Controle do acesso ao Elastic Transcoder - Amazon Elastic Transcoder
Controle do acesso ao Elastic TranscoderPerfis de serviço de pipeline

Economize custos e obtenha mais recursos com AWS Elemental MediaConvert

MediaConvert é um novo serviço de transcodificação de vídeo baseado em arquivos que fornece um conjunto abrangente de recursos avançados de transcodificação, com tarifas sob demanda a partir de 0,0075 USD por minuto. Leia mais.

Já usa o Amazon Elastic Transcoder? É simples migrar para o. MediaConvert Para obter mais informações, consulte esta visão geral, que inclui informações valiosas sobre o processo de migração e links para recursos adicionais.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle do acesso ao Elastic Transcoder

O Amazon Elastic Transcoder permite que você AWS Identity and Access Management use o (IAM) para controlar o que os usuários podem fazer com o Elastic Transcoder e para controlar o acesso do Elastic Transcoder a outros serviços que o Elastic Transcoder exige. AWS Você controla o acesso usando políticas do IAM, que são uma coleção de permissões que podem ser associadas a um usuário do IAM, a um grupo do IAM ou a um perfil.

Controle do acesso ao Elastic Transcoder

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Para controlar o acesso do Elastic Transcoder a outros AWS serviços, você pode criar funções de serviço. Eles são perfis do IAM que você atribui ao criar um pipeline e que concedem permissões ao próprio Elastic Transcoder para realizar as tarefas associadas à transcodificação.

Para criar uma função para um Serviço da AWS (console do IAM)

  1. Faça login AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Funções e, em seguida, Criar função.

  3. Em Tipo de Entidade Confiável, escolha Serviço da AWS.

  4. Para Serviço ou caso de uso, escolha um serviço e, em seguida, escolha o caso de uso. Casos de uso são definidos pelo serviço para incluir a política de confiança exigida pelo serviço.

  5. Escolha Próximo.

  6. As opções para Políticas de permissões dependem do caso de uso selecionado.

    • Se o serviço definir as permissões para o perfil, não será possível selecionar políticas de permissões.

    • Selecione em um conjunto limitado de políticas de permissões.

    • Selecione entre todas as políticas de permissões.

    • Não selecione política de permissão alguma, crie políticas após a criação do perfil e, em seguida, anexe as políticas ao perfil.

  7. (Opcional) Defina um limite de permissões. Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço.

    1. Abra a seção Definir limite de permissões e escolha Usar um limite de permissões para controlar o número máximo de permissões do perfil.

      O IAM inclui uma lista das políticas AWS gerenciadas e gerenciadas pelo cliente em sua conta.

    2. Selecione a política a ser usada para o limite de permissões.

  8. Escolha Próximo.

  9. Para Nome do perfil, as opções dependem do serviço:

    • Se o serviço definir o nome do perfil, não será possível editar esse nome.

    • Se o serviço definir um prefixo para o nome do perfil, você poderá inserir um sufixo opcional.

    • Se o serviço definir o nome do perfil, você poderá atribuir um nome ao perfil.

      Importante

      Quando nomear um perfil, observe o seguinte:

      • Os nomes das funções devem ser exclusivos dentro de você Conta da AWS e não podem ser diferenciados por maiúsculas e minúsculas.

        Por exemplo, não crie dois perfis denominados PRODROLE e prodrole. Quando usado em uma política ou como parte de um ARN, o nome de perfil diferencia maiúsculas de minúsculas. No entanto, quando exibido para os clientes no console, como durante o processo de login, o nome de perfil diferencia maiúsculas de minúsculas.

      • Não é possível editar o nome do perfil depois de criá-lo porque outras entidades podem referenciar o perfil.

  10. (Opcional) Em Descrição, insira uma descrição para o perfil.

  11. (Opcional) Para editar os casos de uso e as permissões do perfil, escolha Editar nas seções Etapa 1: selecionar entidades confiáveis ou Etapa 2: adicionar permissões.

  12. (Opcional) Para ajudar a identificar, organizar ou pesquisar o perfil, adicione tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte Marcar recursos do IAM no Guia do usuário do IAM.

