Control del acceso a Elastic Transcoder - Amazon Elastic Transcoder
Control del acceso a Elastic TranscoderFunciones de servicio para canalizaciones

Ahorre costes y obtenga más funciones con AWS Elemental MediaConvert

MediaConvert es un servicio de transcodificación de vídeo basado en archivos más reciente que ofrece un conjunto completo de funciones de transcodificación avanzadas, con tarifas a pedido a partir de 0,0075$ por minuto. Lea más.

¿Ya utiliza Amazon Elastic Transcoder? Es fácil migrar a él. MediaConvert Para obtener más información, consulte esta descripción general, que incluye información valiosa sobre el proceso de migración y enlaces a recursos adicionales.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control del acceso a Elastic Transcoder

Amazon Elastic Transcoder le permite AWS Identity and Access Management usar (IAM) para controlar lo que los usuarios pueden hacer con Elastic Transcoder y para controlar el acceso de Elastic Transcoder a otros servicios que requiere Elastic Transcoder. AWS Puede controlar el acceso mediante políticas de IAM, que son un conjunto de permisos que pueden asociarse a un usuario de IAM, un grupo de IAM o a un rol.

Control del acceso a Elastic Transcoder

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Para controlar el acceso de Elastic Transcoder a otros AWS servicios, puede crear roles de servicio. Se trata de roles de IAM que se asignan al crear una canalización y que dan a Elastic Transcoder permiso para realizar las tareas asociadas con la transcodificación.

Para crear un rol para una Servicio de AWS (consola de IAM)

  1. Inicie sesión en la consola de IAM AWS Management Console y ábrala en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, elija Crear rol.

  3. En Tipo de entidad de confianza, elija Servicio de AWS.

  4. En Servicio o caso de uso, seleccione un servicio y, a continuación, el caso de uso. Los casos de uso son definidos por el servicio de modo tal que ya incluyen la política de confianza que el servicio mismo requiere.

  5. Elija Siguiente.

  6. Para las Políticas de permisos, las opciones dependen del caso de uso que haya seleccionado:

    • Si el servicio define los permisos para el rol, no puede seleccionar políticas de permisos.

    • Seleccione entre un conjunto limitado de políticas de permisos.

    • Seleccione una de todas las políticas de permisos.

    • No seleccione ninguna política de permisos en este momento. Después de crear el rol, genere las políticas y luego asócielas al rol.

  7. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.

    1. Abra la sección Configurar límite de permisos y, a continuación, elija Utilizar un límite de permisos para controlar los permisos que puede tener el rol como máximo.

      IAM incluye una lista de las políticas AWS gestionadas y gestionadas por los clientes de tu cuenta.

    2. Seleccione la política que desea utilizar para el límite de permisos.

  8. Elija Siguiente.

  9. Para Nombre del rol, las opciones varían según el servicio:

    • Si el servicio define el nombre del rol, no podrá editarlo.

    • Si el servicio define un prefijo para el nombre del rol, puede ingresar un sufijo opcional.

    • Si el servicio no define el nombre del rol, podrá nombrarlo usted mismo.

      importante

      Cuando asigne un nombre a un rol, tenga en cuenta lo siguiente:

      • Los nombres de los roles deben ser únicos dentro de tu perfil Cuenta de AWS y no se pueden hacer únicos por mayúsculas y minúsculas.

        Por ejemplo, no puede crear roles denominados tanto PRODROLE como prodrole. Cuando se utiliza un nombre de rol en una política o como parte de un ARN, el nombre de rol distingue entre mayúsculas y minúsculas, sin embargo, cuando un nombre de rol les aparece a los clientes en la consola, como por ejemplo durante el proceso de inicio de sesión, el nombre de rol no distingue entre mayúsculas y minúsculas.

      • Dado que otras entidades podrían hacer referencia al rol, no es posible editar el nombre del rol una vez creado.

  10. (Opcional) En Descripción, ingrese una descripción para el rol.

  11. (Opcional) Para editar los casos de uso y los permisos de la función, en las secciones Paso 1: Seleccionar entidades confiables o en Paso 2: Agregar permisos, elija Editar.

