Identification des autorisations - AWS Elemental MediaLive

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identification des autorisations

Avec l'option complexe, les utilisateurs standard ne créent pas de rôles d'entités de confiance. Cependant, ils attacheront des rôles existants aux canaux qu'ils créent en remplissant la section IAM Role (Rôle IAM) du volet Channel and input details (Détails du canal et de l'entrée).

Pour utiliser cette section, les utilisateurs standard doivent donc avoir accès à des actions IAM spécifiques.

La capture d'écran suivante illustre la section IAM Role (Rôle IAM) du volet Channel and input details (Détails du canal et de l'entrée) telle qu'elle apparaît lorsque vous commencez à créer un canal.

Vous devez configurer des autorisations pour les utilisateurs standard, afin qu'ils puissent uniquement accéder à des champs spécifiques de la section IAM Role (Rôle IAM) du volet Channel and input details (Détails du canal et de l'entrée). Généralement, vous devez configurer comme suit :

  • Les utilisateurs ne doivent pas pouvoir choisir le champ de sélection qui accompagne le champ Use existing role (Utiliser un rôle existant). Vous voudrez probablement désactiver ce champ de sélection, car vous ne voulez pas que les utilisateurs choisissent un rôle dans la liste qui accompagne ce champ. Si ce champ est activé pour un utilisateur, ce dernier peut afficher tous les rôles créés dans le compte, ce qui permettrait de renoncer à l'obligation de limiter l'accès, afin que les utilisateurs puissent afficher et attacher uniquement des rôles spécifiques.

  • Les utilisateurs ne doivent pas pouvoir choisir le champ Create role from template (Créer un rôle à partir d'un modèle). Les utilisateurs standard ne créent pas de rôles.

  • Les utilisateurs doivent pouvoir saisir des valeurs dans le champ de saisie qui accompagne le champ Specify custom role ARN (Spécifier un ARN de rôle personnalisé). Lorsque ce champ d'entrée est activé, l'utilisateur peut saisir ou coller l'un des noms de rôle que vous fournissez.

  • Les utilisateurs ne doivent pas pouvoir choisir le bouton Update (Mettre à jour) car il s'affiche uniquement dans les implémentations qui utilisent le MediaLiveAccessRole. L'option complexe n'utilise pas ce rôle ; par conséquent, ce bouton ne s'affiche jamais.

Pour veiller à ce que les utilisateurs interagissent avec cette section de la console de cette manière limitée, vous devez accorder l'accès à une seule action IAM, comme illustré dans le tableau suivant.

Autorisations Nom du service dans IAM Actions
Attacher IAM

iam:PassRole

Il est tout aussi important de veiller à ne pas accorder l'accès aux actions suivantes :

  • iam:ListRole

  • iam:CreateRole

  • iam:PutRolePolicy

  • iam:AttachRolePolicy