本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 MediaLive 為信任的實體
如果您的組織將使用 Link 裝置作為 MediaConnect 流程的來源,則 IAM 管理員必須考慮所 MediaLive需的特殊許可。
您必須設定 MediaLive 為受信任的實體。在受信任的實體關聯中,角色會識別 MediaLive 為受信任的實體。一或多個原則附加至角色。而每個政策都包含允許操作和資源的相關陳述式。信任實體、角色與政策之間的鏈結會發出此陳述式:
「MediaLive 被允許擔任此角色,以便對策略中指定的資源執行操作。」
重要
您可能熟悉 MediaLive 需要在執行階段使用通道的受信任實體角色。建議您建立個別的受信任實體角色, MediaLive 以便與 Link 裝置搭配使用。頻道的權限非常複雜。設備的權限非常簡單。保持他們分開。
MediaLive 需要的權限
若要使用連結裝置, MediaLive 必須擁有 Secrets Manager 中的作業和資源 MediaConnectand 的權限:
-
對於 MediaConnect: MediaLive 必須能夠讀取有關流程的詳細資訊。
-
針對 Secrets Manager:裝置一律會加密傳送至 MediaConnect的內容。它使用加密密鑰進行加密。 MediaLiveprovides MediaLive 反過來會從 MediaConnect 使用者儲存在 Secret 管理員中的秘密取得加密金鑰。因此, MediaLive 需要權限才能讀取儲存在機密中的加密金鑰。
此表格指定必要的作業和資源。
許可 | IAM 中的服務名稱 | 動作 | 資源 |
---|---|---|---|
檢視流程的詳細資訊 | mediaconnect |
|
所有 資源 |
從密碼取得加密金鑰。請參閱此表格後面的說明。 | secretsmanager |
|
每個密鑰的 ARN,其中包含 MediaLive 需要訪問的加密密鑰 |
步驟 1:建立 IAM 政策
在此步驟中,您會建立使陳述式「讓主參與者可以存取指定資源上指定的 Secrets Manager 動作」的策略。請注意,原則不會指定主體。當您設定受信任的實體角色時,請在下一個步驟中指定主體。
登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/
。 -
在左側的導覽窗格中,選擇 Policies (政策)。選擇 Create Policy (建立政策),然後選擇 JSON 標籤。
-
在原則編輯器中,清除範例內容並貼上下列內容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "mediaconnect:DescribeFlow" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
Region
:account
:secret:secret name
" ] } ] } -
在 secretsmanager 的 [資源] 區段中,以實際值取代 [區域]、[帳戶] 和 [密碼名稱]。
-
在 [資源] 區段中新增更多行
secretsmanager
,或為每個密碼新增一行。確保在除最後一行以外的所有行的末尾都包含一個逗號。例如:"Resource": [ "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01" ]
-
為原則指定一個名稱,清楚表明此原則適用於連結和流程。例如
medialiveForLinkFlowAccess
。 -
選擇建立政策。
步驟 2:設定信任的實體角色
在此步驟中,您會建立包含信任原則 (「讓我們 MediaLive 呼叫AssumeRole
動作」) 和原則 (您剛才建立的原則) 的角色。通過這種方式, MediaLive 有權承擔角色。當它擔任角色時,它會取得策略中指定的權限。
-
在 IAM 主控台的左側導覽窗格中,選擇「角色」,然後選擇「建立角色」。這時系統顯示創建角色向導。此精靈會引導您完成設定受信任實體和新增權限 (透過新增原則) 的步驟。
-
在 [選取信任的實體] 頁面上,選擇 [自訂信任原則卡]。[自訂信任原則] 區段隨即出現,其中包含範例原則。
-
清除範例、複製下列文字,然後將文字貼到 [自訂信任原則] 區段中。[自訂信任原則] 區段現在看起來像這樣:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "medialive.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
選擇下一步。
-
在 [新增權限] 頁面上,尋找您建立的原則 (例如,
medialiveForLinkFlowAccess
),然後選取核取方塊。然後選擇下一步。 -
在複查頁面上,輸入角色的名稱。例如
medialiveRoleForLinkFlowAccess
。 -
選擇建立角色。