Comprendre comment AWS Elemental MediaConvert fonctionne avec IAM - MediaConvert

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre comment AWS Elemental MediaConvert fonctionne avec IAM

AWSles services peuvent fonctionner avec IAM de différentes manières. AWS Elemental MediaConvert prend en charge les méthodes suivantes :

  • Actions — AWS Elemental MediaConvert prend en charge l'utilisation d'actions dans une politique. Cela permet à un administrateur de contrôler si une entité peut effectuer une opération dans MediaConvert. Par exemple, pour autoriser une entité à mettre à jour un modèle de tâche en effectuant l'opération d'API AWS UpdateJobTemplate, un administrateur doit attacher une stratégie qui autorise l'action iam:UpdateJobTemplate.

  • Permissions au niveau des ressources — AWS Elemental MediaConvert prend en charge les autorisations au niveau des ressources. Les autorisations au niveau des ressources vous permettent de spécifier des ressources individuelles dans la stratégie. Par exemple, vous pouvez accorder à un utilisateur l'autorisation de soumettre des tâches uniquement à une file d'attente déterminée ou à utiliser seulement des modèles de tâche dont le nom comporte un ID déterminé.

    Pour obtenir un exemple de politique IAM qui accorde des autorisations au niveau des ressources, veuillez consulterExemples de stratégies Contrôle d'accès au niveau des ressources.

    Pour plus d'informations sur la limitation de l'accès au niveau des ressources, consultez la section Contrôle de l'accès aux ressources dans le guide de l'utilisateur IAM.

  • Autorisation basée sur les balises : AWS Elemental MediaConvert prend en charge l'autorisation basée sur les balises. Cette fonction vous permet d'utiliser des balises de ressource dans la condition d'une stratégie.

    Par exemple, vous pouvez créer une politique qui permet à l'utilisateur d'accéder à toutes les actions sur toutes les MediaConvert ressources du compte, sauf si la ou les ressources sont étiquetées avec la clé de baliseaccess et la valeurdenied ou commençant par la chaînedeny. Pour cela, vous devez utiliser la clé de condition aws:RequestTag/<tag-key>.

    Pour obtenir un exemple de politique IAM qui accorde ces autorisations, veuillez consulterExemples de stratégies Contrôle d'accès basé sur les balises utilisant les balises de.

    Pour plus d'informations sur l'ajout de balises à vos MediaConvert ressources AWS Elemental, consultezIdentification d'AWS Elemental MediaConvert ressources.

    Pour de plus amples informations sur l'utilisation de balises pour restreindre l'accès à vos ressources, veuillez consulter Contrôle de l'accès à l'aide de balises dans le guide de l'utilisateur IAM.

  • Informations d'identification temporaires — AWS Elemental MediaConvert prend en charge les identifiants temporaires. Cette fonctionnalité vous permet de vous connecter à l'aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d'AWS STSAPI telles que AssumeRoleou GetFederationToken.

  • Rôles de service : AWS Elemental MediaConvert prend en charge les rôles de service. Cette fonction permet à un service d'endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles de service s'affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu'un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, cela peut perturber le bon fonctionnement du service. Pour savoir comment créer ce rôle, consultez Étape 5 : Configuration d'autorisations IAM dans le chapitre Démarrez de ce guide.

AWS Elemental MediaConvert ne prend pas en charge les méthodes suivantes d'interaction avec IAM :

  • Politiques basées sur les ressources — AWS Elemental MediaConvert ne prend pas en charge les stratégies basées sur les ressources. Les stratégies basées sur les ressources vous permettent d'attacher une stratégie à une ressource du service. Les politiques basées sur les ressources incluent un élément Principal pour spécifier les identités IAM qui peuvent accéder à cette ressource.

  • Rôles liés à un service — AWS Elemental MediaConvert ne prend pas en charge les rôles liés à un service. Cette fonction permet à un service d'endosser un rôle lié à un service en votre nom. Ce rôle autorise le service à accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s'affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.

MediaConvert Ressources et opérations d'AWS Elemental

Dans AWS Elemental MediaConvert, la ressource principale est un travail. Dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique.

Les ressources répertoriées dans le tableau suivant sont associées à un ARN unique.

Nom dans la MediaConvert console Format ARN
Job arn:partition:mediaconvert:region:account:jobs/JobId
File d'attente arn:partition:mediaconvert:region:account:queues/QueueName
Préréglage de sortie arn:partition:mediaconvert:region:account:presets/PresetName
Modèle de tâche arn:partition:mediaconvert:region:account:jobTemplates/JobTemplateName

AWS Elemental MediaConvert fournit un ensemble d'opérations permettant d'utiliser les MediaConvert ressources. Pour obtenir la liste des opérations disponibles pour chaque ressource, suivez les liens vers l'AWS Elemental MediaConvert API Reference dans le tableau précédent.

Pour autoriser ou refuser l'accès à un sous-ensemble de MediaConvert ressources AWS Elemental, incluez l'ARN de la ressource dans l'Resourceélément de votre politique. Les ARN pour MediaConvert ont le format suivant :

arn:partition:mediaconvert:account:resource/ID

Remplacez les variables partition, account, resource et ID par des valeurs valides. Les valeurs valides peuvent être les suivantes :

  • cloison : La partition de votreAWS région. Pour la plupart des Régions, la partition estaws.

  • compte : L'identifiant de votreAWS compte. Il doit s'agir du même compte que celui que vous avez utilisé pour créer l'utilisateur IAM afin de se connecter à AWS Elemental MediaConvert.

  • ressource : Type de MediaConvert ressource AWS Elemental.

  • Identifiant : L'ID de la MediaConvert ressource AWS Elemental.

Pour toutes ces variables, vous pouvez éventuellement utiliser un caractère générique (*) pour indiquer toutes les ressources du type spécifié. Par exemple, l'ARN suivant spécifie tous les préréglages de sortie pour le compte 111122223333 :

arn:aws:mediaconvert::111122223333:presets/*