Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Elemental MediaPackage Permitir el acceso a otros AWS servicios
Algunas funciones requieren que permitas el acceso MediaPackage a otros AWS servicios, como Amazon S3 y AWS Secrets Manager (Secrets Manager). Para permitir este acceso, cree un rol de IAM y una directiva con los permisos adecuados. En los pasos siguientes se describe cómo crear roles y políticas para las entidades de MediaPackage .
Paso 1: cree una política
La IAM política define los permisos que AWS Elemental MediaPackage (MediaPackage) requiere para acceder a otros servicios.
Para los flujos de trabajo de vídeo bajo demanda (VOD), cree una política que MediaPackage permita leer el contenido del bucket de Amazon S3, verificar el método de facturación y recuperar el contenido. En cuanto al método de facturación, MediaPackage debes comprobar que el segmento no exige que el solicitante pague las solicitudes. Si el depósito requestPaymentestá activado, no MediaPackage podrá ingerir contenido de ese depósito.
-
Para live-to-VOD los flujos de trabajo, cree una política que MediaPackage permita leer el contenido del bucket de Amazon S3 y almacenar el live-to-VOD activo en él.
-
Para la autorización de la red de entrega de contenido (CDN), cree una política que MediaPackage permita leer un secreto en Secrets Manager.
En las secciones siguientes se describe cómo crear estas políticas.
Si está utilizando Amazon S3 MediaPackage para ingerir un VOD activo de un bucket de Amazon S3 y empaquetarlo y entregarlo, necesita una política que le permita hacer lo siguiente en Amazon S3:
-
GetObject
- MediaPackage puede recuperar el VOD activo del depósito. -
GetBucketLocation
- MediaPackage puede recuperar la región del cubo. El depósito debe estar en la misma región que los MediaPackage VOD recursos. -
GetBucketRequestPayment
- MediaPackage puede recuperar la información de la solicitud de pago. MediaPackage utiliza esta información para comprobar que el depósito no requiere que el solicitante pague por las solicitudes de contenido.
Si también lo utilizas MediaPackage para la recolección de live-to-VOD activos, añade la PutObject
acción a la política. Para obtener más información sobre la política requerida para los live-to-VOD flujos de trabajo, consultePolítica de live-to-VOD flujos de trabajo.
Para usar el editor JSON de políticas para crear una política
Inicie sesión en AWS Management Console y abra la IAM consola en https://console.aws.amazon.com/iam/
. -
En el panel de navegación de la izquierda, elija Políticas.
Si es la primera vez que elige Políticas, aparecerá la página Welcome to Managed Policies (Bienvenido a políticas administradas). Elija Comenzar.
-
En la parte superior de la página, seleccione Crear política.
-
En la sección del editor de políticas, selecciona la JSONopción.
-
Introduzca el siguiente documento JSON de política:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject", "s3:GetBucketLocation", "s3:GetBucketRequestPayment", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
bucket_name
/*", "arn:aws:s3:::bucket_name
" ], "Effect": "Allow" } ] } -
Elija Next (Siguiente).
nota
Puede cambiar entre las opciones visual y de JSONeditor en cualquier momento. Sin embargo, si realiza cambios o selecciona Siguiente en el editor visual, IAM podría reestructurar su política para optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas en la Guía del IAM usuario.
-
En la página Revisar y crear, introduzca el Nombre de la política y la Descripción (opcional) para la política que está creando. Revise los Permisos definidos en esta política para ver los permisos que concede la política.
-
Elija Crear política para guardar la nueva política.
Si MediaPackage solía recopilar un live-to-VOD activo de una transmisión en directo, necesita una política que le permita hacer lo siguiente en Amazon S3:
-
PutObject
: MediaPackage puede guardar el VOD activo en el depósito. -
GetBucketLocation
: MediaPackage puede recuperar la región del cubo. El depósito debe estar en la misma AWS región que los MediaPackage VOD recursos.
Si también lo utiliza MediaPackage para la entrega de VOD activos, añada estas acciones a la política: GetObject
yGetBucketRequestPayment
. Para obtener más información sobre la política requerida para los VOD flujos de trabajo, consultePolítica de acceso a Amazon S3 para VOD flujos de trabajo.
Para usar el editor JSON de políticas para crear una política
Inicie sesión en AWS Management Console y abra la IAM consola en https://console.aws.amazon.com/iam/
. -
En el panel de navegación de la izquierda, elija Políticas.
Si es la primera vez que elige Políticas, aparecerá la página Welcome to Managed Policies (Bienvenido a políticas administradas). Elija Comenzar.
-
En la parte superior de la página, seleccione Crear política.
-
En la sección del editor de políticas, selecciona la JSONopción.
