可信实体的访问要求

下表显示了 MediaLive 可信实体可能需要的所有权限类型。确定可 MediaLive 信实体的访问要求时，请参阅此表。

该列中的每一行都描述了 MediaLive 可信实体可能需要为用户执行的一项或一组相关任务。第三列描述了可信实体执行该任务所需的访问权限类型。最后一列列出了控制该访问权限的IAM操作或策略。


服务	任务	所需的访问类型	建议的行动或政策
AWS Elemental MediaLive	使用 MediaLive 功能。	MediaLive 不需要访问自身。只有用户需要访问权限。
AWS CloudTrail	捕捉 MediaLive 活动。	MediaLive 不需要IAM访问权限即可完成此任务。
CloudWatch	在控制台上显示 CloudWatch 指标信息，以监控频道运行状况。	MediaLive 不需要IAM访问权限即可完成此任务。只有用户需要访问权限。
CloudWatch 活动和亚马逊 SNS	设置电子邮件通知，以便用户可以收到有关发送到 CloudWatch 事件的 MediaLive 警报的通知。	MediaLive 不需要访问权限即可完成此任务。只有用户需要访问权限。
CloudWatch 日志	频道运行时将频道 CloudWatch 日志信息发送到日志。	频道运行时。 MediaLive 必须能够向日志发送 CloudWatch 日志消息 .	`CreateLogGroup` `CreateLogStream` `PutLogEvents` `PutMetricFilter` `PutRetentionPolicy` `DescribeLogStreams` `DescribeLogGroups` 以及下列资源： `arn:aws:logs:`* `arn:aws:log-group:`*
Amazon EC2	创建CDIVPC、RTPVPC输入或RTMPVPC推送输入。	当用户创建VPC输入时。 MediaLive 必须拥有对 Amazon 的写入权限 EC2 以便为输入创建网络接口。	`CreateNetworkInterface` `CreateNetwork InterfacePermission` `DescribeNetworkInterfaces` `DescribeSecurityGroups` `DescribeSubnets`
	删除一个CDIVPC、一个RTPVPC输入或一个RTMPVPC推送输入。	当用户删除VPC输入时。 MediaLive 必须具有对 Amazon Elastic Compute Cloud 的写入权限才能删除输入的网络接口。	`DeleteNetworkInterface` `DeleteNetworkInterfacePermission` `DescribeNetworkInterfaces` `DescribeSubnets`
	设置通过您的渠道交付输出 VPC	在上创建和删除弹性网络接口VPC。 MediaLive 在子网中为信道管道端点创建这些网络接口。	`CreateNetworkInterface` `CreateNetworkInterfacePermission` `DeleteNetworkInterface` `DescribeSubnets` `DescribeSecurityGroups` `DescribeAddresses`
	设置通过您的渠道交付输出 VPC	将弹性 IP 地址与 MediaLive 创建的弹性网络接口相关联。关联弹性 IP 地址是可选的。无需授予访问权限`DisassociateAddress`。 MediaLive 删除任何不必要的网络接口时，弹性 IP 地址将自动取消与网络接口的关联。	`AssociateAddress` `DescribeAddresses`
AWS Elemental MediaConnect	创建 MediaConnect 输入。	当用户创建 MediaConnect 输入时。 MediaLive 必须对该流程具有读/写访问权限，才能向该 MediaConnect 流程添加输出。	`ManagedDescribeFlow` `ManagedAddOutput` 要将这些以 “托管” 开头的操作包含在策略中，您必须在JSON选项卡中查看策略并输入操作的名称。您不能使用 visual editor (可视化编辑器) 选择这些操作。
	删除 MediaConnect 输入。	当用户删除 MediaConnect 输入时。 MediaLive 应该具有对 MediaConnect 流的读/写访问权限，以便删除流程上的输出，因为不再需要这些输出。	`ManagedDescribeFlow` `ManagedRemoveOutput` 要将这些以 “托管” 开头的操作包含在策略中，您必须在JSON选项卡中查看策略并输入操作的名称。您不能使用 visual editor (可视化编辑器) 选择这些操作。
	创建 MediaConnect 授权。当用户创建多路复用时， MediaLive 会自动创建授权作为目的地。MPTS	MediaLive 不需要访问权限即可完成此任务。
AWS Elemental MediaPackage	如果您的部署使用此服务，则将频道输出发送到频道运行 MediaPackage 时。	当用户创建 MediaPackage 输出组时。 MediaLive 必须具有 AWS Elemental MediaPackage 频道的读取权限，才能获得发送到该频道所需的凭证。	`DescribeChannel`
AWS Elemental MediaPackage	如果您的部署使用的是该服务的版本 MediaPackage 2，则在频道运行时将频道输出发送到 v2。要以这种方式交付，您需要创建HLS输出组，而不是 MediaPackage 输出组。	频道运行时。当该频道包含传送到使用 MediaPackage v2 的 MediaPackage 频道的HLS输出时。 MediaLive 必须具有 AWS Elemental MediaPackage 频道的写入权限。	`mediapackagev2:PutObject`
AWS Elemental MediaStore	如果您的部署使用此服务，则在频道运行时从 MediaStore 容器发送和检索资产。	频道运行时。 MediaLive 必须具有读取权限（对于源）或读/写访问权限（对于目标）。	`ListContainers` `DescribeObject` `PutObject` `GetObject` `DeleteObject`
资源组标记	在创建资源（渠道、输入和输入安全组）时附加标签，并修改现有资源的标签。	MediaLive 不需要IAM访问权限即可完成此任务。只有用户需要访问权限。
Amazon S3	如果您的部署使用此服务，则在通道运行时从 Amazon S3 存储桶发送和检索资产。	频道运行时。 MediaLive 必须对存储桶具有读取权限（对于源）或读/写权限（对于目标）。	`ListBucket` `PutObject` `GetObject` `DeleteObject`
Amazon S3	如果频道启用了输入缩略图，则在频道运行时向 Amazon S3 存储桶发送缩略图	频道运行时。 MediaLive 必须具有读/写访问权限。	`PutObject`
AWS Systems Manager	在 MediaLive 控制台上创建密码参数。	MediaLive 不需要IAM访问权限即可完成此任务。只有用户需要访问权限。
AWS Systems Manager	在频道配置中使用密码参数。请参阅 AWS Systems Manager—password 参数的要求。	频道运行时。 MediaLive 必须具有对 AWS Systems Manager 参数存储区的读取权限。	托管策略 `AmazonSSMRead OnlyAccess`

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

步骤 4：设置用户权限

合作方式 MediaLive