Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Vertrauenswürdige Entität erstellen — komplexe Option
<a name="setup-trusted-entity-complex"></a>

Lesen Sie diesen Abschnitt, wenn Sie sich entschieden haben, die [komplexe Option](scenarios-for-medialive-role.md) für die Einrichtung der vertrauenswürdigen Entität zu verwenden. 

Bei der Option „Komplex“ müssen Sie die folgenden Aufgaben ausführen: 
+ Erstellen Sie Richtlinien und Rollen und verwenden Sie diese Richtlinien und Rollen, um sich MediaLive als vertrauenswürdige Entität einzurichten. Diese Aufgabe wird in den Schritten A, B und C behandelt.
+ Richten Sie alle MediaLive Benutzer mit Berechtigungen ein, die es ihnen ermöglichen, einem Kanal eine bestimmte Vertrauensrichtlinie zuzuweisen, wenn sie den Kanal erstellen oder bearbeiten. Diese Aufgabe wird in Schritt D behandelt.

**Topics**
+ [Identifizieren Sie die Zugriffsanforderungen](complex-scenario-create-trusted-entity-role-step1.md)
+ [Erstellen von Richtlinien](complex-scenario-create-trusted-entity-role-step2.md)
+ [Rollen erstellen](complex-scenario-create-trusted-entity-role-step3.md)
+ [Richten Sie Benutzerberechtigungen ein](requirements-medialiverole-complex-permissions.md)
+ [Zugriffsanforderungen für die vertrauenswürdige Entität](trusted-entity-requirements.md)

# Identifizieren Sie die Zugriffsanforderungen
<a name="complex-scenario-create-trusted-entity-role-step1"></a>

Sie müssen die Dienste identifizieren, mit denen Sie in Ihrer Bereitstellung interagieren MediaLive werden. Anschließend müssen Sie innerhalb jedes Dienstes die Vorgänge und Ressourcen identifizieren, auf die Sie zugreifen MediaLive müssen. Schließlich müssen Sie die IAM-Richtlinien entwerfen, die diese Anforderungen erfüllen.

Diese Anforderungsanalyse muss von einer Person in Ihrer Organisation durchgeführt werden, die die Anforderungen Ihrer Organisation in Bezug auf den Zugriff auf Ressourcen kennt. Diese Person muss wissen, ob es eine Anforderung gibt, dass MediaLive Kanäle nur eingeschränkt auf Ressourcen in anderen AWS Diensten zugreifen können. Diese Person sollte beispielsweise festlegen, ob der Zugriff von Kanälen auf Buckets in Amazon S3 eingeschränkt werden soll, sodass ein bestimmter Kanal auf einige Buckets zugreifen kann und auf andere nicht.

**Um die Zugriffsanforderungen zu ermitteln für MediaLive**

1. In der Tabelle unter finden Sie [Zugriffsanforderungen für die vertrauenswürdige Entität](trusted-entity-requirements.md) Informationen zu den Diensten, auf die MediaLive normalerweise zugegriffen werden muss. Ermitteln Sie, welche dieser Services Ihre Bereitstellung verwendet und welche Operationen Ihre Bereitstellung benötigt.

1. Ermitteln Sie innerhalb eines Service die Anzahl der Richtlinien, die Sie erstellen müssen. Benötigen Sie mehrere verschiedene Kombinationen von Objekten und Operationen für verschiedene Workflows und müssen Sie diese Kombinationen aus Sicherheitsgründen voneinander trennen? 

   Ermitteln Sie insbesondere, ob Sie Zugriff auf andere Ressourcen für andere Workflows benötigen und ob es wichtig ist, den Zugriff auf bestimmte Ressourcen einzuschränken. Im AWS Systems Manager Parameter Store verfügen Sie beispielsweise möglicherweise über Kennwörter, die zu unterschiedlichen Workflows gehören, und Sie möchten möglicherweise nur bestimmten Benutzern den Zugriff auf die Kennwörter für einen bestimmten Workflow ermöglichen.

   Wenn andere Workflows andere Anforderungen in Bezug auf Objekte, Operationen und Ressourcen haben, benötigen Sie für diesen Service eigene Richtlinien für jeden Workflow. 

1. Erstellen Sie die einzelnen Richtlinien: Identifizieren Sie die zulässigen (oder nicht zulässigen) Objekte und Operationen und die zulässigen (oder nicht zulässigen) Ressourcen in der Richtlinie. 

