Steuerung des Zugriffs auf Elastic Transcoder - Amazon Elastic Transcoder
Steuerung des Zugriffs auf Elastic TranscoderPipeline-Servicerollen

Sparen Sie Kosten und erhalten Sie mehr Funktionen mit AWS Elemental MediaConvert

MediaConvert ist ein neuerer dateibasierter Videotranskodierungsdienst, der eine umfassende Suite erweiterter Transcodierungsfunktionen bietet. On-Demand-Tarife beginnen bei 0,0075 USD/Minute. Lesen Sie mehr.

Verwenden Sie bereits Amazon Elastic Transcoder? Es ist einfach, darauf zu migrieren. MediaConvert Weitere Informationen finden Sie in dieser Übersicht, die wertvolle Informationen über den Migrationsprozess und Links zu weiteren Ressourcen enthält.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuerung des Zugriffs auf Elastic Transcoder

Mit Amazon Elastic Transcoder können Sie AWS Identity and Access Management (IAM) steuern, was Benutzer mit Elastic Transcoder tun können, und den Zugriff von Elastic Transcoder auf andere Services kontrollieren, die Elastic Transcoder benötigt. AWS Sie steuern den Zugriff mithilfe von IAM-Richtlinien. Dabei handelt es sich um eine Sammlung von Berechtigungen, die einem IAM-Benutzer, einer IAM-Gruppe oder einer Rolle zugeordnet werden können.

Steuerung des Zugriffs auf Elastic Transcoder

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Um den Zugriff von Elastic Transcoder auf andere AWS Services zu kontrollieren, können Sie Servicerollen erstellen. Dies sind IAM-Rollen, die Sie beim Erstellen einer Pipeline zuweisen und die Elastic Transcoder selbst Berechtigungen zur Ausführung der mit der Transcodierung verbundenen Aufgaben gewähren.

Um eine Rolle für eine (IAM-Konsole) zu erstellen AWS -Service

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich der IAM-Konsole auf Rollen, und wählen Sie dann Rolle erstellen.

  3. Wählen Sie für Vertrauenswürdige Entität die Option AWS -Service aus.

  4. Wählen Sie für Service oder Anwendungsfall einen Service und dann den Anwendungsfall aus. Anwendungsfälle werden durch den Service definiert, damit die für den Service erforderliche Vertrauensrichtlinie enthalten ist.

  5. Wählen Sie Weiter aus.

  6. Bei Berechtigungsrichtlinien hängen die Optionen vom ausgewählten Anwendungsfall ab:

    • Wenn der Dienst die Berechtigungen für die Rolle definiert, können Sie keine Berechtigungsrichtlinien auswählen.

    • Wählen Sie aus einer begrenzten Anzahl von Berechtigungsrichtlinien aus.

    • Wählen Sie aus allen Berechtigungsrichtlinien aus.

    • Wählen Sie keine Berechtigungsrichtlinien aus, erstellen Sie die Richtlinien, nachdem die Rolle erstellt wurde, und fügen Sie die Richtlinien dann der Rolle hinzu.

  7. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen.

    1. Öffnen Sie den Abschnitt Berechtigungsgrenze festlegen und wählen Sie dann Eine Berechtigungsgrenze verwenden aus, um die maximalen Rollenberechtigungen zu steuern.

      IAM enthält eine Liste der AWS verwalteten und kundenverwalteten Richtlinien in Ihrem Konto.

    2. Wählen Sie die Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll.

  8. Wählen Sie Weiter aus.

  9. Die Optionen für den Rollennamen hängen vom Dienst ab:

    • Wenn der Dienst den Rollennamen definiert, können Sie den Rollennamen nicht bearbeiten.

    • Wenn der Dienst ein Präfix für den Rollennamen definiert, können Sie ein optionales Suffix eingeben.

    • Wenn der Dienst den Rollennamen nicht definiert, können Sie der Rolle einen Namen geben.

