon)。如需詳細資訊,請參閱《IAM 使用者指南》中的管理 IAM 使用者的存取金鑰。
程序
請遵循下列步驟:
-
在導覽窗格中,選擇 Users (使用者),然後選擇 Create user (建立使用者)。Specify user details (指定使用者詳細資訊) 視窗隨即開啟。
-
在指定使用者詳細資訊視窗:
-
在 User details (使用者詳細資訊),輸入要建立的新 User name (使用者名稱)。
-
勾選提供使用者對 AWS 管理主控台的存取權。
-
出現提示時,選取我要建立 IAM 使用者。
-
在 主控台密碼 下選取 自動產生的密碼。
-
選取使用者必須在下次登入時建立新密碼。
-
選擇下一步。Set permissions (設定許可) 視窗隨即開啟。
-
-
在設定許可下,選取直接連接政策。Permissions policies (許可策略) 視窗隨即開啟。
-
在搜尋方塊中,輸入 IVS 政策名稱 (AWS 受管政策或之前建立的自訂政策)。找到後,勾選方塊以選取政策。
-
選擇 Next (下一步) (位於視窗底部)。Review and create (審查並建立) 視窗隨即開啟。
-
在 Review and create (審查並建立) 視窗中,確認所有使用者詳細資訊都正確無誤,然後選擇 Create user (建立使用者) (位於視窗底部)。
-
Retrieve password (擷取密碼) 視窗隨即開啟,其中包含您的主控台登入詳細資訊。安全地儲存此資訊以供日後參考。當您完成時,請選擇 Return to users list (返回使用者清單)。
為現有的使用者新增許可
請遵循下列步驟:
-
登入 AWS 管理主控台,然後前往 https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在導覽窗格中,選擇使用者,然後選擇要更新的現有使用者名稱。(按一下名稱來選擇名稱;請勿勾選選取方塊。)
-
在 Summary (摘要) 頁面的 Permissions (許可) 索引標籤中,選擇 Add permissions (新增許可)。Add permissions (新增許可) 視窗隨即開啟。
-
選取直接連接現有政策。Permissions policies (許可策略) 視窗隨即開啟。
-
在搜尋方塊中,輸入 IVS 政策名稱 (AWS 受管政策或之前建立的自訂政策)。找到政策後,勾選方塊以選取政策。
-
選擇 Next (下一步) (位於視窗底部)。Review (審查) 視窗隨即開啟。
-
在檢閱視窗上,選取新增許可 (位於視窗底部)。
-
在摘要頁面上,確認已新增 IVS 政策。
