Controllo dell'accesso a Elastic Transcoder

Amazon Elastic Transcoder consente di AWS Identity and Access Management utilizzare IAM () per controllare ciò che gli utenti possono fare con Elastic Transcoder e per controllare l'accesso di Elastic Transcoder ad altri servizi richiesti da Elastic Transcoder. AWS Puoi controllare l'accesso utilizzando IAM le policy, che sono una raccolta di autorizzazioni che possono essere associate a un utente, un gruppo o un IAM ruolo. IAM

Controllo dell'accesso a Elastic Transcoder

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

• Utenti e gruppi in: AWS IAM Identity Center

  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .

• Utenti gestiti IAM tramite un provider di identità:

  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.

• IAMutenti:

  • Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella sezione Creazione di un ruolo per un IAM utente nella Guida per l'IAMutente.

  • (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.

Per controllare l'accesso di Elastic Transcoder ad altri AWS servizi, puoi creare ruoli di servizio. Si tratta di IAM ruoli assegnati quando si crea una pipeline e che conferiscono a Elastic Transcoder stesso le autorizzazioni per eseguire le attività associate alla transcodifica.

Creare un ruolo per una (console) Servizio AWS IAM

1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel riquadro di navigazione della IAM console, scegli Ruoli, quindi scegli Crea ruolo.

3. Per Trusted entity type (Tipo di entità attendibile), scegli Servizio AWS.

4. Per Servizio o caso d'uso, scegli un servizio, quindi scegli il caso d'uso. I casi d'uso sono definiti dal servizio in modo da includere la policy di attendibilità richiesta dal servizio.

5. Scegli Next (Successivo).

6. Per i criteri di autorizzazione, le opzioni dipendono dal caso d'uso selezionato:

   • Se il servizio definisce le autorizzazioni per il ruolo, non è possibile selezionare le politiche di autorizzazione.

   • Seleziona da un set limitato di politiche di autorizzazione.

   • Seleziona tra tutte le politiche di autorizzazione.

   • Seleziona nessuna politica di autorizzazione, crea le politiche dopo la creazione del ruolo e quindi associa le politiche al ruolo.

7. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.

   1. Apri la sezione Imposta i limiti delle autorizzazioni, quindi scegli Usa un limite di autorizzazioni per controllare il numero massimo di autorizzazioni per il ruolo.

      IAMinclude un elenco delle politiche AWS gestite e gestite dal cliente nel tuo account.

   2. Selezionare la policy da utilizzare per il limite delle autorizzazioni.

8. Scegli Next (Successivo).

9. Per Role name, le opzioni dipendono dal servizio:

   • Se il servizio definisce il nome del ruolo, non è possibile modificare il nome del ruolo.

   • Se il servizio definisce un prefisso per il nome del ruolo, è possibile inserire un suffisso opzionale.

   • Se il servizio non definisce il nome del ruolo, puoi assegnare un nome al ruolo.

     Importante

     Quando assegnate un nome a un ruolo, tenete presente quanto segue:

     • I nomi dei ruoli devono essere univoci all'interno del tuo Account AWS account e non possono essere resi unici per caso.

       Ad esempio, non creare ruoli denominati entrambi PRODROLE eprodrole. Quando un nome di ruolo viene utilizzato in una policy o come parte di unaARN, il nome del ruolo fa distinzione tra maiuscole e minuscole, tuttavia quando un nome di ruolo viene visualizzato dai clienti nella console, ad esempio durante il processo di accesso, il nome del ruolo non fa distinzione tra maiuscole e minuscole.

     • Non è possibile modificare il nome del ruolo dopo la sua creazione perché altre entità potrebbero fare riferimento al ruolo.

10. (Facoltativo) In Descrizione, inserisci una descrizione per il ruolo.

11. (Facoltativo) Per modificare i casi d'uso e le autorizzazioni per il ruolo, nelle sezioni Passo 1: Seleziona entità attendibili o Passaggio 2: Aggiungi autorizzazioni, scegli Modifica.

12. (Facoltativo) Per facilitare l'identificazione, l'organizzazione o la ricerca del ruolo, aggiungi tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag inIAM, consulta Etichettare IAM le risorse nella Guida per l'IAMutente.

