Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen von Richtlinien und Rollen ohne Administratorrechte
Benutzer und Rollen haben standardmäßig nicht die Berechtigung, MediaPackage-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden MediaPackage, einschließlich des Formats von ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Elemental MediaPackage](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediapackage.html) in der *Referenz zur Serviceautorisierung.*
In diesem Abschnitt wird beschrieben, wie Sie Richtlinien und Rollen ohne Administratorrechte erstellen können, sodass Benutzer MediaPackage Ressourcen erstellen oder ändern können. In diesem Abschnitt wird auch beschrieben, wie Ihre Benutzer diese Rolle übernehmen können, um sichere und temporäre Anmeldeinformationen zu gewähren.
**Topics**
+ [(Optional) Schritt 1: Erstellen Sie eine IAM-Richtlinie für Amazon CloudFront](#setting-up-create-non-admin-iam-cf)
+ [(Optional) Schritt 2: Erstellen Sie eine IAM-Richtlinie für VOD MediaPackage](#setting-up-create-non-admin-iam-vod)
+ [Schritt 3: Erstellen Sie eine Rolle in der IAM-Konsole](#setting-up-create-role)
+ [Schritt 4: Nehmen Sie die Rolle von der IAM-Konsole aus an oder AWS CLI](#setting-up-create-nonadmin-roles-assume-role)
## (Optional) Schritt 1: Erstellen Sie eine IAM-Richtlinie für Amazon CloudFront
Wenn Sie oder Ihre Benutzer CloudFront Amazon-Distributionen von der AWS Elemental MediaPackage Live-Konsole aus erstellen, erstellen Sie eine IAM-Richtlinie, die den Zugriff auf ermöglicht. CloudFront
Weitere Informationen zur Verwendung von CloudFront mit finden Sie MediaPackage unter. [Arbeiten mit CDNs](cdns.md)
**So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**.
Wenn Sie zum ersten Mal **Policies (Richtlinien)** auswählen, erscheint die Seite **Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien)**. Wählen Sie **Get Started**.
1. Wählen Sie oben auf der Seite **Create policy (Richtlinie erstellen)** aus.
1. Wählen Sie im Bereich **Policy editor** (Richtlinien-Editor) die Option **JSON** aus.
1. Geben Sie folgendes JSON-Richtliniendokument ein:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution",
"cloudfront:CreateDistributionWithTags",
"cloudfront:UpdateDistribution",
"cloudfront:CreateDistribution",
"cloudfront:TagResource",
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
1. Wählen Sie **Weiter** aus.
**Anmerkung**
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Weiter** wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Richtlinienrestrukturierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) im *IAM-Benutzerhandbuch*.
1. Geben Sie auf der Seite **Prüfen und erstellen** unter **Richtlinienname** einen Namen und unter **Beschreibung** (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.
1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.
## (Optional) Schritt 2: Erstellen Sie eine IAM-Richtlinie für VOD MediaPackage
Wenn Sie oder Ihre Benutzer die Video-on-Demand-Funktionalität (VOD) in verwenden werden MediaPackage, erstellen Sie eine IAM-Richtlinie, die den Zugriff auf Ressourcen für den Dienst ermöglicht. `mediapackage-vod`
In den folgenden Abschnitten wird beschrieben, wie Sie eine Richtlinie erstellen, die alle Aktionen zulässt, und eine Richtlinie, die Leseberechtigungen zulässt. Sie können die Richtlinien anpassen, indem Sie Aktionen entsprechend Ihren Workflows hinzufügen oder entfernen.
### Richtlinie für den vollständigen VOD-Zugriff
Diese Richtlinie erlaubt es dem Benutzer, alle Aktionen für alle VOD-Ressourcen auszuführen.
**So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**.
Wenn Sie zum ersten Mal **Policies (Richtlinien)** auswählen, erscheint die Seite **Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien)**. Wählen Sie **Get Started**.