1. Stellen Sie fest, ob eine der von Ihnen identifizierten Richtlinien durch eine verwaltete Richtlinie abgedeckt ist. 

1. Identifizieren Sie für jeden Workflow die Richtlinien, die Sie für alle Services benötigen, die vom Workflow verwendet werden. Wenn Sie die Richtlinie erstellen, können Sie mehrere Dienste in die Richtlinie aufnehmen. Sie müssen keine Richtlinie für jeden einzelnen Service erstellen. 

1. Identifizieren Sie die Anzahl der Rollen, die Sie benötigen. Sie benötigen eine einzelne Rolle für jede eindeutige Kombination von Richtlinien. 

1. Weisen Sie allen Richtlinien und Rollen, die Sie identifiziert haben, Namen zu. Stellen Sie sicher, dass Sie in diesen Namen keine vertraulichen Informationen zur Identifizierung (z. B. einen Kundenkontonamen) angeben. 

# Erstellen von Richtlinien
<a name="complex-scenario-create-trusted-entity-role-step2"></a>

Nachdem Sie [Schritt A ausgeführt](complex-scenario-create-trusted-entity-role-step1.md) haben, um die benötigten Richtlinien zu identifizieren, müssen Sie sie auf der IAM-Konsole erstellen. 

Folgen Sie diesem Verfahren für jede Richtlinie. 

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**. Wählen Sie dann **Richtlinie erstellen** aus. Der Assistent zum **Erstellen von Richtlinien** wird angezeigt. Dieser Assistent führt Sie durch die einzelnen Schritte, einschließlich der folgenden wichtigen Schritte:
   + Wählen Sie einen Dienst aus.
   + Wählen Sie Aktionen für diesen Dienst aus.

     In der Regel (und standardmäßig) geben Sie die Aktionen an, die Sie zulassen möchten. 

     Sie können aber auch die Schaltfläche Zum **Verweigern von Berechtigungen wechseln** wählen, um stattdessen die ausgewählten Aktionen abzulehnen. Aus Sicherheitsgründen empfehlen wir, Berechtigungen nur dann zu verweigern, wenn Sie eine Berechtigung außer Kraft setzen möchten, die durch eine andere Anweisung oder Richtlinie separat zulässig ist. Wir empfehlen, die Anzahl der Verweigerungsberechtigungen auf ein Minimum zu beschränken, da diese die Fehlerbehebung bei Berechtigungen erschweren.
   + [Geben Sie Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) für jede Aktion an (sofern für die Aktion unterstützt). Wenn Sie beispielsweise den MediaLive `DescribeChannel` ARN wählen, können Sie den ARNs von bestimmten Kanälen angeben. 
   + Geben Sie Bedingungen an (optional). Beispiel:
     + Sie können angeben, dass ein Benutzer nur dann Aktionen ausführen darf, wenn die Anfrage dieses Benutzers innerhalb eines bestimmten Zeitraums erfolgt. 
     + Sie können angeben, dass der Benutzer zur Authentifizierung ein MFA-Gerät (Multi-Factor Authentication) verwenden muss. 
     + Sie können angeben, dass die Anfrage von einem Bereich von IP-Adressen stammen muss. 

     Eine Liste aller Kontextschlüssel, die Sie in einer Richtlinienbedingung verwenden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) in der *Service Authorization Reference*.

1. Wählen Sie **Richtlinie erstellen** aus.

# Rollen erstellen
<a name="complex-scenario-create-trusted-entity-role-step3"></a>

Jede Person, die Administrator ist, kann das Verfahren zum Erstellen einer Rolle und zum Anfügen von Richtlinien an diese Rolle ausführen. 

In [Identifizieren Sie die Zugriffsanforderungen](complex-scenario-create-trusted-entity-role-step1.md) hat eine Person in Ihrer Organisation die Rollen identifiziert, die Sie erstellen müssen. Erstellen Sie diese Rollen jetzt mit IAM. 

In diesem Schritt erstellen Sie eine Rolle, die aus einer Vertrauensrichtlinie („Let MediaLive Call the `AssumeRole` Action“) und einer oder mehreren Richtlinien (den [Richtlinien, die Sie gerade erstellt](complex-scenario-create-trusted-entity-role-step2.md) haben) besteht. Auf diese Weise MediaLive hat sie die Erlaubnis, die Rolle zu übernehmen. Wenn es die Rolle annimmt, erwirbt es die in den Richtlinien angegebenen Berechtigungen. 