      Wichtig

      Beachten Sie beim Benennen einer Rolle Folgendes:

      • Rollennamen müssen innerhalb Ihres AWS-Konto Unternehmens eindeutig sein und können nicht von Fall zu Fall eindeutig sein.

        Erstellen Sie beispielsweise keine Rollen, die PRODROLE sowohl als auch benannt sindprodrole. Wenn ein Rollenname in einer Richtlinie oder als Teil eines ARN verwendet wird, unterscheidet der Rollenname zwischen Groß- und Kleinschreibung. Wenn Kunden jedoch ein Rollenname in der Konsole angezeigt wird, z. B. während des Anmeldevorgangs, wird die Groß- und Kleinschreibung nicht berücksichtigt.

      • Sie können den Namen der Rolle nicht bearbeiten, nachdem er erstellt wurde, da andere Entitäten möglicherweise auf die Rolle verweisen.

  10. (Optional) Geben Sie unter Beschreibung eine Beschreibung für die Rolle ein.

  11. (Optional) Um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten, wählen Sie in den Abschnitten Schritt 1: Vertrauenswürdige Entitäten auswählen oder Schritt 2: Berechtigungen hinzufügen die Option Bearbeiten aus.

  12. (Optional) Fügen Sie Tags als Schlüssel-Wert-Paare hinzu, um die Rolle leichter zu identifizieren, zu organisieren oder nach ihr zu suchen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von IAM-Ressourcen im IAM-Benutzerhandbuch.

  13. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

Ein Beispiel dafür, wie wichtig sowohl Benutzer- als auch Servicerollen während des Transcodierungsprozesses sind: Elastic Transcoder benötigt eine Servicerolle, um Dateien aus einem Amazon S3 S3-Bucket abzurufen und die transkodierten Dateien in einem anderen Amazon S3 S3-Bucket zu speichern, während ein Benutzer eine IAM-Rolle benötigt, die es ihm ermöglicht, einen Job in Elastic Transcoder zu erstellen.

Weitere Informationen zu IAM finden Sie im IAM-Benutzerhandbuch. Weitere Informationen zu Servicerollen finden Sie unter Rolle für einen Service erstellen. AWS

Beispielrichtlinien für Elastic Transcoder

Damit Benutzer administrative Funktionen von Elastic Transcoder ausführen können, wie z. B. das Erstellen von Pipelines und das Ausführen von Jobs, benötigen Sie eine Richtlinie, die Sie dem Benutzer zuordnen können. In diesem Abschnitt wird gezeigt, wie eine Richtlinie erstellt wird. Außerdem werden drei Richtlinien zur Steuerung des Zugriffs auf Elastic Transcoder-Operationen und auf die Operationen verwandter Dienste beschrieben, auf die Elastic Transcoder angewiesen ist. Sie können Benutzern Ihres AWS Kontos Zugriff auf alle Elastic Transcoder Transcoder-Operationen oder nur auf einen Teil davon gewähren.

Weitere Informationen zur Verwaltung von Richtlinien finden Sie unter Verwaltung von IAM-Richtlinien im IAM-Benutzerhandbuch.

So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

    Wenn Sie zum ersten Mal Policies (Richtlinien) auswählen, erscheint die Seite Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien). Wählen Sie Get Started.

  3. Wählen Sie oben auf der Seite Create policy (Richtlinie erstellen) aus.

  4. Wählen Sie im Bereich Policy editor (Richtlinien-Editor) die Option JSON aus.

  5. Geben oder fügen Sie ein JSON-Richtliniendokument ein. Weitere Informationen zur IAM-Richtliniensprache finden Sie in der IAM-JSON-Richtlinienreferenz.

  6. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Weiter.

    Anmerkung

    Sie können jederzeit zwischen den Editoroptionen Visual und JSON wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual-Editor Weiter wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Richtlinienrestrukturierung im IAM-Benutzerhandbuch.

  7. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS Management Console, können Sie eine JSON- oder YAML-Richtlinienvorlage generieren, die Sie in AWS CloudFormation Vorlagen verwenden können.