-
Introduzca el siguiente documento JSON de política:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:PutObject", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::
bucket_name
/*", "arn:aws:s3:::bucket_name
" ], "Effect": "Allow" } ] } -
Elija Next (Siguiente).
nota
Puede cambiar entre las opciones visual y de JSONeditor en cualquier momento. Sin embargo, si realiza cambios o selecciona Siguiente en el editor visual, IAM podría reestructurar su política para optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas en la Guía del IAM usuario.
-
En la página Revisar y crear, introduzca el Nombre de la política y la Descripción (opcional) para la política que está creando. Revise los Permisos definidos en esta política para ver los permisos que concede la política.
-
Elija Crear política para guardar la nueva política.
Si utilizas encabezados de autorización de la red de entrega de contenido (CDN) para restringir el acceso a tus puntos de MediaPackage conexión, necesitas una política que te permita hacer lo siguiente en Secrets Manager:
-
GetSecretValue
- MediaPackage puede recuperar el código de autorización cifrado de una versión del secreto. -
DescribeSecret
- MediaPackage puede recuperar los detalles del secreto, excluyendo los campos cifrados. -
ListSecrets
- MediaPackage puede recuperar una lista de secretos de la AWS cuenta. -
ListSecretVersionIds
: MediaPackage puede recuperar todas las versiones adjuntas al secreto especificado.
nota
No necesita una política independiente para cada secreto que almacene en Secrets Manager. Si creas una política como la que se describe en el siguiente procedimiento, MediaPackage podrás acceder a todos los secretos de tu cuenta en esta región.
Para usar el editor JSON de políticas para crear una política
Inicie sesión en AWS Management Console y abra la IAM consola en https://console.aws.amazon.com/iam/
. -
En el panel de navegación de la izquierda, elija Políticas.
Si es la primera vez que elige Políticas, aparecerá la página Welcome to Managed Policies (Bienvenido a políticas administradas). Elija Comenzar.
-
En la parte superior de la página, seleccione Crear política.
-
En la sección del editor de políticas, selecciona la JSONopción.
-
Introduzca el siguiente documento JSON de política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "arn:aws:secretsmanager:
region
:account-id
:secret:secret-name
" ] }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::account-id
:role/role-name
" } ] } -
Elija Next (Siguiente).
nota
Puede cambiar entre las opciones visual y de JSONeditor en cualquier momento. Sin embargo, si realiza cambios o selecciona Siguiente en el editor visual, IAM podría reestructurar su política para optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas en la Guía del IAM usuario.
-
En la página Revisar y crear, introduzca el Nombre de la política y la Descripción (opcional) para la política que está creando. Revise los Permisos definidos en esta política para ver los permisos que concede la política.
-
Elija Crear política para guardar la nueva política.
Paso 2: Cree un rol
Un IAMrol es una IAM identidad que puedes crear en tu cuenta y que tiene permisos específicos. Un IAM rol es similar al de un IAM usuario en el sentido de que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en él AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. Cree un rol que AWS Elemental MediaPackage asuma al ingerir contenido fuente de Amazon S3.
Al crear el rol, eliges Amazon Elastic Compute Cloud (AmazonEC2) como la entidad de confianza que puede asumir el rol porque no MediaPackage está disponible para su selección. EnPaso 3: Modifique la relación de confianza, cambias la entidad de confianza a MediaPackage.
Para obtener información sobre la creación de un rol de servicio, consulte Creación de un rol para delegar permisos a un AWS servicio en la Guía del IAM usuario.
Paso 3: Modifique la relación de confianza
La relación de confianza define qué entidades pueden asumir el rol que creó en Paso 2: Cree un rol. Cuando creaste el rol y estableciste la relación de confianza, elegiste a Amazon EC2 como entidad de confianza. Modifica el rol para que la relación de confianza se establezca entre tu AWS cuenta y AWS Elemental MediaPackage.
Para cambiar la relación de confianza a MediaPackage
-
Acceda al rol que creó en Paso 2: Cree un rol.
Si todavía no aparece el rol, en el panel de navegación de la consola de IAM, seleccione Roles. Busque el rol que creó y selecciónelo.
-
En la página Summary (Resumen) del rol, seleccione Trust relationships (Relaciones de confianza).
-
Elija Editar relación de confianza.
-
En la página Edit Trust Relationship (Editar relación de confianza), en Policy Document (Documento de política), cambie
ec2.amazonaws.com
amediapackage.amazonaws.com
.El documento de política debe tener ahora el siguiente aspecto:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "mediapackage.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Elija Actualizar política de confianza.
-
En la página de resumen, anote el valor de Rol ARN. Se usa ARN cuando ingiere contenido fuente para flujos de trabajo de vídeo bajo demanda (VOD). Se ARN ve así:
arn:aws:iam::
111122223333
:role/role-name
En el ejemplo,
111122223333
es tu número de AWS cuenta.