建立政策和非管理角色 - AWS Elemental MediaPackage
(選用) 步驟 1:建立 Amazon IAM的政策 CloudFront(選用) 步驟 2:建立 IAM的政策 MediaPackage VOD步驟 3:在IAM主控台中建立角色步驟 4:從IAM主控台或 擔任角色 AWS CLI

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立政策和非管理角色

根據預設,使用者和角色不具備建立或修改 MediaPackage 資源的權限。他們也無法使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 來執行任務 AWS API。若要授予使用者對所需資源執行動作的許可,IAM管理員可以建立 IAM 政策。然後,管理員可以將IAM政策新增至角色,使用者可以擔任角色。

若要了解如何使用這些範例政策文件來建立以IAM身分為基礎的JSON政策,請參閱 IAM 使用者指南中的建立IAM政策 (主控台)

如需 定義的動作和資源類型的詳細資訊 MediaPackage,包括ARNs每個資源類型的 格式,請參閱服務授權參考中的 的動作、資源和條件索引鍵 AWS Elemental MediaPackage

本節說明如何建立政策並建立非管理角色,讓使用者可以建立或修改 MediaPackage 資源。本節也說明您的使用者如何擔任該角色,以授予安全且暫時的登入資料。

(選用) 步驟 1:建立 Amazon IAM的政策 CloudFront

如果您或您的使用者將從即時主控台建立 Amazon CloudFront AWS Elemental MediaPackage 分佈,請建立允許存取IAM的政策 CloudFront。

如需 CloudFront 搭配 使用 的詳細資訊 MediaPackage,請參閱 使用 CDN

使用JSON政策編輯器建立政策

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在左側的導覽窗格中,選擇 Policies (政策)

    如果這是您第一次選擇 Policies (政策),將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)

  3. 在頁面頂端,選擇 Create policy (建立政策)

  4. 政策編輯器區段中,選擇 JSON選項。

  5. 輸入下列JSON政策文件:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudfront:GetDistribution",
                "cloudfront:CreateDistributionWithTags",
                "cloudfront:UpdateDistribution",
                "cloudfront:CreateDistribution",
                "cloudfront:TagResource",
                "tag:GetResources"
            ],
            "Resource": "*"
        }
    ]
}

  6. 選擇 Next (下一步)

    注意

    您可以隨時在視覺化JSON編輯器選項之間切換。不過,如果您進行變更或在視覺化編輯器中選擇下一步, IAM可能會重組您的政策,以將其最佳化為視覺化編輯器。如需詳細資訊,請參閱IAM《 使用者指南》中的政策重組

  7. 檢視與建立頁面上,為您在建立的政策輸入政策名稱描述 (選用)。檢視此政策中定義的許可,來查看您的政策所授予的許可。

  8. 選擇 Create policy (建立政策) 儲存您的新政策。

(選用) 步驟 2:建立 IAM的政策 MediaPackage VOD

如果您或您的使用者將在 中使用隨選視訊 (VOD) 功能 MediaPackage,請建立允許存取mediapackage-vod服務資源IAM的政策。

以下章節說明如何建立允許所有動作的政策,以及允許唯讀權限的政策。透過新增或移除符合您的工作流程的動作,政策就能進行自訂。

完整VOD存取的政策

此政策允許使用者對所有VOD資源執行所有動作。

使用JSON政策編輯器建立政策

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在左側的導覽窗格中,選擇 Policies (政策)

    如果這是您第一次選擇 Policies (政策),將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)

  3. 在頁面頂端,選擇 Create policy (建立政策)

  4. 政策編輯器區段中,選擇 JSON選項。

  5. 輸入下列JSON政策文件:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "mediapackage-vod:*",
            "Resource": "*"
        }
    ]
}

  6. 選擇 Next (下一步)

    注意

    您可以隨時在視覺化JSON編輯器選項之間切換。不過,如果您在視覺化編輯器中進行變更或選擇下一步, IAM可能會重組您的政策,以將其最佳化為視覺化編輯器。如需詳細資訊,請參閱IAM《 使用者指南》中的政策重組

  7. 檢視與建立頁面上,為您在建立的政策輸入政策名稱描述 (選用)。檢視此政策中定義的許可,來查看您的政策所授予的許可。

  8. 選擇 Create policy (建立政策) 儲存您的新政策。

唯讀VOD存取的政策

此政策允許使用者檢視所有VOD資源。

使用JSON政策編輯器建立政策

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在左側的導覽窗格中,選擇 Policies (政策)

    如果這是您第一次選擇 Policies (政策),將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)

  3. 在頁面頂端,選擇 Create policy (建立政策)

  4. 政策編輯器區段中,選擇 JSON選項。

  5. 輸入下列JSON政策文件:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "mediapackage-vod:List*",
                "mediapackage-vod:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