13. Verificare il ruolo e quindi scegliere Create role (Crea ruolo).

Ad esempio di come i ruoli utente e di servizio siano entrambi importanti durante il processo di transcodifica, Elastic Transcoder necessita di un ruolo di servizio per recuperare i file da un bucket Amazon S3 e archiviare i file transcodificati in un altro bucket Amazon S3, mentre un utente ha bisogno di un ruolo che gli consenta di creare un lavoro in Elastic Transcoder. IAM

Per IAMulteriori informazioni in merito, consulta la Guida per l'utente. IAM Per ulteriori informazioni sui ruoli di servizio, vedere Creating a Role for an AWS Service.

Politiche di esempio per Elastic Transcoder

Per consentire agli utenti di eseguire funzioni amministrative di Elastic Transcoder, come la creazione di pipeline e l'esecuzione di lavori, è necessario disporre di una policy da associare all'utente. Questa sezione mostra come creare una policy e mostra anche tre policy per controllare l'accesso alle operazioni di Elastic Transcoder e alle operazioni dei servizi correlati su cui si basa Elastic Transcoder. Puoi consentire agli utenti del tuo AWS account di accedere a tutte le operazioni di Elastic Transcoder o solo a un sottoinsieme di esse.

Per ulteriori informazioni sulla gestione delle politiche, consulta Managing Policies nella IAM Guida per l'IAMutente.

Per utilizzare l'editor delle JSON politiche per creare una politica

1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel riquadro di navigazione a sinistra, seleziona Policies (Policy).

   Se è la prima volta che selezioni Policy, verrà visualizzata la pagina Benvenuto nelle policy gestite. Seleziona Inizia.

3. Nella parte superiore della pagina, scegli Crea policy.

4. Nella sezione Policy editor, scegli l'JSONopzione.

5. Inserisci o incolla un documento JSON di policy. Per i dettagli sul linguaggio delle IAM politiche, consulta il riferimento alle IAM JSON politiche.

6. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Next (Successivo).

   Nota

   Puoi passare tra le opzioni Visual e JSONEditor in qualsiasi momento. Tuttavia, se apporti modifiche o scegli Avanti nell'editor visuale, IAM potresti ristrutturare la tua politica per ottimizzarla per l'editor visuale. Per ulteriori informazioni, consulta la sezione Ristrutturazione delle politiche nella Guida per l'IAMutente.

7. (Facoltativo) Quando si crea o si modifica una politica in AWS Management Console, è possibile generare un modello di YAML politica JSON o da utilizzare nei AWS CloudFormation modelli.

   A tale scopo, nell'editor delle politiche scegli Azioni, quindi scegli Genera CloudFormation modello. Per saperne di più AWS CloudFormation, consulta il riferimento al tipo di AWS Identity and Access Management risorsa nella Guida AWS CloudFormation per l'utente.

8. Una volta terminata l'aggiunta delle autorizzazioni alla policy, scegli Successivo.

9. Nella pagina Rivedi e crea, immettere un valore in Nome policy e Descrizione (facoltativo) per la policy in fase di creazione. Rivedi Autorizzazioni definite in questa policy per visualizzare le autorizzazioni concesse dalla policy.

10. (Facoltativo) Aggiungere metadati alla policy collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag inIAM, consulta Etichettare IAM le risorse nella Guida per l'IAMutente.

11. Seleziona Crea policy per salvare la nuova policy.

Offri l'accesso in sola lettura a Elastic Transcoder e Amazon S3

La seguente politica garantisce l'accesso in sola lettura alle risorse Elastic Transcoder e l'accesso al funzionamento delle liste di Amazon S3. Questa policy è utile per ottenere le autorizzazioni necessarie per trovare e guardare i file transcodificati e per vedere quali bucket sono disponibili per l'IAMaccount, ma per chi non ha bisogno della possibilità di aggiornare, creare o eliminare risorse o file. Questa politica consente inoltre di elencare tutte le pipeline, i preset e i lavori disponibili per l'account. IAM Per limitare l'accesso a un determinato bucket, consulta Limitazione dell'accesso a determinate risorse.

