Configurazione MediaLive come entità attendibile - MediaLive
Passaggio 1: creare la policy IAMFase 2: Impostare il ruolo di entità affidabile

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione MediaLive come entità attendibile

Un amministratore IAM deve considerare le autorizzazioni speciali MediaLive necessarie se l'organizzazione utilizzerà un dispositivo Link come origine di un flusso. MediaConnect

Devi configurarti MediaLive come entità attendibile. In una relazione di entità fidata, un ruolo si identifica MediaLive come entità fidata. Una o più politiche sono allegate al ruolo. Ogni policy contiene istruzioni su operazioni e risorse consentite. La catena tra l'entità, il ruolo e le policy attendibili crea questa istruzione:

«MediaLive può assumere questo ruolo per eseguire le operazioni sulle risorse specificate nelle politiche.»

Importante

Potresti conoscere il ruolo di entità affidabile che MediaLive deve funzionare con i canali in fase di esecuzione. Ti consigliamo di creare un ruolo di entità affidabile separato MediaLive da utilizzare con i dispositivi Link. Le autorizzazioni per i canali sono molto complicate. Le autorizzazioni per i dispositivi sono molto semplici. Tienili separati.

Autorizzazioni che richiedono MediaLive

Per poter utilizzare un dispositivo Link, è MediaLive necessario disporre delle autorizzazioni per le operazioni e le risorse MediaConnectand in Secrets Manager:

  • Per MediaConnect: MediaLive deve essere in grado di leggere i dettagli su un flusso.

  • Per Secrets Manager: il dispositivo crittografa sempre il contenuto a MediaConnect cui invia. Crittografa utilizzando una chiave di crittografia che. MediaLiveprovides MediaLive a sua volta ottiene la chiave di crittografia da un segreto che l' MediaConnect utente ha archiviato in Secrets Manager. Pertanto, è MediaLive necessaria l'autorizzazione per leggere la chiave di crittografia archiviata in un segreto.

Questa tabella specifica le operazioni e le risorse richieste.

Autorizzazioni Nome del servizio in IAM Azioni Risorse
Visualizza i dettagli di un flusso mediaconnect

DescribeFlow

 Tutte le risorse
Ottieni la chiave di crittografia dal segreto. Vedi la spiegazione dopo questa tabella. secretsmanager

GetSecretValue

 L'ARN di ogni segreto che contiene una chiave di crittografia a cui MediaLive deve accedere

Passaggio 1: creare la policy IAM

In questo passaggio, si crea una politica che prevede l'affermazione «Consenti a un principale di accedere alle azioni specificate di Secrets Manager sulla risorsa specificata». Nota che la politica non specifica un principale. Il principale viene specificato nel passaggio successivo, quando si imposta il ruolo di entità affidabile.

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra, seleziona Policies (Policy). Seleziona Create policy (Crea policy), quindi scegli la scheda JSON.

  3. Nell'editor delle politiche, cancella il contenuto di esempio e incolla quanto segue:

      { "Version":  "2012-10-17",
     "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "mediaconnect:DescribeFlow"
          ],
          "Resource": [
            "*"
      ]
    },
       { "Effect":  "Allow",
         "Action": [
           "secretsmanager:GetSecretValue"
        ],
         "Resource": [
        "arn:aws:secretsmanager:Region:account:secret:secret name"
      ]
    }
  ]
}

  4. Nella sezione Risorse di secretsmanager, sostituisci la regione, l'account e il nome segreto con valori reali.

  5. Aggiungi altre righe nella sezione Risorse o secretsmanager una per ogni segreto. Assicurati di includere una virgola alla fine di tutte le righe tranne l'ultima riga. Per esempio:

          "Resource": [
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL",
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30",
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01"
      ]

  6. Assegna un nome alla policy che chiarisca che questa policy riguarda Link and a flow. Ad esempio, medialiveForLinkFlowAccess.

  7. Scegli Crea policy.

Fase 2: Impostare il ruolo di entità affidabile

In questo passaggio, crei un ruolo che consiste in una politica di fiducia («let MediaLive call the AssumeRole action») e una politica (la politica appena creata). In questo modo, MediaLive ha il permesso di assumere il ruolo. Quando assume il ruolo, acquisisce le autorizzazioni specificate nella politica.

  1. Sulla console IAM, nel riquadro di navigazione a sinistra, scegli Ruoli, quindi Crea ruolo. Viene visualizzata la procedura guidata Crea ruolo. Questa procedura guidata illustra i passaggi per configurare un'entità attendibile e aggiungere le autorizzazioni (aggiungendo una politica).

  2. Nella pagina Seleziona un'entità affidabile, scegli la scheda dei criteri di fiducia personalizzati. Viene visualizzata la sezione Politica di fiducia personalizzata, con un esempio di politica.

  3. Cancellate l'esempio, copiate il testo seguente e incollatelo nella sezione Custom Trust Policy. La sezione Custom Trust Policy ora ha il seguente aspetto:

    {
    "Version": "2012-10-17",
    "Statement": [
	{
            "Effect": "Allow",
            "Principal": {
                "Service": "medialive.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. Seleziona Successivo.

  5. Nella pagina Aggiungi autorizzazioni, trova la politica che hai creato (ad esempio,medialiveForLinkFlowAccess) e seleziona la casella di controllo. Quindi scegli Successivo.

  6. Nella pagina di revisione, inserisci un nome per il ruolo. Ad esempio, medialiveRoleForLinkFlowAccess.

  7. Scegli Crea ruolo.