  6. 選擇 Next (下一步)

    注意

    您可以隨時在視覺化JSON編輯器選項之間切換。不過,如果您進行變更或在視覺化編輯器中選擇下一步, IAM可能會重組您的政策,以將其最佳化為視覺化編輯器。如需詳細資訊,請參閱IAM《 使用者指南》中的政策重組

  7. 檢視與建立頁面上,為您在建立的政策輸入政策名稱描述 (選用)。檢視此政策中定義的許可,來查看您的政策所授予的許可。

  8. 選擇 Create policy (建立政策) 儲存您的新政策。

步驟 3:在IAM主控台中建立角色

在IAM主控台中為您建立的每個政策建立角色。這可讓使用者擔任角色,而不是將個別政策連接到每個使用者。

在IAM主控台中建立角色

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)

  3. 選取信任的實體下,選擇AWS 帳戶

  4. 在 AWS 帳戶下,選取具有將擔任此角色之使用者的帳戶。

    • 如果第三方將存取此角色,最佳實務是選取需要外部 ID。如需外部 的詳細資訊IDs,請參閱IAM《 使用者指南》中的使用外部 ID 進行第三方存取

    • 最佳實務是要求多重要素驗證 (MFA)。您可以選取需要 MFA旁的核取方塊。如需 的詳細資訊MFA,請參閱IAM《 使用者指南》中的多重要素驗證 (MFA)

  5. 選擇 Next (下一步)

  6. 許可政策下,搜尋並新增具有適當 MediaPackage 許可層級的政策。

    • 若要存取即時功能,請選擇下列其中一個選項:

      • 使用 AWSElementalMediaPackageFullAccess可讓使用者對所有 中的即時資源執行所有動作 MediaPackage。

      • 使用 AWSElementalMediaPackageReadOnly 為所有 中的即時資源提供使用者唯讀權限 MediaPackage。

    • 若要存取隨選影片 (VOD) 功能,請使用您在 中建立的政策(選用) 步驟 2:建立 IAM的政策 MediaPackage VOD

  7. 新增政策,以允許 MediaPackage 主控台代表使用者呼叫 Amazon CloudWatch。如果沒有這些政策,使用者API只能使用 服務 (而非 主控台)。請選擇下列其中一個選項:

    • 使用 ReadOnlyAccess MediaPackage 允許 與 通訊 CloudWatch,並提供使用者對您帳戶上所有 AWS 服務的唯讀存取權。

    • 使用 CloudWatchReadOnlyAccessCloudWatchEventsReadOnlyAccessCloudWatchLogsReadOnlyAccess MediaPackage 來允許 與 通訊 CloudWatch,並限制使用者的唯讀存取 CloudWatch。

  8. (選用) 如果此使用者會從 MediaPackage 主控台建立 Amazon CloudFront 分佈,請連接您在 中建立的政策(選用) 步驟 1:建立 Amazon IAM的政策 CloudFront

  9. (選用) 設定許可界限。這是進階功能,可用於服務角色,而不是服務連結的角色。

    1. 展開許可界限區段,然後選擇使用許可界限來控制最大角色許可。 IAM包含您帳戶中 AWS 受管和客戶受管政策的清單。

    2. 選取用於許可界限的政策,或者選擇 Create policy (建立政策) 以開啟新的瀏覽器標籤,並從頭建立新的政策。如需詳細資訊,請參閱IAM《 使用者指南》中的建立IAM政策

    3. 在您建立政策後,關閉該標籤並返回您的原始標籤,以選取用於許可界限的政策。

  10. 確認已將正確的政策新增至此群組,然後選擇下一步

  11. 如果可能,請輸入角色名稱或角色名稱後綴,以協助您識別此角色的用途。角色名稱在您的 AWS 帳戶內必須是獨一無二的。它們無法透過大小寫進行區分。例如,您無法建立名為 PRODROLEprodrole 的角色。因為有各種實體可能會參照角色,所以您無法在建立角色之後編輯角色名稱。

  12. (選用) 在 Description (說明) 中,輸入新角色的說明。

  13. Step 1: Select trusted entities (步驟 1:選取受信任的實體) 或者 Step 2: Select permissions (步驟 2:選取許可) 區段中選擇 Edit (編輯),可編輯角色的使用案例和許可。

  14. (選用) 藉由連接標籤作為鍵值對,將中繼資料新增至使用者。如需在 中使用標籤的詳細資訊IAM,請參閱IAM《 使用者指南》中的標記IAM資源

  15. 檢閱角色,然後選擇建立角色

步驟 4:從IAM主控台或 擔任角色 AWS CLI

檢視下列資源,以了解如何授予使用者擔任角色的許可,以及使用者如何從 IAM 主控台或 切換到角色 AWS CLI。