  13. Reveja a função e escolha Criar função.

Como exemplo de como os perfis de usuário e serviço são importantes durante o processo de transcodificação, o Elastic Transcoder precisa de um perfil de serviço para obter arquivos de um bucket do Amazon S3 e armazenar os arquivos transcodificados em outro bucket do Amazon S3, enquanto um usuário precisa de um perfil do IAM que permita a ele criar um trabalho no Elastic Transcoder.

Para obter mais informações sobre o IAM, consulte o Manual do usuário do IAM. Para obter mais informações sobre perfis de serviço, consulte Criação de uma função para um serviço da AWS.

Exemplos de políticas para o Elastic Transcoder

Para permitir que os usuários realizem funções administrativas no Elastic Transcoder, como criar pipelines e executar trabalhos, é necessário ter uma política que possa ser associada ao usuário. Esta seção mostra como criar uma política e também apresenta três políticas para controlar o acesso às operações do Elastic Transcoder e às operações de serviços relacionados nos quais o Elastic Transcoder depende. Você pode dar aos usuários da sua AWS conta acesso a todas as operações do Elastic Transcoder ou somente a um subconjunto delas.

Para obter mais informações sobre o gerenciamento de políticas, consulte Gerenciamento de políticas do IAM no Guia do usuário do IAM.

Para usar o editor de políticas JSON para criar uma política

  1. Faça login AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Policies (Políticas).

    Se essa for a primeira vez que você escolhe Políticas, a página Bem-vindo às políticas gerenciadas será exibida. Escolha Começar.

  3. Na parte superior da página, escolha Criar política.

  4. Na seção Editor de políticas, escolha a opção JSON.

  5. Insira ou cole um documento de política JSON. Para obter detalhes sobre a linguagem da política do IAM, consulte a referência de política JSON do IAM.

  6. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação de política e depois escolha Próximo.

    nota

    Você pode alternar entre as opções de editor Visual e JSON a qualquer momento. Porém, se você fizer alterações ou escolher Próximo no editor Visual, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte Restruturação de política no Guia do usuário do IAM.

  7. (Opcional) Ao criar ou editar uma política no AWS Management Console, você pode gerar um modelo de política JSON ou YAML que pode ser usado em AWS CloudFormation modelos.

    Para fazer isso, no editor de políticas, escolha Ações e, em seguida, escolha Gerar CloudFormation modelo. Para saber mais AWS CloudFormation, consulte a referência do tipo de AWS Identity and Access Management recurso no Guia AWS CloudFormation do usuário.

  8. Quando terminar de adicionar as permissões à política, escolha Avançar.

  9. Na página Revisar e criar, insira um Nome de política e uma Descrição (opcional) para a política que você está criando. Revise Permissões definidas nessa política para ver as permissões que são concedidas pela política.

  10. (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte Marcar recursos do IAM no Guia do usuário do IAM.

  11. Escolha Criar política para salvar sua nova política.

Conceder acesso somente leitura ao Elastic Transcoder e ao Amazon S3

A seguinte política concede acesso somente leitura aos recursos do Elastic Transcoder e acesso à operação de listagem do Amazon S3. Essa política é útil para permissões que permitem encontrar e visualizar arquivos transcodificados e ver quais buckets estão disponíveis para a conta do IAM, mas que não precisam da capacidade de atualizar, criar ou excluir recursos ou arquivos. Essa política também permite listar todos os pipelines, predefinições e trabalhos disponíveis para a conta do IAM. Para restringir o acesso a um determinado bucket, consulte Restrição do acesso a certos recursos.

{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "elastictranscoder:Read*",
            "elastictranscoder:List*",
            "s3:List*"
         ],
         "Resource": "*"
      }
   ]
}

Conceder permissão para criar trabalhos

A política a seguir concede permissões para listar e obter todos os recursos do Elastic Transcoder associados à conta, criar ou modificar trabalhos e predefinições, e usar as operações de listagem do Amazon S3 e do Amazon SNS.

