Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración MediaLive como entidad de confianza
Un administrador de IAM debe tener en cuenta los permisos especiales que se MediaLive requieren si su organización va a utilizar un dispositivo Link como fuente de un MediaConnect flujo.
Debe configurarse MediaLive como una entidad de confianza. En una relación de entidad de confianza, un rol se identifica MediaLive como entidad de confianza. Hay una o más políticas asociadas a la función. Cada política contiene instrucciones sobre las operaciones y los recursos permitidos. La cadena entre la entidad de confianza, el rol y las políticas emite esta instrucción:
«MediaLive puede asumir esta función para realizar las operaciones con los recursos que se especifican en las políticas».
importante
Es posible que estés familiarizado con la función de entidad de confianza que MediaLive debe funcionar con los canales en tiempo de ejecución. Le recomendamos que cree un rol de entidad de confianza independiente MediaLive para usarlo con los dispositivos Link. Los permisos de los canales son muy complicados. Los permisos para los dispositivos son muy sencillos. Manténgalos separados.
Permisos que MediaLive requiere
Para poder utilizar un dispositivo Link, MediaLive debe tener permisos sobre las operaciones y los recursos MediaConnectand de Secrets Manager:
-
Para MediaConnect: MediaLive debe poder leer los detalles de un flujo.
-
Para Secrets Manager: el dispositivo siempre cifra el contenido al MediaConnect que envía. Cifra mediante una clave de cifrado que. MediaLiveprovides MediaLive a su vez, obtiene la clave de cifrado de un secreto que el MediaConnect usuario ha almacenado en Secrets Manager. Por lo tanto, MediaLive necesita permiso para leer la clave de cifrado que está almacenada en un secreto.
En esta tabla se especifican las operaciones y los recursos necesarios.
Permisos | Nombre del servicio en IAM | Acciones | Recursos |
---|---|---|---|
Vea los detalles de un flujo | mediaconnect |
|
Todos los recursos de |
Obtenga la clave de cifrado del secreto. Consulte la explicación que aparece después de esta tabla. | secretsmanager |
|
El ARN de cada secreto que contiene una clave de cifrado a la que se MediaLive debe acceder |
Paso 1: Crear la política de IAM
En este paso, se crea una política que haga la siguiente declaración: «Permitir que un principal tenga acceso a las acciones de Secrets Manager especificadas en el recurso especificado». Tenga en cuenta que la política no especifica un principal. El principal se especifica en el siguiente paso, cuando se configura el rol de entidad de confianza.
Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación de la izquierda, elija Policies (Políticas). Selecciona Crear política y, a continuación, selecciona la pestaña JSON.
-
En el editor de políticas, borre el contenido del ejemplo y pegue lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "mediaconnect:DescribeFlow" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
Region
:account
:secret:secret name
" ] } ] } -
En la sección de recursos de secretsmanager, sustituye la región, la cuenta y el nombre secreto por valores reales.
-
Añade más líneas en la sección de Recursos o bien
secretsmanager
, una para cada secreto. Asegúrate de incluir una coma al final de todas las líneas, excepto la última. Por ejemplo:"Resource": [ "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01" ]
-
Asigna un nombre a la política que deje claro que esta política es para Link y un flujo. Por ejemplo,
medialiveForLinkFlowAccess
. -
Elija Create Policy (Crear política).
Paso 2: Configura el rol de entidad de confianza
En este paso, crea un rol que consta de una política de confianza («deja que MediaLive AssumeRole
tome la decisión») y una política (la política que acaba de crear). De esta forma, MediaLive tiene permiso para asumir el rol. Cuando asume el rol, adquiere los permisos especificados en la política.
-
En la consola de IAM, en el panel de navegación de la izquierda, elija Funciones y, a continuación, Crear función. Aparece el asistente de creación de roles. Este asistente le guía por los pasos para configurar una entidad de confianza y agregar permisos (mediante la adición de una política).
-
En la página Seleccione una entidad de confianza, elija la tarjeta de política de confianza personalizada. Aparece la sección Política de confianza personalizada, con un ejemplo de política.
-
Borre el ejemplo, copie el texto siguiente y péguelo en la sección Política de confianza personalizada. La sección Política de confianza personalizada ahora tiene este aspecto:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "medialive.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Elija Siguiente.
-
En la página Añadir permisos, busca la política que has creado (por ejemplo,
medialiveForLinkFlowAccess
) y selecciona la casilla de verificación. A continuación, elija Next. -
En la página de revisión, introduce un nombre para el rol. Por ejemplo,
medialiveRoleForLinkFlowAccess
. -
Elija Create role (Crear rol).