    Wählen Sie dazu im Richtlinien-Editor Aktionen und anschließend CloudFormationVorlage generieren aus. Weitere Informationen AWS CloudFormation finden Sie in der Referenz zum AWS Identity and Access Management Ressourcentyp im AWS CloudFormation Benutzerhandbuch.

  8. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie Next (Weiter) aus.

  9. Geben Sie auf der Seite Prüfen und erstellen unter Richtlinienname einen Namen und unter Beschreibung (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.

  10. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von IAM-Ressourcen im IAM-Benutzerhandbuch.

  11. Wählen Sie Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Geben Sie Elastic Transcoder und Amazon S3 schreibgeschützten Zugriff

Die folgende Richtlinie gewährt nur Lesezugriff auf Elastic Transcoder Transcoder-Ressourcen und Zugriff auf den Listenbetrieb von Amazon S3. Diese Richtlinie ist nützlich, wenn es darum geht, transkodierte Dateien zu finden und anzusehen und um zu sehen, welche Buckets für das IAM-Konto verfügbar sind, wer aber nicht die Möglichkeit benötigt, Ressourcen oder Dateien zu aktualisieren, zu erstellen oder zu löschen. Diese Richtlinie ermöglicht auch das Auflisten aller verfügbaren Pipelines, Voreinstellungen und Jobs für das IAM-Konto. Wie Sie den Zugriff auf einen bestimmte Bucket beschränken, erfahren Sie unter Beschränkung des Zugriffs auf bestimmte Ressourcen.

{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "elastictranscoder:Read*",
            "elastictranscoder:List*",
            "s3:List*"
         ],
         "Resource": "*"
      }
   ]
}

Erteilen Sie die Erlaubnis, Jobs zu erstellen

Die folgende Richtlinie gewährt die Rechte zum Auflisten und Abrufen aller Elastic Transcoder Transcoder-Ressourcen, die mit dem Konto verknüpft sind, Jobs und Presets zu erstellen oder zu ändern und die Listenoperationen von Amazon S3 und Amazon SNS zu verwenden.

Diese Richtlinie ist nützlich, um Transcodierungseinstellungen zu ändern und Voreinstellungen oder Jobs zu erstellen oder zu löschen. Das Erstellen, Aktualisieren oder Löschen von Pipelines, Amazon S3-Buckets oder Amazon SNS-Benachrichtigungen ist nicht möglich.

{
    "Version":"2012-10-17",
    "Statement": [
       {
           "Effect": "Allow",
           "Action": [
               "elastictranscoder:Read*",
               "elastictranscoder:List*",
               "elastictranscoder:*Job",
               "elastictranscoder:*Preset",
               "s3:List*",
               "sns:List*"
           ],
           "Resource": "*"
       }
    ]
}

Elastic Transcoder Transcoder-Operationen mit kontrollierbarem Zugriff

Im Folgenden finden Sie die vollständige Liste der Elastic Transcoder Transcoder-Operationen.


    elastictranscoder:CancelJob
    elastictranscoder:CreateJob
    elastictranscoder:CreatePipeline
    elastictranscoder:CreatePreset
    elastictranscoder:DeletePipeline
    elastictranscoder:DeletePreset
    elastictranscoder:ListJobsByPipeline
    elastictranscoder:ListJobsByStatus
    elastictranscoder:ListPipelines
    elastictranscoder:ListPresets
    elastictranscoder:ReadJob
    elastictranscoder:ReadPipeline
    elastictranscoder:ReadPreset
    elastictranscoder:TestRole
    elastictranscoder:UpdatePipeline
    elastictranscoder:UpdatePipelineNotifications
    elastictranscoder:UpdatePipelineStatus

Beschränkung des Zugriffs auf bestimmte Ressourcen

Neben der Zugriffsbeschränkung für Operationen (Aktionen) können Sie auch den Zugriff auf bestimmte Aufträge, Pipelines und Voreinstellungen weiter einschränken. Damit gewähren Sie "Berechtigungen auf Ressourcenebene".