  12. (Opcional) Para ayudar a identificar, organizar o buscar el rol, agregue etiquetas como pares clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM en la Guía de usuario de IAM.

  13. Revise el rol y, a continuación, elija Crear rol.

Como ejemplo de la importancia de las funciones de usuario y servicio durante el proceso de transcodificación, Elastic Transcoder necesita un rol de servicio con el fin de obtener archivos desde un bucket de Amazon S3 y almacenar los archivos transcodificados en otro bucket de Amazon S3, mientras que un usuario necesita un rol de IAM que le permita crear una tarea en Elastic Transcoder.

Para obtener más información acerca de IAM, consulte la guía del usuario de IAM. Para obtener más información sobre los roles de servicio, consulte Creación de un rol para un servicio de AWS.

Ejemplos de políticas para Elastic Transcoder

Para permitir a los usuarios realizar funciones administrativas de Elastic Transcoder como, por ejemplo, la creación de canalizaciones y la ejecución de tareas, tiene que contar con una política que pueda asociar al usuario. En esta sección se muestra cómo crear una política y también se muestran tres políticas para controlar el acceso a las operaciones de Elastic Transcoder y a las operaciones de los servicios relacionados en los que se basa Elastic Transcoder. Puede conceder a los usuarios de su AWS cuenta acceso a todas las operaciones de Elastic Transcoder o solo a un subconjunto de ellas.

Para obtener más información acerca de la administración de políticas, consulte Administración de políticas de IAM en la Guía del usuario de IAM.

Utilización del editor de política de JSON para la creación de una política

  1. Inicie sesión en la consola de IAM AWS Management Console y ábrala en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, elija Políticas.

    Si es la primera vez que elige Políticas, aparecerá la página Welcome to Managed Policies (Bienvenido a políticas administradas). Elija Comenzar.

  3. En la parte superior de la página, seleccione Crear política.

  4. En la sección Editor de políticas, seleccione la opción JSON.

  5. Introduzca o pegue un documento de política de JSON. Para obtener más información sobre el lenguaje de la política de IAM, consulte Referencia de políticas JSON de IAM.

  6. Resuelva las advertencias de seguridad, errores o advertencias generales generadas durante la validación de política y luego elija Siguiente.

    nota

    Puede alternar entre las opciones Visual y JSON del editor en todo momento. No obstante, si realiza cambios o selecciona Siguiente en la opción Visual del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de política en la Guía del usuario de IAM.

  7. (Opcional) Al crear o editar una política en AWS Management Console, puedes generar una plantilla de política JSON o YAML que puedes usar en AWS CloudFormation las plantillas.

    Para ello, en el editor de políticas, selecciona Acciones y, a continuación, selecciona Generar CloudFormation plantilla. Para obtener más información AWS CloudFormation, consulte la referencia sobre AWS Identity and Access Management los tipos de recursos en la Guía del AWS CloudFormation usuario.

  8. Cuando haya terminado de agregar permisos a la política, seleccione Siguiente.

  9. En la página Revisar y crear, introduzca el Nombre de la política y la Descripción (opcional) para la política que está creando. Revise los Permisos definidos en esta política para ver los permisos que concede la política.

  10. (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM en la Guía de usuario de IAM.

  11. Elija Crear política para guardar la nueva política.

Otorgue acceso de solo lectura a Elastic Transcoder y Amazon S3

La siguiente política concede acceso de solo lectura a los recursos de Elastic Transcoder y acceso a la operación de listado de Amazon S3. Esta política es útil para permitir encontrar y monitorizar archivos transcodificados y para ver qué buckets están disponibles para la cuenta de IAM, pero que no necesitan la capacidad para actualizar, crear o eliminar recursos o archivos. Esta política también permite enumerar todas las canalizaciones, elementos preestablecidos y tareas disponibles para la cuenta de IAM. Para restringir el acceso a un bucket particular, consulte Restricción del acceso a determinados recursos.

