步骤 3：设置 IAM 权限

接下来，您必须创建 Amazon Identity and Access Management（IAM）policy，以授予用户一组基本权限（例如，创建 Amazon IVS 通道、获取流信息以及自动录制到 S3），并将该策略分配给用户。您可以在创建新用户时分配权限，也可以向现有用户添加权限。这两项程序如下。

有关更多信息（例如，了解 IAM 用户和策略、如何将策略附加到用户以及如何限制用户可以使用 Amazon IVS 执行的操作），请参见：

• IAM 用户指南中的创建 IAM 用户

• Amazon IVS 安全性 中关于 IAM 和“IVS 的托管式策略”的信息。

• 对于“录制到 S3”功能：使用服务相关角色和 Amazon IVS 用户指南中的 自动录制到 Amazon S3。

您可以对 Amazon IVS 使用现有的 AWS 托管式策略，也可以创建新策略，该策略可自定义想要授予一组用户、组或角色的权限。下面介绍了这两种方法。

使用 IVS 权限的现有策略

在大多数情况下，您需要对 Amazon IVS 使用 AWS 托管式策略。IVS 安全性的 IVS 的托管式策略部分对其进行了全面描述。

• 使用 IVSReadOnlyAccess AWS 托管式策略，您的应用程序开发人员可以访问所有 IVS Get 和 List API 端点（低延迟和实时直播均适用）。

• 使用 IVSFullAccess AWS 托管式策略，您的应用程序开发人员可以访问所有 IVS API 端点（低延迟和实时直播均适用）。

可选：为 Amazon IVS 权限创建自定义策略

按照以下步骤进行操作：

1. 登录 Amazon 管理控制台，并通过以下网址打开 IAM 控制台：https://console.aws.amazon.com/iam/。

2. 在导航窗格中，选择策略，然后选择创建策略。这时将会打开指定权限窗口。

3. 在指定权限窗口中，选择 JSON 选项卡，然后复制下列 IVS 策略并粘贴到策略编辑器文本区域。[该策略不包括所有 Amazon IVS 操作。您可以根据需要添加/删除（允许/拒绝）端点访问权限。有关 IVS 端点的详细信息，请参阅 IVS Low-Latency Streaming API Reference。

   {
      "Version": "2012-10-17",
      "Statement": [
         {
            "Effect": "Allow",
            "Action": [
               "ivs:CreateChannel",
               "ivs:CreateRecordingConfiguration",
               "ivs:GetChannel",
               "ivs:GetRecordingConfiguration",
               "ivs:GetStream",
               "ivs:GetStreamKey",
               "ivs:GetStreamSession",
               "ivs:ListChannels",
               "ivs:ListRecordingConfigurations",
               "ivs:ListStreamKeys",
               "ivs:ListStreams",
               "ivs:ListStreamSessions"
             ],
             "Resource": "*"
         },
         {
            "Effect": "Allow",
            "Action": [
               "cloudwatch:DescribeAlarms",
               "cloudwatch:GetMetricData",
               "s3:CreateBucket",
               "s3:GetBucketLocation",
               "s3:ListAllMyBuckets",
               "servicequotas:ListAWSDefaultServiceQuotas",
               "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
               "servicequotas:ListServiceQuotas",
               "servicequotas:ListServices",
               "servicequotas:ListTagsForResource"
            ],
            "Resource": "*"
         },
         {
            "Effect": "Allow",
            "Action": [
               "iam:AttachRolePolicy",
               "iam:CreateServiceLinkedRole",
               "iam:PutRolePolicy"
            ],
            "Resource": 
   "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
         }
      ]
   }

4. 继续在指定权限窗口中，选择下一步（滚动到窗口底部即可看到此按钮）。这时将打开检查并创建窗口。

5. 在检查并创建窗口中，输入策略名称，此外还可以选择添加描述。记下策略名称，因为您在创建用户时需要使用该名称（如下文所述）。选择 Create policy（创建策略）（位于窗口底部）。

6. 您将返回到 IAM 控制台窗口，您应该会在该窗口中看到一条横幅，确认您的新策略已创建。

创建新用户并添加权限

IAM 用户访问密钥

IAM 访问密钥包含一个访问密钥 ID 和一个秘密访问密钥。它们用于对您向 Amazon 发出的编程请求进行签名。如果没有访问密钥，您可以从 Amazon 管理控制台创建。作为最佳实践，请勿创建根用户访问密钥。

仅当创建访问密钥时，您才能查看或下载秘密访问密钥。以后您无法恢复它们。但是，您随时可以创建新的访问密钥；您必须拥有执行所需 IAM 操作的权限。

请务必安全地存储访问密钥。切勿与第三方共享（即使查询似乎来自 Amazon）。有关更多信息，请参阅《 IAM 用户指南》中的管理 IAM 用户的访问密钥。

过程

按照以下步骤进行操作：

1. 在导航窗格中，选择用户，然后选择创建用户。这时将会打开指定用户详细信息窗口。

2. 在指定用户详细信息窗口中：

   1. 在用户详细信息下，键入要创建的新用户名。

   2. 选中授予用户访问亚马逊云科技管理控制台的权限。

   3. 出现提示时，请选择我要创建 IAM 用户。

   4. 在控制台密码下，选择自动生成的密码。

   5. 选中用户下次登录时必须修改密码旁的复选框。

   6. 选择下一步。这时将会打开设置权限窗口。

3. 在设置权限下，选择直接附加策略。这时将会打开权限策略窗口。

4. 在搜索框中，输入 IVS 策略名称（AWS 托管式策略或您之前创建的自定义策略）。找到该策略后，选中复选框以选择该策略。

5. 选择下一步（位于窗口底部）。这时将打开检查并创建窗口。

6. 在检查并创建窗口中，确认所有用户详细信息均正确无误，然后选择创建用户（位于窗口底部）。

7. 这时将会打开找回密码窗口，其中包含您的控制台登录详细信息。妥善保存好此信息，以备将来参考。完成后，选择返回用户列表。

向现有用户添加权限

按照以下步骤进行操作：

1. 登录 Amazon 管理控制台，并通过以下网址打开 IAM 控制台：https://console.aws.amazon.com/iam/。

2. 在导航窗格中，选择用户，然后选择要更新的现有用户名。（单击选择用户名；不要选中选择框。）

3. 在摘要页面的权限选项卡中，选择添加权限。这时将会打开添加权限窗口。

4. 选择 Attach existing policies directly（直接附加现有策略）。这时将会打开权限策略窗口。

5. 在搜索框中，输入 IVS 策略名称（AWS 托管式策略或您之前创建的自定义策略）。找到该策略后，选中复选框以选择该策略。

6. 选择下一步（位于窗口底部）。这时将会打开检查窗口。

7. 在检查窗口中，选择添加权限（位于窗口底部）。

8. 在 Summary（摘要）页面上，确认已添加 IVS 策略。