Création d'un utilisateur administrateur avec un accès limité - AWS Elemental MediaLive

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un utilisateur administrateur avec un accès limité

Si vous êtes un administrateur disposant d'un accès complet, vous pouvez créer d'autres utilisateurs administrateurs et leur attribuer à chacun un niveau d'accès différent. Ces utilisateurs administrateurs disposent de plus d'accès que les utilisateurs non administrateurs (utilisateurs « standard »), mais ils disposent de moins d'accès que les utilisateurs administrateurs disposant d'un accès complet. Ils peuvent utiliser AWS ElementalMediaLivede la même manière que les utilisateurs standard, mais ils peuvent aussi créer des utilisateurs non administrateurs et configurer certains services quiMediaLiveIntégration de à.

Par exemple, vous pouvez créer un utilisateur administrateur disposant de l'accès suivant :

  • Pour MediaLive et les services qui s'intègrent à MediaLive, l'administrateur dispose du même accès que les utilisateurs standard.

  • Pour les services qui exigent une certaine configuration pour fonctionner avec MediaLive, l'administrateur dispose de plus d'accès que les utilisateurs standard.

  • Pour IAM, l'administrateur dispose de plus d'accès que les utilisateurs standard, mais il dispose de moins d'accès que les administrateurs disposant d'un accès complet.

La procédure suivante illustre la création d'un utilisateur administrateur disposant d'un accès limité. Vous commencez par créer une stratégie personnalisée avec un nom tel que MediaLiveAdminAccess, en créant un groupe appelé MediaLiveAdministrators et en attachant la stratégie au groupe. Ensuite, vous créez l'administrateur et ajoutez l'utilisateur au groupe. La procédure suppose que le nouvel utilisateur administrateur n'a pas besoin d'autorisations pour résoudre les problèmes liés à MediaLive autres que les problèmes d'accès.

Pour créer une stratégie personnalisée pour un administrateur MediaLive

  1. Connectez-vous à la consoleAWS Management Consoleen tant qu'administrateur disposant d'un accès complet et ouvrez la console IAM à l'adressehttps://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Politiques, puis Créer une politique. Dans la page Créer une politique, sélectionnez l'onglet Éditeur visuel. Cet onglet est un générateur de stratégies qui vous permet de créer une stratégie en sélectionnant des actions dans une liste, afin de les ajouter à la stratégie.

  3. Lisez le tableau à la fin de cette procédure et créez une stratégie donnant accès aux actions qui ne sont pas déjà couvertes par une stratégie existante. Vous n'avez pas besoin de créer une stratégie lorsque nous vous suggérons d'utiliser une stratégie existante. Pour de plus amples informations sur l'objectif de ces actions, veuillez consulter Étape 1 : Identifier les exigences en matière d'autorisations pour les utilisateurs.

  4. Pour créer la stratégie, suivez les invites de la console. Voici quelques conseils pour créer la stratégie :

    • Vous pouvez créer une stratégie qui couvre plusieurs services. Vous n'avez pas besoin de créer une stratégie pour chaque service. Pour créer une stratégie pour plusieurs services, choisissez les actions pour un service, puis choisissez Add additional permissions (Ajouter des autorisations supplémentaires) en bas de la page pour configurer un autre service. Vous devrez peut-être déplacer les deux barres de défilement verticales vers le bas pour afficher ce lien.

    • Si vous choisissez de créer une stratégie qui couvre plusieurs services, vous pouvez choisir de créer la stratégie avec des actions pour un service, de l'enregistrer, puis de modifier la stratégie afin d'ajouter des autorisations pour un autre service, etc.

    • Vous pouvez choisir le bouton Import managed policy (Importer une stratégie gérée) pour importer une stratégie existante dans cette stratégie. Les actions de stratégie sont copiées (la stratégie n'est pas copiée par référence). Ainsi, après l'importation, vous pouvez ajouter et supprimer des actions si vous le souhaitez.

    Pour obtenir les instructions complètes sur la création d'une stratégie personnalisée, veuillez consulter leIAM User Guide.

    Le tableau suivant indique les actions à inclure dans la stratégie afin d'accorder l'accès identifié à l'utilisateur.

    Fonction Service correspondant dans IAM Type d'accès Actions à inclure dans

    la politique

    Fonctions MediaLive MediaLive Accès complet à MediaLive. Il est préférable que l'administrateur soit en mesure d'utiliser toutes les fonctionnalités MediaLive.