{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "elastictranscoder:Read*",
            "elastictranscoder:List*",
            "s3:List*"
         ],
         "Resource": "*"
      }
   ]
}

Dar a los usuarios permiso para crear tareas

La siguiente política concede permisos para enumerar y obtener todos los recursos de Elastic Transcoder asociados con la cuenta, crear o modificar tareas y elementos preestablecidos, y usar las operaciones de listado de Amazon S3 y Amazon SNS.

Esta política es útil para modificar los ajustes de transcodificación y la capacidad de crear o eliminar elementos preseleccionados o tareas. No permite crear, actualizar o eliminar canalizaciones, buckets de Amazon S3 o notificaciones de Amazon SNS.

{
    "Version":"2012-10-17",
    "Statement": [
       {
           "Effect": "Allow",
           "Action": [
               "elastictranscoder:Read*",
               "elastictranscoder:List*",
               "elastictranscoder:*Job",
               "elastictranscoder:*Preset",
               "s3:List*",
               "sns:List*"
           ],
           "Resource": "*"
       }
    ]
}

Operaciones de Elastic Transcoder con acceso controlable

A continuación se muestra la lista completa de operaciones de Elastic Transcoder.


    elastictranscoder:CancelJob
    elastictranscoder:CreateJob
    elastictranscoder:CreatePipeline
    elastictranscoder:CreatePreset
    elastictranscoder:DeletePipeline
    elastictranscoder:DeletePreset
    elastictranscoder:ListJobsByPipeline
    elastictranscoder:ListJobsByStatus
    elastictranscoder:ListPipelines
    elastictranscoder:ListPresets
    elastictranscoder:ReadJob
    elastictranscoder:ReadPipeline
    elastictranscoder:ReadPreset
    elastictranscoder:TestRole
    elastictranscoder:UpdatePipeline
    elastictranscoder:UpdatePipelineNotifications
    elastictranscoder:UpdatePipelineStatus

Restricción del acceso a determinados recursos

Además de la restricción del acceso a las operaciones (acciones), puede restringir aún más el acceso a determinadas tareas, canalizaciones y elementos preestablecidos, lo que denominamos concesión de permisos de nivel de recursos.

Para restringir o conceder acceso a un subconjunto de recursos de Elastic Transcoder, incluya el ARN del recurso en el elemento de recurso de la política. Los ARN de Elastic Transcoder tienen el siguiente formato general:

arn:aws:elastictranscoder:region:account:resource/ID

Sustituya las variables region, account, resource e ID por valores válidos. Los valores válidos pueden ser los siguientes:

  • region: el nombre de la región. Hay una lista de regiones disponibles aquí. Para indicar todas las regiones, utilice un asterisco (*). Debe especificar un valor.

  • cuenta: el identificador de la AWS cuenta. Debe especificar un valor.

  • recurso: el tipo de recurso de Elastic Transcoder, preset, pipeline o job.

  • ID: el ID del ajuste preestablecido, canalización o trabajo específicos, o * para indicar todos los recursos del tipo especificado que están asociados a la AWS cuenta corriente.

Por ejemplo, los siguientes ARN especifican todos los recursos de elementos preestablecidos en la región us-east-2 de la cuenta 111122223333:

arn:aws:elastictranscoder:us-east-2:111122223333:preset/*

Puede encontrar el ARN de un recurso haciendo clic en el icono de la lupa ( ) junto al nombre del recurso en las páginas de la canalización, el elemento preestablecido o la tarea.

Para obtener más información, consulte Recursos en la Guía del usuario de IAM.

Ejemplo de política para la restricción de recursos

La siguiente política concede permisos al bucket denominado DOC-EXAMPLE-BUCKET en Amazon S3, permisos de listado y lectura para todo en Elastic Transcoder y permiso para crear tareas en la canalización denominada example_pipeline.

