Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration en MediaLive tant qu'entité de confiance
Un administrateur IAM doit prendre en compte les autorisations spéciales requises pour que MediaLive votre organisation utilise un appareil Link comme source d'un MediaConnect flux.
Vous devez vous configurer en MediaLive tant qu'entité de confiance. Dans une relation d'entité de confiance, un rôle est identifié MediaLive comme une entité de confiance. Une ou plusieurs politiques sont associées au rôle. Chaque stratégie contient des instructions sur les opérations et les ressources autorisées. La chaîne entre l'entité de confiance, le rôle et les stratégies effectue cette instruction :
« MediaLive est autorisé à assumer ce rôle afin d'effectuer les opérations sur les ressources spécifiées dans les politiques. »
Important
Vous connaissez peut-être le rôle d'entité de confiance qui MediaLive doit fonctionner avec les canaux lors de l'exécution. Nous vous recommandons de créer un rôle d'entité de confiance distinct MediaLive à utiliser avec les appareils Link. Les autorisations pour les chaînes sont très compliquées. Les autorisations pour les appareils sont très simples. Gardez-les séparés.
Autorisations qui MediaLive nécessitent
Pour pouvoir utiliser un appareil Link, vous MediaLive devez disposer d'autorisations sur les opérations et les ressources MediaConnectand dans Secrets Manager :
-
Pour MediaConnect : MediaLive doit être capable de lire les détails d'un flux.
-
Pour Secrets Manager : l'appareil chiffre toujours le contenu auquel il envoie. MediaConnect Il chiffre à l'aide d'une clé de cryptage qui MediaLiveprovides. MediaLive obtient à son tour la clé de chiffrement à partir d'un secret que l' MediaConnect utilisateur a stocké dans Secrets Manager. Par conséquent, MediaLive il a besoin d'une autorisation pour lire la clé de chiffrement stockée dans un secret.
Ce tableau indique les opérations et les ressources requises.
| Autorisations | Nom du service dans IAM | Actions | Ressources |
|---|---|---|---|
| Afficher les détails d'un flux | mediaconnect |
|
Toutes les ressources |
| Obtenez la clé de chiffrement à partir du secret. Voir l'explication après ce tableau. | secretsmanager |
|
L'ARN de chaque secret qui contient une clé de chiffrement à laquelle il MediaLive faut accéder |
Étape 1 : créer la politique IAM
Au cours de cette étape, vous créez une politique qui indique « Permettre à un principal d'accéder aux actions de Secrets Manager spécifiées sur la ressource spécifiée ». Notez que la politique ne spécifie pas de principal. Vous spécifiez le principal à l'étape suivante, lorsque vous configurez le rôle d'entité de confiance.
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation de gauche, sélectionnez Policies (Politiques). Choisissez Create policy (Créer une politique), puis choisissez l'onglet JSON.
-
Dans l'éditeur de stratégie, effacez le contenu de l'exemple et collez ce qui suit :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "mediaconnect:DescribeFlow" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:Region:account:secret:secret name" ] } ] } -
Dans la section Ressources de secretsmanager, remplacez la région, le compte et le nom du secret par des valeurs réelles.
-
Ajoutez d'autres lignes dans la section Ressources ou
secretsmanagerune pour chaque secret. Assurez-vous d'inclure une virgule à la fin de toutes les lignes sauf la dernière. Par exemple :"Resource": [ "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01" ] -
Donnez à la politique un nom indiquant clairement qu'elle concerne un lien et un flux. Par exemple,
medialiveForLinkFlowAccess. -
Choisissez Créer une politique.
Étape 2 : configurer le rôle d'entité de confiance
Au cours de cette étape, vous créez un rôle composé d'une politique de confiance (« let MediaLive call the AssumeRole action ») et d'une politique (la politique que vous venez de créer). De cette façon, MediaLive il est autorisé à assumer le rôle. Lorsqu'il assume le rôle, il obtient les autorisations spécifiées dans la politique.
-
Sur la console IAM, dans le volet de navigation de gauche, choisissez Rôles, puis Créer un rôle. L'assistant de création de rôle apparaît. Cet assistant vous explique les étapes de configuration d'une entité de confiance et d'ajout d'autorisations (en ajoutant une politique).
-
Sur la page Sélectionner une entité de confiance, choisissez la carte de politique de confiance personnalisée. La section Politique de confiance personnalisée apparaît, avec un exemple de politique.
-
Effacez l'exemple, copiez le texte suivant et collez-le dans la section Politique de confiance personnalisée. La section Politique de confiance personnalisée ressemble désormais à ceci :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "medialive.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Choisissez Suivant.
-
Sur la page Ajouter des autorisations, recherchez la politique que vous avez créée (par exemple
medialiveForLinkFlowAccess) et cochez la case. Ensuite, sélectionnez Suivant. -
Sur la page de révision, entrez le nom du rôle. Par exemple,
medialiveRoleForLinkFlowAccess. -
Sélectionnez Créer un rôle.
