身分識別型政策範例 - AWS Elemental MediaTailor

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

身分識別型政策範例

IAM 使用者和角色預設不具備建立或修改 AWS Elemental 的許可 MediaTailor 的費用。他們也無法使用 AWS Management Console、AWS CLI 或 AWS API 執行任務。IAM 管理員必須建立 IAM 政策,授予使用者和角色在指定資源上執行特定 API 操作的所需許可。管理員接著必須將這些政策連接至需要這些許可的 IAM 使用者或群組。

若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《IAM 使用者指南》中的在 JSON 標籤上建立政策

政策最佳實務

身分型政策相當強大。他們可以判斷您是否可以建立、存取或刪除 AWS Elemental MediaTailor 中的資源。這些動作可能會讓您的 AWS 帳戶產生成本。當您建立或編輯身分類型政策時,請遵循下列準則及建議事項:

  • 使用入門AWS受管政策— 開始使用 AWS Elemental MediaTailor 快速,使用AWS受管政策,以便為員工提供他們需要的許可。這些政策已在您的帳戶中提供,並由 AWS 維護和更新。如需詳細資訊,請參閱「」開始搭配使用許可AWS受管政策中的IAM User Guide

  • 授予最低權限 – 當您建立自訂政策時,請只授予執行任務所需要的許可。以最小一組許可開始,然後依需要授予額外的許可。這比一開始使用太寬鬆的許可,稍後再嘗試將他們限縮更為安全。如需詳細資訊,請參閱《IAM 使用者指南》中的授予最低權限

  • 為敏感操作啟用 MFA – 為了增加安全,請要求 IAM 使用者使用多重驗證 (MFA) 存取敏感資源或 API 操作。如需詳細資訊,請參閱《IAM 使用者指南》中的在 AWS 中使用多重要素驗證 (MFA)

  • 使用政策條件以增加安全 – 在切實可行的範圍中,請定義您身分類型政策允許存取資源的條件。例如,您可以撰寫條件,指定請求必須來自一定的允許 IP 地址範圍。您也可以撰寫條件,只在指定的日期或時間範圍內允許請求,或是要求使用 SSL 或 MFA。如需詳細資訊,請參閱「」IAM JSON 政策元素:Condition中的IAM User Guide

使用 AWS Elemental MediaTailor安慰

訪問 AWS Elemental MediaTailor 主控台,您必須擁有最低的一組許可。這些許可必須允許您列出和檢視您 AWS 帳戶中 MediaTailor 資源的詳細資訊。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (IAM 使用者或角色) 而言,主控台就無法如預期運作。

為確保那些實體仍可使用 AWS Elemental MediaTailor 控制台,還附加以下AWS管理政策的實體。如需詳細資訊,請參閱《IAM 使用者指南》中的新增許可到使用者

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "ListUsersViewGroupsAndPolicies", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許其最基本主控台許可。反之,只需允許存取符合您嘗試執行之 API 操作的動作就可以了。

允許使用者檢視他們自己的許可

此範例會示範如何建立政策,允許 IAM 使用者檢視連接到他們使用者身分的內嵌及受管政策。此政策包含在主控台上,或是使用 AWS CLI 或 AWS API 透過編寫程式的方式完成此動作的許可。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

查看 AWS Elemental MediaTailor 根據標籤的配置

您可以在身分類型政策中使用條件,來控制存取 AWS Elemental MediaTailor 以標籤為基礎的資源。此範例顯示如何建立只會允許使用者檢視自己的組態的政策。只有在組態標籤 Owner 具有使用者的使用者名稱值時,才會授予許可。此政策還會授與透過主控台完成檢視動作所需的許可。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListConfigurationsInConsole", "Effect": "Allow", "Action": "mediatailor:ListPlaybackConfigurations", "Resource": "*" }, { "Sid": "ViewConfigurationIfOwner", "Effect": "Allow", "Action": "mediatailor:GetPlaybackConfiguration", "Resource": "arn:aws:mediatailor:*:*:configuration/*", "Condition": { "StringEquals": {"AWS:ResourceTag/Owner": "${aws:username}"} } } ] }

您可以將此政策連接到您帳戶中的 IAM 使用者。對於名為richard-roe查看 AWS Elemental MediaTailor 配置,則必須將配置標籤為Owner=richard-roe或者owner=richard-roe。如需詳細資訊,請參閱「」IAM JSON 政策元素:Condition中的IAM User Guide