設定 MediaLive 為信任的實體 - MediaLive
步驟 1:建立 IAM 政策步驟 2:設定信任的實體角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 MediaLive 為信任的實體

如果您的組織將使用 Link 裝置作為 MediaConnect 流程的來源,則 IAM 管理員必須考慮所 MediaLive需的特殊許可。

您必須設定 MediaLive 為受信任的實體。在受信任的實體關聯中,角色會識別 MediaLive 為受信任的實體。一或多個原則附加至角色。而每個政策都包含允許操作和資源的相關陳述式。信任實體、角色與政策之間的鏈結會發出此陳述式:

「MediaLive 被允許擔任此角色,以便對策略中指定的資源執行操作。」

重要

您可能熟悉 MediaLive 需要在執行階段使用通道的受信任實體角色。建議您建立個別的受信任實體角色, MediaLive 以便與 Link 裝置搭配使用。頻道的權限非常複雜。設備的權限非常簡單。保持他們分開。

MediaLive 需要的權限

若要使用連結裝置, MediaLive 必須擁有 Secrets Manager 中的作業和資源 MediaConnectand 的權限:

  • 對於 MediaConnect: MediaLive 必須能夠讀取有關流程的詳細資訊。

  • 針對 Secrets Manager:裝置一律會加密傳送至 MediaConnect的內容。它使用加密密鑰進行加密。 MediaLiveprovides MediaLive 反過來會從 MediaConnect 使用者儲存在 Secret 管理員中的秘密取得加密金鑰。因此, MediaLive 需要權限才能讀取儲存在機密中的加密金鑰。

此表格指定必要的作業和資源。

許可 IAM 中的服務名稱 動作 資源
檢視流程的詳細資訊 mediaconnect

DescribeFlow

 所有 資源
從密碼取得加密金鑰。請參閱此表格後面的說明。 secretsmanager

GetSecretValue

 每個密鑰的 ARN,其中包含 MediaLive 需要訪問的加密密鑰

步驟 1:建立 IAM 政策

在此步驟中,您會建立使陳述式「讓主參與者可以存取指定資源上指定的 Secrets Manager 動作」的策略。請注意,原則不會指定主體。當您設定受信任的實體角色時,請在下一個步驟中指定主體。

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在左側的導覽窗格中,選擇 Policies (政策)。選擇 Create Policy (建立政策),然後選擇 JSON 標籤。

  3. 原則編輯器中,清除範例內容並貼上下列內容:

      { "Version":  "2012-10-17",
     "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "mediaconnect:DescribeFlow"
          ],
          "Resource": [
            "*"
      ]
    },
       { "Effect":  "Allow",
         "Action": [
           "secretsmanager:GetSecretValue"
        ],
         "Resource": [
        "arn:aws:secretsmanager:Region:account:secret:secret name"
      ]
    }
  ]
}

  4. secretsmanager 的 [資源] 區段中,以實際值取代 [區域]、[帳戶] 和 [密碼名稱]。

  5. 在 [資源] 區段中新增更多行secretsmanager,或為每個密碼新增一行。確保在除最後一行以外的所有行的末尾都包含一個逗號。例如:

          "Resource": [
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL",
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30",
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01"
      ]

  6. 為原則指定一個名稱,清楚表明此原則適用於連結和流程。例如 medialiveForLinkFlowAccess

  7. 選擇建立政策

步驟 2:設定信任的實體角色

在此步驟中,您會建立包含信任原則 (「讓我們 MediaLive 呼叫AssumeRole動作」) 和原則 (您剛才建立的原則) 的角色。通過這種方式, MediaLive 有權承擔角色。當它擔任角色時,它會取得策略中指定的權限。

  1. 在 IAM 主控台的左側導覽窗格中,選擇「角色」,然後選擇「建立角」。這時系統顯示創建角色向導。此精靈會引導您完成設定受信任實體和新增權限 (透過新增原則) 的步驟。

  2. 在 [選取信任的實體] 頁面上,選擇 [自訂信任原則卡]。[自訂信任原則] 區段隨即出現,其中包含範例原則。

  3. 清除範例、複製下列文字,然後將文字貼到 [自訂信任原則] 區段中。[自訂信任原則] 區段現在看起來像這樣:

    {
    "Version": "2012-10-17",
    "Statement": [
	{
            "Effect": "Allow",
            "Principal": {
                "Service": "medialive.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. 選擇下一步

  5. 在 [新增權限] 頁面上,尋找您建立的原則 (例如,medialiveForLinkFlowAccess),然後選取核取方塊。然後選擇下一步

  6. 在複查頁面上,輸入角色的名稱。例如 medialiveRoleForLinkFlowAccess

  7. 選擇建立角色