View a markdown version of this page

设置 MediaLive 为可信实体 - MediaLive

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 MediaLive 为可信实体

如果您的组织要使用 Link 设备作为 MediaConnect 流程的来源,IAM 管理员必须考虑 MediaLive 所需的特殊权限。

您必须设置 MediaLive 为可信实体。在可信实体关系中,角色标识 MediaLive 为可信实体。一个或多个策略附加到该角色。每个策略包含有关所允许操作和资源的声明。可信实体、角色和策略之间的关联组成了此声明:

“MediaLive 允许担任此角色,以便对策略中指定的资源执行操作。”

重要

您可能熟悉 MediaLive 需要在运行时使用渠道的可信实体角色。我们建议您创建一个单独的可信实体角色 MediaLive 以用于 Link 设备。通道的权限非常复杂。设备的权限非常简单。对它们进行区分。

MediaLive 需要的权限

要使用 Link 设备, MediaLive 必须拥有 Secrets Manager 中 MediaConnect 和中的操作和资源的权限:

  • 对于 MediaConnect: MediaLive 必须能够读取有关流程的详细信息。这 MediaLive 允许检索流量配置信息(例如采集端点),以便设备知道要将内容发送到何处。此权限为只读权限,不 MediaLive 允许修改或删除流程。

  • 对于 Secrets Manager:设备始终对其发送到 MediaConnect的内容进行加密。它使用 MediaLive 提供的加密密钥进行加密。 MediaLive 进而从 MediaConnect 用户存储在 Secrets Manager 中的密钥中获取加密密钥。因此, MediaLive 需要权限才能读取存储在机密中的加密密钥。此权限仅限于读取您在策略中确定的特定机密。它不授予 MediaLive访问您账户中其他密钥的权限。

此表指定了所需的操作和资源。

Permissions IAM 中的服务名称 操作 资源
查看流的详细信息 mediaconnect

DescribeFlow

所有资源
从密钥中获取加密密钥。请参阅此表后面的解释。 secretsmanager

GetSecretValue

包含 MediaLive 需要访问的加密密钥的每个密钥的 ARN

步骤 1:创建 IAM 策略

在此步骤中,您将创建一个策略,声明“允许主体访问指定资源上的指定 Secrets Manager 操作”。请注意,该策略未指定主体。在下一步中设置可信实体角色时,您可以指定主体。

  1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略。选择 Create policy(创建策略),然后选择 JSON 选项卡。

  3. 策略编辑器中,清除示例内容并粘贴以下内容:

  4. secretsmanager资源部分中,将区域、账户和密钥名称替换为实际值。

  5. 资源部分或 secretsmanager 中添加更多行,每个密钥一行。确保在所有行(除最后一行外)的末尾都添加一个逗号。例如:

    "Resource": [ "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01" ]
  6. 为策略命名,以明确此策略适用于 Link 和流。例如 medialiveForLinkFlowAccess

  7. 选择创建策略

第 2 步:设置可信实体角色

在此步骤中,您将创建一个由信任策略(“让我们 MediaLive AssumeRole采取行动”)和策略(您刚刚创建的策略)组成的角色。通过这种方式, MediaLive 拥有担任该角色的权限。当它担任角色时,它将获得策略中指定的权限。

  1. 在 IAM 控制台的导航窗格中,选择角色,然后选择创建角色。此时系统会显示创建角色向导。此向导将引导您设置可信实体和添加权限(通过添加策略)。

  2. 选择可信实体页面上,选择自定义信任策略卡片。自定义信任策略部分会显示,其中包含示例策略。

  3. 删除示例,复制以下文本,然后将文本粘贴到自定义信任策略部分。自定义信任策略部分现在如下所示:

    JSON
    { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "medialive.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  4. 选择下一步

  5. 添加权限页面上,找到您创建的策略(例如 medialiveForLinkFlowAccess),然后选中相应的复选框。然后选择下一步

  6. 在审核页面上,输入角色的名称。例如 medialiveRoleForLinkFlowAccess

  7. 选择创建角色