对 AWS Elemental MediaTailor 身份和访问进行故障排除 - AWS Elemental MediaTailor
我无权在以下位置执行操作 MediaTailor我无权执行 iam:PassRole我想允许我以外的人 AWS 账户 访问我的 MediaTailor 资源MediaTailor 无法访问我的 Amazon S3 存储桶

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 AWS Elemental MediaTailor 身份和访问进行故障排除

使用以下信息来帮助您诊断和修复在使用 MediaTailor 和 IAM 时可能遇到的常见问题。

我无权在以下位置执行操作 MediaTailor

如果您收到错误提示,指明您无权执行某个操作,则必须更新策略以允许执行该操作。

mateojackson IAM 用户尝试使用控制台查看有关虚构 my-example-widget 资源的详细信息,但不拥有虚构 mediatailor:GetWidget 权限时,会发生以下示例错误。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: mediatailor:GetWidget on resource: my-example-widget

在此情况下,必须更新 mateojackson 用户的策略,以允许使用 mediatailor:GetWidget 操作访问 my-example-widget 资源。

如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。

我无权执行 iam:PassRole

如果您收到一个错误,表明您无权执行 iam:PassRole 操作,则必须更新策略以允许您将角色传递给 MediaTailor。

有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。

当名为 marymajor 的 IAM 用户尝试使用控制台在 MediaTailor 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

在这种情况下,必须更新 Mary 的策略以允许她执行 iam:PassRole 操作。

如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。

我想允许我以外的人 AWS 账户 访问我的 MediaTailor 资源

您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。

要了解更多信息,请参阅以下内容:

MediaTailor 无法访问我的 Amazon S3 存储桶

如果在尝试访问您的 Amazon S3 存储桶中的内容时 MediaTailor 返回错误,请检查以下常见原因:

亚马逊 S3 权限问题

错误症状:

  • 502 BadGatewayException包含与 Amazon S3 相关的消息

  • 403 Forbidden MediaTailor 日志中的错误

  • 无法从 Amazon S3 源加载内容

解决方案:

  1. 验证您的 MediaTailor 服务角色是否具有所需的 Amazon S3 权限:

    JSON
    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": "arn:aws:s3:::your-vod-bucket/*"
        },
        {
            "Effect": "Allow", 
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::your-vod-bucket"
        }
    ]
}

  2. 检查您的 Amazon S3 存储桶策略是否允许 MediaTailor 访问:

    JSON
    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/MediaTailorServiceRole"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": "arn:aws:s3:::your-vod-bucket/*"
        }
    ]
}

HTTPS 访问问题

错误症状:

  • SSL/TLS 握手失败

  • 502 Bad Gateway访问 HTTPS 时 Amazon S3 URLs

解决方案:

  1. 确保您的亚马逊 S3 存储桶策略需要 HTTPS:

    JSON
    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::your-vod-bucket",
                "arn:aws:s3:::your-vod-bucket/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  2. 验证 MediaTailor 配置是否使用 HTTPS URLs 来处理亚马逊 S3 内容。

跨账户访问 Amazon S3

错误症状:

  • Access Denied当 Amazon S3 存储桶位于不同的账户中时出错

  • MediaTailor 无法担任跨账户角色

解决方案:

  1. 将内容账户中的 Amazon S3 存储桶策略更新为信任 MediaTailor的服务角色

  2. 向的服务角色添加跨账户权限 MediaTailor

  3. 确保两个账户都配置了正确的信任关系