Essa política é útil para modificar configurações de transcodificação e a capacidade de criar ou excluir predefinições ou trabalhos. Ela não permite a criação, atualização ou exclusão de pipelines, buckets do Amazon S3 ou notificações do Amazon SNS.

{
    "Version":"2012-10-17",
    "Statement": [
       {
           "Effect": "Allow",
           "Action": [
               "elastictranscoder:Read*",
               "elastictranscoder:List*",
               "elastictranscoder:*Job",
               "elastictranscoder:*Preset",
               "s3:List*",
               "sns:List*"
           ],
           "Resource": "*"
       }
    ]
}

Operações do Elastic Transcoder com acesso controlável

Veja a seguir a lista completa de operações do Elastic Transcoder.


    elastictranscoder:CancelJob
    elastictranscoder:CreateJob
    elastictranscoder:CreatePipeline
    elastictranscoder:CreatePreset
    elastictranscoder:DeletePipeline
    elastictranscoder:DeletePreset
    elastictranscoder:ListJobsByPipeline
    elastictranscoder:ListJobsByStatus
    elastictranscoder:ListPipelines
    elastictranscoder:ListPresets
    elastictranscoder:ReadJob
    elastictranscoder:ReadPipeline
    elastictranscoder:ReadPreset
    elastictranscoder:TestRole
    elastictranscoder:UpdatePipeline
    elastictranscoder:UpdatePipelineNotifications
    elastictranscoder:UpdatePipelineStatus

Restrição do acesso a certos recursos

Além de restringir o acesso a operações (ações), você pode restringir ainda mais o acesso a trabalhos, pipelines, trabalhos e predefinições específicos, que chamamos de concessão de permissões no nível do recurso.

Para restringir ou conceder acesso a um subconjunto de recursos do Elastic Transcoder, inclua o ARN do recurso no elemento de recurso de sua política. Os ARNs do Elastic Transcoder têm o seguinte formato geral:

arn:aws:elastictranscoder:region:account:resource/ID

Substitua as variáveis região, conta, recurso e ID por valores válidos. Os valores válidos podem ser os seguintes:

  • região: o nome da região. Uma lista das regiões está disponível aqui. Para indicar todas as regiões, use um curinga (*). Você deve especificar um valor.

  • conta: o ID da AWS conta. Você deve especificar um valor.

  • recurso: o tipo de recurso do Elastic Transcoder; preset, pipeline ou job.

  • ID: O ID da predefinição, pipeline ou tarefa específica, ou * para indicar todos os recursos do tipo especificado que estão associados à AWS conta atual.

Por exemplo, o ARN a seguir especifica todos os recursos de predefinição na região us-east-2 para a conta 111122223333:

arn:aws:elastictranscoder:us-east-2:111122223333:preset/*

Para encontrar o ARN de um recurso, clique no ícone de lupa ( ) ao lado do nome do recurso no pipeline, na predefinição ou nas páginas do console de trabalho.

Para obter mais informações, consulte Recursos no Guia do usuário do IAM.

Exemplo de política para restrição de recursos

A política a seguir concede permissões ao bucket chamado DOC-EXAMPLE-BUCKET no Amazon S3, permissões de lista e leitura para tudo no Elastic Transcoder e permissão para criar trabalhos no pipeline chamado example_pipeline.

Esta política é útil para usuários do SDK e da CLI que precisam ver quais arquivos e recursos estão disponíveis e usar esses recursos para criar seus próprios trabalhos de transcodificação. Ela não permite a atualização ou exclusão de recursos, criação de recursos que não sejam trabalhos ou o trabalho com recursos diferentes dos especificados aqui, e não funcionará para os usuários do console.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"1",
         "Effect":"Allow",
         "Action":[
            "s3:ListAllMyBuckets",
            "s3:GetBucketLocation",
            "s3:ListBucket",
            "s3:GetObject",
            "s3:PutObject"
            ],
         "Resource":[
             "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
             "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ]
      },
      {
         "Sid":"2",
         "Effect":"Allow",
         "Action":[
            "elastictranscoder:List*",
            "elastictranscoder:Read*",
            "elastictranscoder:CreateJob"
         ],
         "Resource":[
            "arn:aws:elastictranscoder:region:account:pipeline/example_pipeline",
            "arn:aws:elastictranscoder:region:account:job/*"
         ]
      }
   ]
}