Um den Zugriff auf eine Teilmenge der Elastic Transcoder Transcoder-Ressourcen einzuschränken oder zu gewähren, fügen Sie den ARN der Ressource in das Ressourcenelement Ihrer Richtlinie ein. Elastic Transcoder Transcoder-ARNs haben das folgende allgemeine Format:

arn:aws:elastictranscoder:region:account:resource/ID

Ersetzen Sie die Variablen region, account, resource und ID durch gültige Werte. Gültige Werte können beispielsweise folgende sein:

  • region: Der Name der Region. Eine Liste der Regionen finden Sie hier. Um alle Regionen anzugeben, verwenden Sie ein Platzhalterzeichen (*). Sie müssen einen Wert angeben.

  • Konto: Die ID des Kontos. AWS Sie müssen einen Wert angeben.

  • resource: Der Typ der Elastic Transcoder Transcoder-Ressource;preset,pipeline, oder. job

  • ID: Die ID der spezifischen Voreinstellung, Pipeline oder des Jobs oder *, um alle Ressourcen des angegebenen Typs anzugeben, die dem aktuellen AWS Konto zugeordnet sind.

Der folgende ARN gibt zum Beispiel alle Voreinstellungsressourcen in der Region us-east-2 für das Konto 111122223333 an:

arn:aws:elastictranscoder:us-east-2:111122223333:preset/*

Sie finden den ARN einer Ressource, indem Sie auf das Symbol mit dem Vergrößerungsglas ( ) neben dem Ressourcennamen auf der Konsolenseite der Pipeline, der Voreinstellung bzw. des Auftrags klicken.

Weitere Informationen finden Sie unter Resources (Ressourcen) im IAM User Guide (IAM-Benutzerhandbuch).

Beispiel für eine Richtlinie zur Beschränkung von Ressourcen

Die folgende Richtlinie gewährt Berechtigungen für den DOC-EXAMPLE-BUCKET in Amazon S3 genannten Bucket, Listen- und Leseberechtigungen für alles in Elastic Transcoder sowie die Erlaubnis, Jobs in der genannten Pipeline zu erstellen. example_pipeline

Diese Richtlinie eignet sich für SDK- und CLI-Benutzer, die sehen müssen, welche Dateien und Ressourcen verfügbar sind, um mithilfe dieser Ressourcen eigene Transcodierungsaufträge zu erstellen. Sie erlaubt nicht das Aktualisieren oder Löschen von Ressourcen, das Erstellen von Ressourcen, die keine Aufträge sind, oder das Arbeiten mit Ressourcen, die sich von denen hier angegebenen Ressourcen unterscheiden. Sie gilt nicht für Konsolenbenutzer.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"1",
         "Effect":"Allow",
         "Action":[
            "s3:ListAllMyBuckets",
            "s3:GetBucketLocation",
            "s3:ListBucket",
            "s3:GetObject",
            "s3:PutObject"
            ],
         "Resource":[
             "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
             "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ]
      },
      {
         "Sid":"2",
         "Effect":"Allow",
         "Action":[
            "elastictranscoder:List*",
            "elastictranscoder:Read*",
            "elastictranscoder:CreateJob"
         ],
         "Resource":[
            "arn:aws:elastictranscoder:region:account:pipeline/example_pipeline",
            "arn:aws:elastictranscoder:region:account:job/*"
         ]
      }
   ]
}

Servicerollen für Elastic Transcoder-Pipelines

Wenn Sie eine Pipeline erstellen, die Ihre Transcodierungsaufträge verwaltet, müssen Sie eine IAM-Servicerolle angeben. Die IAM-Dienstrolle verfügt über eine Richtlinie, die die Berechtigungen festlegt, die von dieser Pipeline für die Transcodierung verwendet werden.