{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "elastictranscoder:Read*",
            "elastictranscoder:List*",
            "s3:List*"
         ],
         "Resource": "*"
      }
   ]
}

Autorizza a creare offerte di lavoro

La seguente politica concede le autorizzazioni per elencare e ottenere tutte le risorse Elastic Transcoder associate all'account, creare o modificare lavori e preimpostazioni e utilizzare le operazioni di elenco di Amazon S3 e Amazon. SNS

Questa politica è utile per modificare le impostazioni di transcodifica e la possibilità di creare o eliminare preimpostazioni o lavori. Non consente la creazione, l'aggiornamento o l'eliminazione di pipeline, bucket Amazon S3 o notifiche Amazon. SNS

{
    "Version":"2012-10-17",
    "Statement": [
       {
           "Effect": "Allow",
           "Action": [
               "elastictranscoder:Read*",
               "elastictranscoder:List*",
               "elastictranscoder:*Job",
               "elastictranscoder:*Preset",
               "s3:List*",
               "sns:List*"
           ],
           "Resource": "*"
       }
    ]
}

Operazioni Elastic Transcoder con accesso controllabile

Di seguito è riportato l'elenco completo delle operazioni di Elastic Transcoder.

    elastictranscoder:CancelJob
    elastictranscoder:CreateJob
    elastictranscoder:CreatePipeline
    elastictranscoder:CreatePreset
    elastictranscoder:DeletePipeline
    elastictranscoder:DeletePreset
    elastictranscoder:ListJobsByPipeline
    elastictranscoder:ListJobsByStatus
    elastictranscoder:ListPipelines
    elastictranscoder:ListPresets
    elastictranscoder:ReadJob
    elastictranscoder:ReadPipeline
    elastictranscoder:ReadPreset
    elastictranscoder:TestRole
    elastictranscoder:UpdatePipeline
    elastictranscoder:UpdatePipelineNotifications
    elastictranscoder:UpdatePipelineStatus
                

Limitazione dell'accesso a determinate risorse

Oltre a limitare l'accesso alle operazioni, è possibile limitare ulteriormente l'accesso a specifici processi, pipeline e set di impostazioni; in tal caso si parla di concessione di autorizzazioni a livello di risorsa.

Per limitare o concedere l'accesso a un sottoinsieme di risorse Elastic Transcoder, ARN inserisci la risorsa nell'elemento risorsa della tua policy. Elastic ARNs Transcoder ha il seguente formato generale:

arn:aws:elastictranscoder:region:account:resource/ID

Sostituisci il region, account, resourcee ID variabili con valori validi. I valori validi possono essere i seguenti:

• region: nome della regione. L'elenco delle regioni è disponibile qui. Per indicare tutte le regioni, utilizza un carattere jolly (*). È necessario specificare un valore.

• account: L'ID dell' AWS account. È necessario specificare un valore.

• resource: il tipo di risorsa Elastic Transcoderpreset;pipeline,, o. job

• ID: L'ID della preimpostazione, della pipeline o del processo specifico oppure * per indicare tutte le risorse del tipo specificato associate all'account corrente. AWS

Ad esempio, quanto segue ARN specifica tutte le risorse preimpostate nella us-east-2 regione per l'account: 111122223333

arn:aws:elastictranscoder:us-east-2:111122223333:preset/*

È possibile trovare il nome ARN di una risorsa facendo clic sull'icona a forma di lente di ingrandimento ( ) accanto al nome della risorsa nelle pagine della pipeline, del preset o della Job Console.

Per ulteriori informazioni, consulta Risorse nella Guida per l'utente. IAM

Esempio di politica per la limitazione delle risorse

La seguente politica concede le autorizzazioni al bucket denominato in Amazon amzn-s3-demo-bucket S3, le autorizzazioni di elenco e lettura per tutto ciò che è in Elastic Transcoder e l'autorizzazione a creare lavori nella pipeline denominata. example_pipeline

Questa policy è utile per CLI gli utenti che devono poter vedere quali file SDK e risorse sono disponibili e utilizzare tali risorse per creare i propri lavori di transcodifica. Non consente l'aggiornamento o l'eliminazione di risorse, la creazione di risorse che non siano processi o l'utilizzo di risorse diverse da quelle specificate qui; non funziona per gli utenti della console.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"1",
         "Effect":"Allow",
         "Action":[
            "s3:ListAllMyBuckets",
            "s3:GetBucketLocation",
            "s3:ListBucket",
            "s3:GetObject",
            "s3:PutObject"
            ],
         "Resource":[
             "arn:aws:s3:::amzn-s3-demo-bucket",
             "arn:aws:s3:::amzn-s3-demo-bucket/*"
         ]
      },
      {
         "Sid":"2",
         "Effect":"Allow",
         "Action":[
            "elastictranscoder:List*",
            "elastictranscoder:Read*",
            "elastictranscoder:CreateJob"
         ],
         "Resource":[
            "arn:aws:elastictranscoder:region:account:pipeline/example_pipeline",
            "arn:aws:elastictranscoder:region:account:job/*"
         ]
      }
   ]
}