    Utiliser la stratégie gérée par le clientMediaLivePowerAccess.

    Si vous avez suivi les procédures décrites dans Configuration de : Autorisations IAM pour AWS ElementalMediaLive, vous avez créé cette stratégie dans la section Étape 1 : Création de stratégies gérées par le client.
    Surveillance de l'état du canal CloudWatch Accès limité à CloudWatch (le même accès que les utilisateurs non administrateurs). Consultez Référence : résumé des exigences d'accès utilisateur non administrateur.
    Configuration des notifications par e-mail CloudWatchEvents (Événements) Accès complet àCloudWatchÉvénements pour configurer les utilisateurs pour les notifications par e-mail. (Pour configurer des notifications par e-mail, les utilisateurs doivent également avoir accès à SNS. Voir plus loin dans ce tableau.)

    Utiliser la stratégie gérée parCloudWatchEventsFullAccès à.

    Il se peut que l'administrateur n'ait pas besoin de toutes ces actions, mais lui accorder un accès complet ne représente qu'un faible risque.

    Configuration de la journalisation des canaux CloudWatch Journaux Accès limité àCloudWatchJournaux (le même accès que les utilisateurs non administrateurs). Consultez Référence : résumé des exigences d'accès utilisateur non administrateur.
    Création d'une entrée VPC

    Configuration en vue de la livraison sur votre VPC

    EC2 Accès limité à Amazon EC2 (le même accès que les utilisateurs non administrateurs) Consultez Référence : résumé des exigences d'accès utilisateur non administrateur.
    Configuration des identités utilisateur pour MediaLive GIA Accès limité pour gérer les utilisateurs, les groupes, les stratégies et les rôles d'entités de confiance.

    L'action ChangePassword.

    Et toutes les actions qui portent l'une de ces chaînes en leur nom : « Utilisateur », « Groupe », « Stratégie », « Stratégies », « Rôle », »AccessKey«, »LoginProfile«.

    Excepté, n'incluez pas les actions contenant la chaîne « Instance » ou « chaîne »ContextKeys"

    Configuration des notifications par e-mail SNS Accès complet à SNS, pour configurer des notifications par e-mail pour les utilisateurs.

    (Pour configurer des notifications par e-mail, les utilisateurs doivent également avoir accès àCloudWatchÉvénements. Voir plus haut dans ce tableau.)

    Utiliser la stratégie gérée parAmazon SNSFullAccess.

    Il se peut que l'administrateur n'ait pas besoin de toutes ces actions, mais lui accorder un accès complet ne représente qu'un faible risque.

    Création d'un paramètre de mot de passe dans AWS Systems Manager Parameter Store Systems Manager Accès complet aux actions liées à l'AWS Systems Manager Parameter Store. Cet accès permet à l'administrateur de créer et de supprimer des paramètres de mot de passe.

    *Parameter

    *Parameters

    *ParameterHistory

    GetParametersByPath

Pour créer un groupe pour vos stratégies personnalisées

  1. Si nécessaire, connectez-vous auAWS Management Consoleen tant qu'administrateur disposant d'un accès complet et ouvrez la console IAM à l'adressehttps://console.aws.amazon.com/iam/. (Vous pouvez être toujours connecté.)

  2. Dans le panneau de navigation, choisissez Groupes . Suivez les invites pour créer un groupe avec un nom tel que MediaLiveAdministrators.

  3. Attachez les stratégies qui s'appliquent à cet administrateur.

Pour obtenir les instructions complètes sur la création d'un groupe et l'attachement d'une stratégie, veuillez consulter leIAM User Guide.

Pour créer un utilisateur administrateur et l'ajouter à votre groupe

  1. Si nécessaire, connectez-vous auAWS Management Consoleen tant qu'administrateur disposant d'un accès complet et ouvrez la console IAM à l'adressehttps://console.aws.amazon.com/iam/. (Vous pouvez être toujours connecté.)

  2. Dans le panneau de navigation, sélectionnez Users (Utilisateurs). Suivez les invites pour créer un utilisateur à l'aide du nom de la personne qui sera l'administrateur.

  3. Dans l'étape de définition des autorisations pour l'utilisateur, choisissez Ajouter un utilisateur à un groupe, puis sélectionnez le groupe que vous avez créé.

  4. Suivez les invites pour terminer la création de l'utilisateur.

Pour obtenir les instructions complètes sur la création d'un administrateur, veuillez consulter leIAM User Guide.