Beim Angeben einer Rolle für eine Pipeline haben Sie zwei Möglichkeiten:

  • Verwenden Sie die Standardrolle, die nur die Berechtigungen enthält, die Elastic Transcoder für die Transcodierung benötigt. Wenn Sie die Elastic Transcoder Transcoder-Konsole verwenden, um Ihre Pipelines zu erstellen, bietet Ihnen die Konsole bei der Erstellung Ihrer ersten Pipeline die Option, die Standardrolle automatisch zu erstellen. Sie benötigen Administratorrechte, um IAM-Servicerollen zu erstellen, einschließlich der Standardrolle.

  • Wählen Sie eine vorhandene Rolle aus. In diesem Fall müssen Sie die Rolle zuvor in IAM erstellt und der Rolle eine Richtlinie angehängt haben, die Elastic Transcoder ausreichende Berechtigungen für die Transcodierung Ihrer Dateien gewährt. Dies ist nützlich, wenn Sie die Rolle auch für andere AWS Dienste verwenden möchten.

Die Standard-IAM-Rolle für Pipelines

Mit der von Elastic Transcoder erstellten Standardrolle kann Elastic Transcoder die folgenden Operationen ausführen:

  • Rufen Sie eine Datei aus einem Amazon S3 S3-Bucket zur Transcodierung ab.

  • Listet den Inhalt eines beliebigen Amazon S3 S3-Buckets auf.

  • Speichern Sie eine transkodierte Datei in einem Amazon S3 S3-Bucket.

  • Erstellen Sie einen mehrteiligen Amazon S3 S3-Upload.

  • Veröffentlichen von Benachrichtigungen zu einem beliebigen SNS-Thema

Die Richtlinie verhindert, dass Elastic Transcoder die folgenden Operationen ausführt:

  • Führen Sie alle Amazon SNS SNS-Löschvorgänge durch oder fügen Sie eine Richtlinienerklärung zu einem Thema hinzu oder entfernen Sie sie.

  • Führen Sie alle Amazon S3 S3-Bucket- oder Elementlöschvorgänge durch oder fügen Sie eine Bucket-Richtlinie hinzu, entfernen oder ändern Sie sie.

Die Definition der Zugriffs(berechtigungs-)richtline für die Standardrolle sieht wie folgt aus:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"1",
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:ListBucket",
            "s3:Put*",
            "s3:*MultipartUpload*"
         ],
         "Resource":"*"
      },
      {
         "Sid":"2",
         "Effect":"Allow",
         "Action":"sns:Publish",
         "Resource":"*"
      },
      {
         "Sid":"3",
         "Effect":"Deny",
         "Action":[
            "sns:*Permission*",
            "sns:*Delete*",
            "sns:*Remove*",
            "s3:*Policy*",
            "s3:*Delete*"
         ],
         "Resource":"*"
      }
   ]
}

Unterstützte Regionen für dienstverknüpfte Elastic Transcoder-Rollen

Elastic Transcoder unterstützt die Verwendung von serviceverknüpften Rollen in den folgenden Regionen.

Name der Region Region-ID Support in Elastic Transcoder
USA Ost (Nord-Virginia) us-east-1 Ja
USA Ost (Ohio) us-east-2 Nein
USA West (Nordkalifornien) us-west-1 Ja
USA West (Oregon) us-west-2 Ja
Asien-Pazifik (Mumbai) ap-south-1 Ja
Asien-Pazifik (Osaka) ap-northeast-3 Nein
Asien-Pazifik (Seoul) ap-northeast-2 Nein
Asien-Pazifik (Singapur) ap-southeast-1 Ja
Asien-Pazifik (Sydney) ap-southeast-2 Ja
Asien-Pazifik (Tokyo) ap-northeast-1 Ja
Kanada (Zentral) ca-central-1 Nein
Europa (Frankfurt) eu-central-1 Nein
Europa (Irland) eu-west-1 Ja
Europa (London) eu-west-2 Nein
Europa (Paris) eu-west-3 Nein
Südamerika (São Paulo) sa-east-1 Nein