Gehen Sie für jede Rolle wie folgt vor.

1. Wählen Sie in der IAM-Konsole im Navigationsbereich auf der linken Seite **Rollen** und dann **Rolle erstellen** aus. Der Assistent zum **Erstellen von Rollen** wird angezeigt. Dieser Assistent führt Sie durch die Schritte zum Einrichten einer vertrauenswürdigen Entität und zum Hinzufügen von Berechtigungen (durch Hinzufügen einer Richtlinie).

1. **Wählen Sie auf der Seite Vertrauenswürdige Entität** auswählen die Karte **Benutzerdefinierte Vertrauensrichtlinie** aus. Der Abschnitt **Benutzerdefinierte Vertrauensrichtlinie** mit einer Beispielrichtlinie wird angezeigt.

1. Löschen Sie das Beispiel, kopieren Sie den folgenden Text und fügen Sie den Text in den Abschnitt **Benutzerdefinierte Vertrauensrichtlinie** ein. Der Abschnitt **Benutzerdefinierte Vertrauensrichtlinie** sieht jetzt wie folgt aus:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
   	{
               "Effect": "Allow",
               "Principal": {
                   "Service": "medialive.amazonaws.com"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Wählen Sie **Weiter** aus. 

1. Suchen Sie auf der Seite „**Berechtigungen hinzufügen**“ nach der Richtlinie oder den Richtlinien, die Sie erstellt haben (z. B.`MedialiveForCurlingEvents`), und aktivieren Sie jeweils das entsprechende Kontrollkästchen. Klicken Sie anschließend auf **Weiter**.

1. Geben Sie auf der Überprüfungsseite einen Namen für die Rolle ein. Sie sollten nicht den Namen `MediaLiveAccessRole` verwenden, da dieser für die [einfache Option](scenarios-for-medialive-role.md#about-simple-scenario) reserviert ist. 

   Verwenden Sie stattdessen einen Namen, der `Medialive` enthält und den Zweck der Rolle beschreibt. Beispiel, `MedialiveAccessRoleForSports`.

1. Wählen Sie **Rolle erstellen** aus.

1. Notieren Sie sich auf der **Übersichtsseite** für die Rolle den Wert im **Rollen-ARN**. Es sollte wie folgt aussehen:

   `arn:aws:iam::111122223333:role/medialiveWorkflow15`

   Im Beispiel `111122223333` ist das Ihre AWS Kontonummer. 

1. Nachdem Sie alle Rollen erstellt haben, erstellen Sie eine Liste der Rollen ARNs. Fügen Sie jedem Element die folgenden Informationen hinzu:
   + Der ARN der Rolle.
   + Eine Beschreibung des Workflows, für den der ARN gilt.
   + Die Benutzer, die mit diesem Workflow arbeiten können und daher die Möglichkeit benötigen, diese Vertrauensrichtlinie an die Kanäle anzuhängen, die sie erstellen und bearbeiten. 

   Sie benötigen diese Liste, wenn Sie den [Zugriff auf vertrauenswürdige Entitäten für Benutzer einrichten](requirements-medialiverole-complex-permissions.md).

# Richten Sie Benutzerberechtigungen ein
<a name="requirements-medialiverole-complex-permissions"></a>

Bei der Option „Komplex“ müssen MediaLive Benutzer über die erforderlichen Berechtigungen verfügen, um den Assistenten für vertrauenswürdige Entitäten verwenden zu können. Dieser Assistent befindet sich im Bereich „**IAM-Rolle**“ im Bereich „**Kanal- und Eingabedetails**“:

![\[IAM role configuration options for AWS Elemental MediaLive channel access permissions.\]](http://docs.aws.amazon.com/de_de/medialive/latest/ug/images/medialiveaccessrole_withUpdateButton.png)


Topics

## Richten Sie die Berechtigungen des Assistenten ein
<a name="requirements-medialiverole-complex-wizard"></a>

Sie müssen alle MediaLive Benutzer einrichten, die berechtigt sind, den Assistenten zu verwenden, um eine vertrauenswürdige Entitätsrolle in den Assistenten einzugeben. Die Benutzer werden sich auf die Liste der Rollen beziehen, die Sie ihnen zuweisen werden. 

