本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 3:在IAM主控台中建立角色
在IAM主控台中為您建立的每個策略建立角色。這可讓使用者擔任角色,而不是將個別策略附加到每個使用者。
在IAM主控台中建立角色
登入 AWS Management Console 並在打開IAM控制台https://console.aws.amazon.com/iam/
。 -
在IAM主控台的導覽窗格中,選擇 [角色],然後選擇 [建立角色]。
-
在選取信任的實體下,選擇 AWS 帳戶。
-
在一個下 AWS 帳戶中,選取具有將擔任此角色之使用者的帳戶。
-
如果第三方將要存取此角色,最佳做法是選取 [需要外部 ID]。如需有關外部的詳細資訊IDs,請參閱《使用指南》中的〈使IAM用外部 ID 進行協力廠商存取〉。
-
最佳做法是要求多重要素驗證 (MFA)。您可以選取 [需要] 旁邊的核取方塊MFA。如需有關的詳細資訊MFA,請參閱IAM使用指南中的多重要素驗證 (MFA)。
-
-
選擇 Next (下一步)。
-
在 [權限原則] 下,搜尋並新增具有適當 MediaPackage 權限層級的原則。
-
若要存取即時功能,請選擇下列其中一個選項:
-
用於AWSElementalMediaPackageFullAccess允許使用者對中的所有即時資源執行所有動作 MediaPackage。
-
用於AWSElementalMediaPackageReadOnly為中的所有即時資源提供使用者唯讀權限 MediaPackage。
-
-
若要存取隨選視訊 (VOD) 功能,請使用您在中建立的政策(選擇性) 步驟 2:建立IAM政策 MediaPackage VOD。
-
-
新增政策以允許 MediaPackage 主控台代表使用者撥打 Amazon CloudWatch 電話。如果沒有這些策略,用戶API只能使用該服務(而不是控制台)。請選擇下列其中一個選項:
-
用於ReadOnlyAccess允許與 MediaPackage 之通訊 CloudWatch,並提供使用者對所有人的唯讀存取權 AWS 您帳戶上的服務。
-
使用CloudWatchReadOnlyAccessCloudWatchEventsReadOnlyAccess、和允許與CloudWatchLogsReadOnlyAccess使 MediaPackage 用者通訊 CloudWatch,並限制使用者的唯讀存取權限 CloudWatch。
-
-
(選擇性) 如果此使用者將從 MediaPackage 主控台建立 Amazon CloudFront 分發,請附加您在中建立的政策(可選)步驟 1:為 Amazon 創建IAM政策 CloudFront。
-
(選用) 設定許可界限。這是進階功能,可用於服務角色,而不是服務連結的角色。
展開 Permissions boundary (許可界限) 區段,並選擇 Use a permissions boundary to control the maximum role permissions (使用許可界限來控制角色許可上限)。IAM包括一個列表 AWS 您帳戶中的受管理和客戶管理政策。
選取用於許可界限的政策,或者選擇 Create policy (建立政策) 以開啟新的瀏覽器標籤,並從頭建立新的政策。如需詳細資訊,請參閱《使用指南》中的IAM〈建立IAM策略〉。
在您建立政策後,關閉該標籤並返回您的原始標籤,以選取用於許可界限的政策。
-
確認已將正確的原則新增至此群組,然後選擇 [下一步]。
-
如果可能,請輸入角色名稱或角色名稱字尾,以協助您識別此角色的用途。角色名稱必須是唯一的 AWS 帳戶。 他們沒有區分大小寫。例如,您無法建立名為
PRODROLE和prodrole的角色。因為有各種實體可能會參照角色,所以您無法在建立角色之後編輯角色名稱。 -
(選用) 在 Description (說明) 中,輸入新角色的說明。
-
在 Step 1: Select trusted entities (步驟 1:選取受信任的實體) 或者 Step 2: Select permissions (步驟 2:選取許可) 區段中選擇 Edit (編輯),可編輯角色的使用案例和許可。
-
(選用) 藉由連接標籤作為鍵值對,將中繼資料新增至使用者。若要取得有關在中使用標籤的更多資訊IAM,請參閱《使IAM用指南》中的標記IAM資源
-
檢閱角色,然後選擇建立角色。
