选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

将 MediaLive 设置为可信实体

PDF
RSS
聚焦模式
将 MediaLive 设置为可信实体 - MediaLive
步骤 1:创建 IAM 策略第 2 步:设置可信实体角色

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如果您的组织将使用 Link 设备作为 MediaConnect 流的源,IAM 管理员必须考虑 MediaLive 所需的特殊权限。

您必须将 MediaLive 设置为可信实体。在可信实体关系中,角色将 MediaLive 标识为可信实体。一个或多个策略附加到该角色。每个策略包含有关所允许操作和资源的声明。可信实体、角色和策略之间的关联组成了此声明:

“允许 MediaLive 担任此角色以对策略中指定的资源执行操作。”

重要

您可能熟悉 MediaLive 在运行时处理通道所需的可信实体角色。我们建议您为 MediaLive 创建单独的可信实体角色,以便与 Link 设备一起使用。通道的权限非常复杂。设备的权限非常简单。对它们进行区分。

MediaLive 所需的权限

要使用 Link 设备,MediaLive 必须对 MediaConnect和 Secrets Manager 中的操作和资源具有权限:

  • 对于 MediaConnect:MediaLive 必须能够读取有关流的详细信息。

  • 对于 Secrets Manager:设备始终对其发送到 MediaConnect 的内容进行加密。它使用 MediaLive 提供的加密密钥进行加密。反过来,MediaLive 从 MediaConnect 用户在 Secrets Manager 中存储的密钥中获取加密密钥。因此,MediaLive 需要有权限,才能读取密钥中存储的加密密钥。

此表指定了所需的操作和资源。

权限 IAM 中的服务名称 操作 资源
查看流的详细信息 mediaconnect

DescribeFlow

 所有资源
从密钥中获取加密密钥。请参阅此表后面的解释。 secretsmanager

GetSecretValue

 存储 MediaLive 需要访问的加密密钥的每个密钥的 ARN

步骤 1:创建 IAM 策略

在此步骤中,您将创建一个策略,声明“允许主体访问指定资源上的指定 Secrets Manager 操作”。请注意,该策略未指定主体。在下一步中设置可信实体角色时,您可以指定主体。

  1. 登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择策略。选择 Create policy(创建策略),然后选择 JSON 选项卡。

  3. 策略编辑器中,清除示例内容并粘贴以下内容:

      { "Version":  "2012-10-17",
     "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "mediaconnect:DescribeFlow"
          ],
          "Resource": [
            "*"
      ]
    },
       { "Effect":  "Allow",
         "Action": [
           "secretsmanager:GetSecretValue"
        ],
         "Resource": [
        "arn:aws:secretsmanager:Region:account:secret:secret name"
      ]
    }
  ]
}

  4. secretsmanager资源部分中,将区域、账户和密钥名称替换为实际值。

  5. 资源部分或 secretsmanager 中添加更多行,每个密钥一行。确保在所有行(除最后一行外)的末尾都添加一个逗号。例如:

          "Resource": [
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL",
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30",
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01"
      ]

  6. 为策略命名,以明确此策略适用于 Link 和流。例如,medialiveForLinkFlowAccess

  7. 选择创建策略

第 2 步:设置可信实体角色

在此步骤中,您将创建由信任策略(“让 MediaLive 调用 AssumeRole 操作”)和策略(您刚刚创建的策略)组成的角色。这样一来,MediaLive 有权担任角色。当它担任角色时,它将获得策略中指定的权限。

  1. 在 IAM 控制台的左侧导航窗格中,选择角色,然后选择创建角色。此时系统会显示创建角色向导。此向导将引导您设置可信实体和添加权限(通过添加策略)。

  2. 选择可信实体页面上,选择自定义信任策略卡片。自定义信任策略部分会显示,其中包含示例策略。

  3. 删除示例,复制以下文本,然后将文本粘贴到自定义信任策略部分。自定义信任策略部分现在如下所示:

    {
    "Version": "2012-10-17",
    "Statement": [
	{
            "Effect": "Allow",
            "Principal": {
                "Service": "medialive.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. 选择下一步

  5. 添加权限页面上,找到您创建的策略(例如 medialiveForLinkFlowAccess),然后选中相应的复选框。然后选择下一步

  6. 在审核页面上,输入角色的名称。例如,medialiveRoleForLinkFlowAccess

  7. 选择 Create role(创建角色)。

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。