Sie müssen allen Benutzern den in der folgenden Tabelle beschriebenen Zugriff gewähren. Die Aktion befindet sich im IAM-Dienst. Nehmen Sie diese Aktion in die Richtlinie (oder in eine der Richtlinien) auf, die Sie für die Benutzer erstellen.


| Felder im Assistenten | Description | Aktionen | 
| --- | --- | --- | 
| Verwenden Sie die vorhandene Rolle | Benutzer dürfen nicht in der Lage sein, die Liste im Auswahlfeld neben dem Feld Bestehende Rolle verwenden zu sehen. In dieser Liste werden alle Rollen angezeigt, die im AWS Konto erstellt wurden. Benutzer dürfen nicht in der Lage sein, aus dieser Liste auszuwählen. Anstatt eine vorhandene Rolle auszuwählen, geben Benutzer eine Rolle in das **ARN-Feld Benutzerdefinierte Rolle angeben** ein. | Keine | 
|  **Option „Rolle aus Vorlage erstellen“**  | Benutzer dürfen nicht in der Lage sein, das Feld Rolle aus Vorlage erstellen auszuwählen. Benutzer erstellen keine Rollen. Nur Administratoren erstellen Rollen. | Keine | 
| ARN für benutzerdefinierte Rollen angeben | Benutzer müssen in der Lage sein, eine Rolle in das Eingabefeld einzugeben, das dem ARN-Feld Benutzerdefinierte Rolle angeben beiliegt. Sie müssen dann in der Lage sein, diese Rolle an zu MediaLive übergeben. | iam:PassRole | 
| Aktualisieren | Benutzer müssen nicht in der Lage sein, die Schaltfläche „Aktualisieren“ auszuwählen, da diese Schaltfläche immer nur in Implementierungen angezeigt wird, die sie verwendenMediaLiveAccessRole. Da die komplexe Option diese Rolle nicht verwendet, wird diese Schaltfläche hier niemals angezeigt. | Keine | 

## Informationen, die Benutzer benötigen
<a name="requirements-medialiverole-complex-data"></a>

Wenn ein Benutzer einen Kanal erstellt, übergibt er eine Rolle MediaLive an die Einrichtung MediaLive mit den richtigen vertrauenswürdigen Richtlinien. Sie haben diese Richtlinien erstellt, als Sie [die vertrauenswürdige Entität eingerichtet](setup-trusted-entity-complex.md) haben. Insbesondere haben Sie sich bei [der Erstellung der Rolle „Vertrauenswürdige Entität](complex-scenario-create-trusted-entity-role-step3.md)“ alle Rollen notiert, die Sie erstellt haben. ARNs 

Sie müssen jedem Benutzer eine Liste der Rollen (identifiziert durch einen ARN) geben, die er für jeden Workflow (Kanal) verwenden muss, mit dem er arbeitet. 
+ Stellen Sie sicher, dass Sie jedem Benutzer die richtigen Rollen für die Workflows zuweisen, für die er verantwortlich ist. Jede Rolle gewährt MediaLive Zugriff auf die Ressourcen, die für einen bestimmten Workflow gelten.
+ Jeder Benutzer hat wahrscheinlich eine andere Rollenliste.

Wenn der Benutzer **ARN für benutzerdefinierte Rolle angeben** auswählt, sucht der Benutzer in seiner Liste nach dem Workflow, für den der Kanal gilt, und nach dem Rollen-ARN, der daher gilt.

# Zugriffsanforderungen für die vertrauenswürdige Entität
<a name="trusted-entity-requirements"></a>

Die folgende Tabelle zeigt alle Arten von Berechtigungen, die die MediaLive vertrauenswürdige Entität möglicherweise benötigt. Anhand dieser Tabelle können Sie die [Zugriffsanforderungen für die MediaLive vertrauenswürdige Entität ermitteln](complex-scenario-create-trusted-entity-role-step1.md). 

Jede Zeile in der Spalte beschreibt eine Aufgabe oder eine Reihe verwandter Aufgaben, die die MediaLive vertrauenswürdige Entität möglicherweise für einen Benutzer ausführen muss. In der dritten Spalte wird die Art des Zugriffs beschrieben, den die vertrauenswürdige Entität benötigt, um diese Aufgabe auszuführen. In der letzten Spalte sind die IAM-Aktionen oder -Richtlinien aufgeführt, die diesen Zugriff steuern. 


****  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/medialive/latest/ug/trusted-entity-requirements.html)