本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
针对 CDN 授权的 Secrets Manager 访问
如果您使用内容分发网络(CDN)授权标头来限制对 MediaPackage 中端点的访问,则需要一个策略以允许您在 Secrets Manager 中执行以下操作:
-
GetSecretValue:MediaPackage 可以从密钥版本中检索加密的授权代码。 -
DescribeSecret:MediaPackage 可以检索机密的详细信息,不包括加密字段。 -
ListSecrets:MediaPackage 可以检索 AWS 账户中的密钥列表。 -
ListSecretVersionIds:MediaPackage 可以检索附加到指定密钥的所有版本。
注意
对于存储在 Secrets Manager 中的每个密钥,您不需要单独的策略。如果您创建的策略类似于以下过程中描述的策略,MediaPackage 可以访问此区域中您账户的所有密钥。
使用 JSON 策略编辑器创建策略
登录AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在左侧的导航栏中,选择 Policies (策略)。
如果这是您首次选择 Policies,则会显示 Welcome to Managed Policies 页面。选择开始使用。
-
在页面的顶部,选择 Create policy (创建策略)。
-
请选择 JSON 选项卡。
-
输入以下 JSON 策略文档,将
region、account-id、secret-name,以及role-name替换为您自己的信息:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "arn:aws:secretsmanager:region:account-id:secret:secret-name" ] }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::account-id:role/role-name" } ] } -
选择Review policy(查看策略)。
注意
您可以随时在可视化编辑器和 JSON 选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择 Review policy (查看策略),IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅《IAM 用户指南》中的调整策略结构。
-
在 Review policy (查看策略) 页面上,为创建的策略输入 Name (名称) 和 Description (说明)(可选)。查看策略摘要以查看您的策略授予的权限。然后,选择创建策略以保存您的工作。
