Configuration d'AWSElemental MediaConnect en tant que service de confiance

Vous pouvez utiliser AWS Identity and Access Management (IAM) pour contrôler quelles AWS ressources sont accessibles par quels utilisateurs et applications. Cela inclut la configuration d'autorisations permettant à AWS Elemental MediaConnect de communiquer avec d'autres services au nom de votre compte. Pour configurer AWS Elemental MediaConnect en tant qu'entité de confiance, vous devez effectuer les étapes suivantes :

Étape 1. — Créez une IAM politique qui régit les actions que vous souhaitez autoriser.

Étape 2 — Créez un IAM rôle avec une relation de confiance et associez la politique que vous avez créée à l'étape précédente.

Étape 1 : créer une IAM politique pour autoriser des actions spécifiques

Au cours de cette étape, vous créez une IAM politique qui régit les actions que vous souhaitez autoriser.

Pour créer la stratégie IAM

1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, choisissez Politiques.

3. Choisissez Créer une politique, puis sélectionnez l'JSONonglet.

4. Entrez une politique qui utilise le JSON format. Pour obtenir des exemples relatifs à , consultez les rubriques suivantes :

   • Exemple de politique de connexion à votre VPC

   • Exemples de politiques relatives aux secrets dans AWS Secrets Manager

5. Choisissez Review policy (Examiner une politique).

6. Dans Nom, entrez le nom de votre politique.

7. Choisissez Create Policy (Créer une politique).

Étape 2 : créer un IAM rôle avec une relation de confiance

À l'étape 1, vous avez créé une IAM politique qui régit les actions que vous souhaitez autoriser. Au cours de cette étape, vous créez un IAM rôle et attribuez la politique à ce rôle. Ensuite, vous définissez AWS Elemental MediaConnect comme une entité de confiance qui peut assumer le rôle.

Pour créer un rôle avec une relation de confiance

1. Dans le volet de navigation de la IAM console, sélectionnez Rôles.

2. Sur la page Rôle, choisissez Créer un rôle.

3. Sur la page Créer un rôle, dans Sélectionner le type d'entité approuvée, choisissez service AWS (la valeur par défaut).

4. Pour Choisir le service qui utilisera ce rôle, choisissez EC2.

   Vous choisissez EC2 car il n' MediaConnect est pas inclus dans cette liste actuellement. En choisissantEC2, vous pouvez créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu deEC2.

5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

6. Pour Joindre des politiques d'autorisation, entrez le nom de la politique que vous avez créée à l'étape 1.

7. Cochez la case à côté du nom de la politique, puis choisissez Suivant : Tags.

8. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balisesIAM, consultez la section Balisage IAM des entités dans le guide de l'IAMutilisateur.

9. Choisissez Suivant : vérification.

10. Pour Nom du rôle (Role name), saisissez un nom. Le nom MediaConnectAccessRole est réservé, vous ne pouvez donc pas l'utiliser. Utilisez plutôt un nom comprenant MediaConnect, qui décrit l'objectif de ce rôle.

11. Pour la description du rôle, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle.

12. Sélectionnez Créer un rôle.

13. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer en sélectionnant Afficher le rôle.

14. Choisissez l'onglet Relations de confiance, puis sélectionnez Modifier la politique de confiance.

15. dans la fenêtre Modifier la politique de confiance, apportez les modifications suivantes à JSON :

    • Pour le service, remplacez ec2.amazonaws.com par mediaconnect.amazonaws.com

    • Pour plus de sécurité, définissez des conditions spécifiques pour la politique de confiance. Cela se limitera MediaConnect à l'utilisation des seules ressources de votre compte. Pour ce faire, utilisez une condition globale telle que l'ID de compte, le flux ARN ou les deux. Consultez l'exemple suivant de politique de confiance conditionnelle. Pour plus d'informations sur les avantages en matière de sécurité liés à la situation mondiale, consultez la section Prévention interservices de la confusion des adjoints.

      Note

      L'exemple suivant utilise à la fois l'ID de compte et les ARN conditions de flux. Votre politique sera différente si vous n'utilisez pas les deux conditions. Si vous ne connaissez pas l'intégralité ARN du flux ou si vous spécifiez plusieurs flux, utilisez la clé de condition contextuelle aws:SourceArn globale avec des caractères génériques (*) pour les parties inconnues duARN. Par exemple, arn:aws:mediaconnect:*:111122223333:*.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "Service": "mediaconnect.amazonaws.com"
                },
                "Action": "sts:AssumeRole",
                "Condition": {
                    "StringEquals": {
                        "aws:SourceAccount": "111122223333"
                    },
                    "ArnLike": {
                        "aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:*:flow-name"
                    }
                }
            }
        ]
    }

16. Choisissez Mettre à jour une politique.

17. Sur la page Résumé, notez la valeur de Role ARN. Il se présente comme suit : arn:aws:iam::111122223333:role/MediaConnectASM.