Ruoli di servizio per Elastic Transcoder Pipelines

Quando crei una pipeline che gestisce i lavori di transcodifica, devi specificare un ruolo di servizio. IAM Il ruolo IAM di servizio ha una politica che specifica le autorizzazioni utilizzate da quella pipeline per la transcodifica.

Sono disponibili due opzioni quando si specifica un ruolo per una pipeline:

• Utilizza il ruolo predefinito, che include solo le autorizzazioni di cui Elastic Transcoder ha bisogno per la transcodifica. Se utilizzi la console Elastic Transcoder per creare le tue pipeline, quando crei la prima pipeline la console ti offre la possibilità di creare automaticamente il ruolo predefinito. È necessario disporre delle autorizzazioni amministrative per creare ruoli di IAM servizio, incluso il ruolo predefinito.

• Scegliere un ruolo esistente. In questo caso, devi aver precedentemente creato il ruolo IAM e allegato una policy al ruolo che conceda a Elastic Transcoder le autorizzazioni sufficienti per transcodificare i tuoi file. Ciò è utile se desideri utilizzare il ruolo anche per altri AWS servizi.

Il IAM ruolo predefinito per Pipelines

Il ruolo predefinito creato da Elastic Transcoder consente a Elastic Transcoder di eseguire le seguenti operazioni:

• Ottieni un file da un bucket Amazon S3 per la transcodifica.

• Elenca il contenuto di qualsiasi bucket Amazon S3.

• Salva un file transcodificato in un bucket Amazon S3.

• Crea un caricamento multiparte di Amazon S3.

• Pubblica notifiche su qualsiasi SNS argomento.

La policy impedisce a Elastic Transcoder di eseguire una delle seguenti operazioni:

• Esegui qualsiasi operazione di SNS eliminazione di Amazon oppure aggiungi o rimuovi una dichiarazione di policy in un argomento.

• Esegui qualsiasi operazione di eliminazione di bucket o elementi di Amazon S3 oppure aggiungi, rimuovi o modifica una policy sui bucket.

La definizione della policy di accesso (autorizzazione) per il ruolo predefinito ha il seguente formato:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"1",
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:ListBucket",
            "s3:Put*",
            "s3:*MultipartUpload*"
         ],
         "Resource":"*"
      },
      {
         "Sid":"2",
         "Effect":"Allow",
         "Action":"sns:Publish",
         "Resource":"*"
      },
      {
         "Sid":"3",
         "Effect":"Deny",
         "Action":[
            "sns:*Permission*",
            "sns:*Delete*",
            "sns:*Remove*",
            "s3:*Policy*",
            "s3:*Delete*"
         ],
         "Resource":"*"
      }
   ]
}

Regioni supportate per i ruoli collegati al servizio Elastic Transcoder

Elastic Transcoder supporta l'utilizzo di ruoli collegati ai servizi nelle seguenti aree.

Nome della regione	Identità della regione	Support in Elastic Transcoder
US East (N. Virginia)	us-east-1	Sì
Stati Uniti orientali (Ohio)	us-east-2	No
US West (N. California)	us-west-1	Sì
US West (Oregon)	us-west-2	Sì
Asia Pacific (Mumbai)	ap-south-1	Sì
Asia Pacifico (Osaka-Locale)	ap-northeast-3	No
Asia Pacifico (Seul)	ap-northeast-2	No
Asia Pacific (Singapore)	ap-southeast-1	Sì
Asia Pacifico (Sydney)	ap-southeast-2	Sì
Asia Pacifico (Tokyo)	ap-northeast-1	Sì
Canada (Central)	ca-central-1	No
Europe (Frankfurt)	eu-central-1	No
Europa (Irlanda)	eu-west-1	Sì
Europe (London)	eu-west-2	No
Europe (Paris)	eu-west-3	No
Sud America (São Paulo)	sa-east-1	No