步骤 A：确定访问要求

您必须确定 MediaLive 将在部署中与之交互的服务。然后，在每项服务中，您必须确定 MediaLive 需要访问的操作和资源。最后，您必须设计处理这些要求的 IAM 策略。

在您的组织中，必须由了解组织的资源访问要求的人员来执行此要求分析。此人必须了解是否要求限制 MediaLive 渠道访问其他 AWS 服务中的资源。例如，此人应确定是否应限制通道访问 Amazon S3 中的存储桶，以便指定通道可以访问某些存储桶，而不能访问其他存储桶。

确定以下各项的访问要求 MediaLive

1. 有关 MediaLive 通常需要访问参考： MediaLive 可信实体的要求摘要的服务的信息，请参阅中的表。确定您的部署使用其中哪些服务以及需要哪些操作。

2. 在服务中，确定您需要创建的策略数。您是否需要多个针对不同工作流的对象和操作的不同组合？是否需要出于安全原因单独保留这些组合？

   具体而言，确定您是否需要为不同工作流访问不同资源，以及是否必须将访问权限限制为特定资源。例如，在 P AWS Systems Manager arameter Store 中，您可能有属于不同工作流程的密码，并且可能只允许特定用户访问任何给定工作流程的密码。

   如果对于对象、操作和资源，不同工作流有不同要求，则对于该服务，您需要适用于各个工作流的单独策略。

3. 设计各个策略：确定允许（或不允许）的对象、操作以及策略中允许（或不允许）的资源。

4. 确定您是否已发现托管策略涵盖了任意策略。

5. 对于每个工作流，确定您对该工作流使用的所有服务需要的策略。创建策略时，您将能够在策略中包含多项服务。不需要为每个单独的服务创建一个策略。

6. 确定您需要的角色的数量。对于每个唯一的策略组合，您需要一个角色。

7. 将名称分配到您已确定的所有策略和角色。请注意，这些名称中不要包含敏感识别信息（例如客户账户名称）。