Controllo dell'accesso alle risorse Kinesis Video Streams utilizzando IAM - Amazon Kinesis Video Streams

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso alle risorse Kinesis Video Streams utilizzando IAM

Utilizzando l'utilizzoAWS Identity and Access Management(IAM) con Amazon Kinesis Video Streams puoi controllare se gli utenti all'interno dell'organizzazione sono in grado di eseguire un'attività utilizzando specifiche operazioni API Kinesis Video Streams e se possono utilizzare risorse AWS specifiche.

Per ulteriori informazioni su IAM, consulta:

Sintassi delle policy

Una policy IAM è un documento JSON costituito da una o più dichiarazioni. Ogni dichiarazione è strutturata come segue:

{ "Statement":[{ "Effect":"effect", "Action":"action", "Resource":"arn", "Condition":{ "condition":{ "key":"value" } } } ] }

Una dichiarazione è costituita da diversi elementi:

  • Effetto: Laeffettopuò essereAllowoDeny. Per impostazione predefinita, gli utenti IAM non dispongono dell'autorizzazione per l'utilizzo di risorse e operazioni API, pertanto tutte le richieste vengono rifiutate. Un permesso esplicito sostituisce l'impostazione predefinita. Un rifiuto esplicito sovrascrive tutti i consensi.

  • Operazione: Laazioneè l'operazione API specifica per la quale concedi o neghi l'autorizzazione.

  • Risorsa: La risorsa che viene modificata dall'operazione. Per specificare una risorsa nella dichiarazione, devi utilizzare il relativo Amazon Resource Name (ARN).

  • Condition: Le condizioni sono facoltative. Possono essere utilizzate per controllare quando è in vigore una policy.

Quando crei e gestisci policy IAM, puoi utilizzare le policy IAMGeneratore di policy IAMe laSimulatore di policy IAM.

Azioni per Kinesis Video Streams

In una dichiarazione di policy IAM, è possibile specificare qualsiasi operazione API per qualsiasi servizio che supporta IAM. Per Kinesis Video Streams, utilizza il seguente prefisso con il nome dell'operazione API: kinesisvideo:. Ad esempio:kinesisvideo:CreateStream,kinesisvideo:ListStreams, ekinesisvideo:DescribeStream.

Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

"Action": ["kinesisvideo:action1", "kinesisvideo:action2"]

Puoi anche specificare più operazioni tramite caratteri jolly. Ad esempio, puoi specificare tutte le operazioni il cui nome inizia con la parola "Get" come segue:

"Action": "kinesisvideo:Get*"

Per specificare tutte le operazioni di Kinesis Video Streams, utilizza il carattere jolly asterisco (*) come mostrato di seguito:

"Action": "kinesisvideo:*"

Per l'elenco completo delle operazioni API Kinesis Video Streams, consultaRiferimento API Kinesis Video Streams.

Amazon Resource Names (ARN) per Kinesis Video Streams

Ogni dichiarazione di policy IAM si applica alle risorse specificate utilizzando i relativi ARN.

Usa il seguente formato di risorsa ARN per Kinesis Video Streams:

arn:aws:kinesisvideo:region:account-id:stream/stream-name/code

Ad esempio:

"Resource": arn:aws:kinesisvideo::*:111122223333:stream/my-stream/0123456789012

Puoi ottenere l'ARN di un flusso utilizzando DescribeStream.

Concessione dell'accesso ad altri account IAM a un flusso video Kinesis

Potrebbe essere necessario concedere autorizzazioni per altri account IAM per eseguire operazioni sui flussi video Kinesis. La seguente panoramica descrive i passi per concedere l'accesso ai flussi video su tutti gli account:

  1. Scarica l'ID account a 12 cifre dell'account a cui vuoi concedere le autorizzazioni per eseguire operazioni sul flusso (per esempio, 111111111111).

  2. Crea una policy gestita per l'account che possiede il flusso che consenta il livello di accesso che vuoi concedere. Ad esempio, i criteri per le risorse di Kinesis Video Streams, vederePolicy di esempionella prossima sezione.

  3. Crea un ruolo, specificando l'account a cui vuoi concedere le autorizzazioni e collega la policy creata nella fase precedente.

  4. Crea una policy gestita che consenta l'azione AssumeRole sul ruolo creato nella fase precedente. Ad esempio, il ruolo potrebbe apparire come segue:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::123456789012:role/CustomRole" } }

Per step-by-step istruzioni su come concedere l'accesso tra account, consultaDelegare l'accesso agli account AWS tramite i ruoli IAM.

Criteri di esempio per Kinesis Video Streams

Le policy di esempio seguenti dimostrano in che modo puoi controllare l'accesso degli utenti ai flussi video Kinesis.

Esempio 1: Consenti agli utenti di ottenere i dati da un flusso video Kinesis

Questa policy consente a un utente o a un gruppo di eseguire ilDescribeStream,GetDataEndpoint,GetMedia,ListStreams, eListTagsForStreamoperazioni su qualsiasi flusso video Kinesis. Questa policy è appropriata per gli utenti che possono ottenere i dati da qualsiasi flusso di video.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesisvideo:Describe*", "kinesisvideo:Get*", "kinesisvideo:List*" ], "Resource": "*" } ] }

Esempio 2: Consenti a un utente di creare un flusso video Kinesis e di scrivervi dati

Questa policy consente a un utente o a un gruppo di eseguire le operazioni CreateStream e PutMedia. Questa policy è appropriata per una fotocamera di sicurezza su cui è possibile creare un flusso di video e inviare dati.

{ "Statement": [ { "Effect": "Allow", "Action": [ "kinesisvideo:CreateStream", "kinesisvideo:PutMedia" ], "Resource": "*" } ] }

Esempio 3: Consenti a un utente l'accesso completo a tutte le risorse Kinesis Video Streams

Questa policy consente a un utente o a un gruppo di eseguire qualsiasi operazione Kinesis Video Streams su qualsiasi risorsa. Questa policy è appropriata per gli amministratori.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kinesisvideo:*", "Resource": "*" } ] }

Esempio 4: Consenti a un utente di scrivere dati su un flusso video Kinesis specifico

Questa policy consente a un utente o a un gruppo di scrivere dati su un determinato flusso di video. Questa policy è appropriata per un dispositivo in grado di inviare dati a un solo flusso.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kinesisvideo:PutMedia", "Resource": "arn:aws:kinesisvideo:us-west-2:123456789012:stream/your_stream/0123456789012" } ] }