Perfis de serviço para pipelines do Elastic Transcoder

Ao criar um pipeline que gerencia seus trabalhos de transcodificação, você deve especificar um perfil de serviço do IAM. O perfil de serviço do IAM tem uma política que especifica as permissões usadas pelo pipeline para transcodificação.

Você tem duas opções quando especifica uma função para um pipeline:

  • Use a função padrão, que inclui apenas as permissões de que o Elastic Transcoder precisa para transcodificação. Se você usar o console do Elastic Transcoder para criar seus pipelines, quando criar seu primeiro pipeline, o console dará a você a opção de criar a função padrão automaticamente. Você deve ter permissões administrativas para criar perfis de serviço do IAM, inclusive a função padrão.

  • Escolher uma função existente. Nesse caso, você deve ter criado anteriormente a função no IAM e associado uma política à função que dá ao Elastic Transcoder permissões suficientes para transcodificar seus arquivos. Isso é útil se você também deseja usar a função para outros serviços da AWS .

O perfil padrão do IAM para pipelines

O perfil padrão criado pelo Elastic Transcoder permite que o Elastic Transcoder execute as seguintes operações:

  • Obter um arquivo de um bucket do Amazon S3 para transcodificação.

  • Listar o conteúdo de qualquer bucket do Amazon S3.

  • Salvar um arquivo transcodificado em um bucket do Amazon S3.

  • Criar um multipart upload do Amazon S3.

  • Publicar uma notificação em qualquer tópico do SNS.

A política impede que o Elastic Transcoder execute qualquer uma das operações a seguir:

  • Executar qualquer operação de exclusão do Amazon SNS, ou adicionar ou remover uma declaração de política em um tópico.

  • Executar qualquer operação de bucket do Amazon S3 ou de exclusão de item, ou adicionar, remover ou modificar uma política de bucket.

A definição da política de acesso (permissão) para a função padrão é semelhante ao seguinte:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"1",
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:ListBucket",
            "s3:Put*",
            "s3:*MultipartUpload*"
         ],
         "Resource":"*"
      },
      {
         "Sid":"2",
         "Effect":"Allow",
         "Action":"sns:Publish",
         "Resource":"*"
      },
      {
         "Sid":"3",
         "Effect":"Deny",
         "Action":[
            "sns:*Permission*",
            "sns:*Delete*",
            "sns:*Remove*",
            "s3:*Policy*",
            "s3:*Delete*"
         ],
         "Resource":"*"
      }
   ]
}

Regiões compatíveis com funções vinculadas ao serviço do Elastic Transcoder

O Elastic Transcoder é compatível com o uso de funções vinculadas ao serviço nas regiões a seguir.

Nome da região Identidade da região Suporte no Elastic Transcoder
Leste dos EUA (Norte da Virgínia) us-east-1 Sim
Leste dos EUA (Ohio) us-east-2 Não
Oeste dos EUA (N. da Califórnia) us-west-1 Sim
Oeste dos EUA (Oregon) us-west-2 Sim
Ásia-Pacífico (Mumbai) ap-south-1 Sim
Ásia-Pacífico (Osaka) ap-northeast-3 Não
Ásia-Pacífico (Seul) ap-northeast-2 Não
Ásia-Pacífico (Singapura) ap-southeast-1 Sim
Ásia-Pacífico (Sydney) ap-southeast-2 Sim
Ásia-Pacífico (Tóquio) ap-northeast-1 Sim
Canadá (Central) ca-central-1 Não
Europa (Frankfurt) eu-central-1 Não
Europa (Irlanda) eu-west-1 Sim
Europa (Londres) eu-west-2 Não
Europa (Paris) eu-west-3 Não
América do Sul (São Paulo) sa-east-1 Não