View a markdown version of this page

將 MediaLive 設定為信任的實體 - MediaLive

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 MediaLive 設定為信任的實體

如果您的組織將使用 Link 裝置作為 MediaConnect 流程的來源,IAM 管理員必須考慮 MediaLive 所需的特殊許可。

您必須將 MediaLive 設定為信任的實體。在信任的實體關係中,角色會將 MediaLive 識別為信任的實體。一或多個政策會連接到角色。而每個政策都包含允許操作和資源的相關陳述式。信任實體、角色與政策之間的鏈結會發出此陳述式:

「MediaLive 允許擔任此角色,以便對政策中指定的資源執行操作。」

重要

您可能熟悉 MediaLive 在執行時間使用頻道所需的信任實體角色。我們建議您為 MediaLive 建立個別的信任實體角色,以搭配 Link 裝置使用。頻道的許可非常複雜。裝置許可非常簡單。將它們分開。

MediaLive 所需的許可

若要使用 Link 裝置,MediaLive 必須具有 MediaConnect 和 Secrets Manager 中操作和資源的許可:

  • 針對 MediaConnect:MediaLive 必須能夠讀取流程的詳細資訊。這可讓 MediaLive 擷取流程組態資訊 (例如擷取端點),讓裝置知道要將內容傳送到何處。此許可為唯讀,不允許 MediaLive 修改或刪除流程。

  • 對於 Secrets Manager:裝置一律會加密傳送至 MediaConnect 的內容。它使用 MediaLive 提供的加密金鑰進行加密。MediaLive 會接著從 MediaConnect 使用者存放在 Secrets Manager 中的秘密取得加密金鑰。因此,MediaLive 需要許可才能讀取存放在秘密中的加密金鑰。此許可僅限於讀取您在政策中識別的特定秘密。它不會授予 MediaLive 存取您帳戶中其他秘密的權限。

此資料表指定必要的操作和資源。

許可 IAM 中的服務名稱 動作 Resources
檢視流程的詳細資訊 mediaconnect

DescribeFlow

所有 資源
從秘密取得加密金鑰。請參閱此表格後面的說明。 secretsmanager

GetSecretValue

擁有 MediaLive 需要存取之加密金鑰的每個秘密的 ARN

步驟 1:建立 IAM 政策

在此步驟中,您會建立使陳述式「讓委託人可以存取指定資源上的指定 Secrets Manager 動作」的政策。請注意,政策不會指定委託人。當您設定信任的實體角色時,您可以在下一個步驟中指定委託人。

  1. 登入 AWS 管理主控台 並開啟位於 https://https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇政策。選擇 Create Policy (建立政策),然後選擇 JSON 標籤。

  3. 政策編輯器中,清除範例內容並貼上以下內容:

  4. secretsmanager 的資源區段中,將區域、帳戶和秘密名稱取代為實際值。

  5. 資源區段或 中新增更多行secretsmanager,每個秘密各一行。請確定您在最後一行以外的所有行尾端都包含逗號。例如:

    "Resource": [ "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30", "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01" ]
  6. 為政策命名,以明確表示此政策適用於連結和流程。例如 medialiveForLinkFlowAccess

  7. 選擇建立政策

步驟 2:設定信任的實體角色

在此步驟中,您會建立角色,其中包含信任政策 (「let MediaLive 呼叫AssumeRole動作」) 和政策 (您剛建立的政策)。透過這種方式,MediaLive 具有擔任角色的許可。擔任角色時,它會取得政策中指定的許可。

  1. 在 IAM 主控台的導覽窗格中,選擇角色,然後選擇建立角色建立角色精靈隨即出現。此精靈會逐步引導您設定信任的實體,以及新增許可 (透過新增政策)。

  2. 選取信任實體頁面上,選擇自訂信任政策卡。隨即出現自訂信任政策區段,其中包含範例政策。

  3. 清除範例、複製下列文字,然後將文字貼到自訂信任政策區段中。自訂信任政策區段現在如下所示:

    JSON
    { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "medialive.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  4. 選擇下一步

  5. 新增許可頁面上,尋找您建立的政策 (例如,medialiveForLinkFlowAccess),然後選取核取方塊。然後選擇下一步

  6. 在檢閱頁面上,輸入角色的名稱。例如 medialiveRoleForLinkFlowAccess

  7. 選擇建立角色