Esta política es útil para los usuarios de CLI y SDK que tienen que poder ver qué archivos y recursos están disponibles, y utilizar dichos recursos para crear sus propios trabajos de transcodificación. No permite actualizar o eliminar recursos, crear recursos que no sean tareas o trabajar con recursos distintos a los especificados aquí, y no funcionará para los usuarios de la consola.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"1",
         "Effect":"Allow",
         "Action":[
            "s3:ListAllMyBuckets",
            "s3:GetBucketLocation",
            "s3:ListBucket",
            "s3:GetObject",
            "s3:PutObject"
            ],
         "Resource":[
             "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
             "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ]
      },
      {
         "Sid":"2",
         "Effect":"Allow",
         "Action":[
            "elastictranscoder:List*",
            "elastictranscoder:Read*",
            "elastictranscoder:CreateJob"
         ],
         "Resource":[
            "arn:aws:elastictranscoder:region:account:pipeline/example_pipeline",
            "arn:aws:elastictranscoder:region:account:job/*"
         ]
      }
   ]
}

Roles de servicio para canalizaciones de Elastic Transcoder

Cuando se crea una canalización que administra las tareas de transcodificación, se debe especificar un rol de servicio de IAM. El rol de servicio de IAM tiene una política que especifica los permisos utilizados por dicha canalización para transcodificar.

Cuando especifica una función para una canalización tiene dos opciones:

  • Use el rol predeterminado, que incluye solo los permisos que Elastic Transcoder necesita para la transcodificación. Si utiliza la consola de Elastic Transcoder para crear las canalizaciones, al crear la primera canalización la consola le dará la opción de crear el rol predeterminada de forma automática. Debe tener permisos administrativos para crear roles de servicio de IAM, incluido el rol predeterminado.

  • Elija una función existente. En este caso, tiene que haber creado anteriormente el rol en IAM y asociar una política al rol que conceda a Elastic Transcoder permisos suficientes para transcodificar los archivos. Esto resulta útil si también desea utilizar el rol para otros servicios de AWS .

El rol de IAM predeterminado para canalizaciones

El rol predeterminado creado por Elastic Transcoder permite a Elastic Transcoder realizar las siguientes operaciones:

  • Obtener un archivo de un bucket de Amazon S3 para transcodificar.

  • Listar el contenido de cualquier bucket de Amazon S3.

  • Guardar un archivo transcodificado en un bucket de Amazon S3.

  • Crear una carga multiparte de Amazon S3.

  • Publicar una notificación en cualquier tema de SNS.

La política impide que Elastic Transcoder realice cualquiera de las siguientes operaciones:

  • Realizar cualquier operación de eliminación de Amazon SNS o añadir o quitar la declaración de una política en un tema.

  • Realizar cualquier operación de eliminación de elementos o buckets de Amazon S3, o añadir, eliminar o modificar una política de bucket.

La definición de la política de acceso (permiso) para el rol predeterminado tiene el siguiente aspecto:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"1",
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:ListBucket",
            "s3:Put*",
            "s3:*MultipartUpload*"
         ],
         "Resource":"*"
      },
      {
         "Sid":"2",
         "Effect":"Allow",
         "Action":"sns:Publish",
         "Resource":"*"
      },
      {
         "Sid":"3",
         "Effect":"Deny",
         "Action":[
            "sns:*Permission*",
            "sns:*Delete*",
            "sns:*Remove*",
            "s3:*Policy*",
            "s3:*Delete*"
         ],
         "Resource":"*"
      }
   ]
}

Regiones admitidas para roles vinculados a servicios de Elastic Transcoder

Elastic Transcoder admite el uso de roles vinculados al servicio en las siguientes regiones.

Nombre de la región Identidad de la región Compatibilidad con Elastic Transcoder
Este de EE. UU. (Norte de Virginia) us-east-1
Este de EE. UU. (Ohio) us-east-2 No
Oeste de EE. UU. (Norte de California) us-west-1
Oeste de EE. UU. (Oregón) us-west-2
Asia Pacífico (Mumbai) ap-south-1
Asia Pacífico (Osaka) ap-northeast-3 No
Asia Pacífico (Seúl) ap-northeast-2 No
Asia-Pacífico (Singapur) ap-southeast-1
Asia Pacífico (Sídney) ap-southeast-2
Asia-Pacífico (Tokio) ap-northeast-1
Canadá (centro) ca-central-1 No
Europa (Fráncfort) eu-central-1 No
Europa (Irlanda) eu-west-1
Europa (Londres) eu-west-2 No
Europa (París) eu-west-3 No
América del Sur (São Paulo) sa-east-1 No