1. Wählen Sie oben auf der Seite **Create policy (Richtlinie erstellen)** aus.
1. Wählen Sie im Bereich **Policy editor** (Richtlinien-Editor) die Option **JSON** aus.
1. Geben Sie folgendes JSON-Richtliniendokument ein:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "mediapackage-vod:*",
"Resource": "*"
}
]
}
```
1. Wählen Sie **Weiter** aus.
**Anmerkung**
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Weiter** wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Richtlinienrestrukturierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) im *IAM-Benutzerhandbuch*.
1. Geben Sie auf der Seite **Prüfen und erstellen** unter **Richtlinienname** einen Namen und unter **Beschreibung** (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.
1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.
### Richtlinie für den nur lesbaren VOD-Zugriff
Diese Richtlinie erlaubt es dem Benutzer, alle VOD-Ressourcen anzuzeigen.
**So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**.
Wenn Sie zum ersten Mal **Policies (Richtlinien)** auswählen, erscheint die Seite **Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien)**. Wählen Sie **Get Started**.
1. Wählen Sie oben auf der Seite **Create policy (Richtlinie erstellen)** aus.
1. Wählen Sie im Bereich **Policy editor** (Richtlinien-Editor) die Option **JSON** aus.
1. Geben Sie folgendes JSON-Richtliniendokument ein:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mediapackage-vod:List*",
"mediapackage-vod:Describe*"
],
"Resource": "*"
}
]
}
```
1. Wählen Sie **Weiter** aus.
**Anmerkung**
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Weiter** wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Richtlinienrestrukturierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) im *IAM-Benutzerhandbuch*.
1. Geben Sie auf der Seite **Prüfen und erstellen** unter **Richtlinienname** einen Namen und unter **Beschreibung** (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.
1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.
## Schritt 3: Erstellen Sie eine Rolle in der IAM-Konsole
Erstellen Sie für jede Richtlinie, die Sie erstellen, eine Rolle in der IAM-Konsole. Auf diese Weise können Benutzer eine Rolle übernehmen, anstatt jedem Benutzer individuelle Richtlinien zuzuweisen.
**Um eine Rolle in der IAM-Konsole zu erstellen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.
1. **Wählen Sie unter Vertrauenswürdige Entität** auswählen die Option **AWS Konto** aus.
1. Wählen Sie unter **Ein AWS Konto** das Konto mit den Benutzern aus, die diese Rolle übernehmen werden.
+ Wenn ein Drittanbieter auf diese Rolle zugreift, empfiehlt es sich, die Option **Externe ID erforderlich** auszuwählen. Weitere Informationen zu extern IDs finden Sie unter [Verwenden einer externen ID für den Zugriff durch Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) im *IAM-Benutzerhandbuch*.
+ Es hat sich bewährt, eine Multi-Faktor-Authentifizierung (MFA) vorzuschreiben. Sie können das Kontrollkästchen neben **MFA erforderlich** aktivieren. Weitere Informationen zu MFA finden Sie unter [Multi-Factor Authentication (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) im *IAM-Benutzerhandbuch*.
1. Wählen Sie **Weiter** aus.
1. Suchen Sie unter **Berechtigungsrichtlinien** nach der Richtlinie mit der entsprechenden Berechtigungsstufe und fügen Sie sie hinzu. MediaPackage
+ Wählen Sie eine der folgenden Optionen aus, um auf Live-Funktionen zuzugreifen:
+ Wird verwendet **AWSElementalMediaPackageFullAccess**, damit der Benutzer alle Aktionen für alle Live-Ressourcen in ausführen kann MediaPackage.
+ Wird verwendet **AWSElementalMediaPackageReadOnly**, um dem Benutzer nur Leserechte für alle Live-Ressourcen in zu gewähren. MediaPackage
+ Für den Zugriff auf Video-on-Demand(VOD)-Funktionen verwenden Sie die Richtlinie, die Sie in [(Optional) Schritt 2: Erstellen Sie eine IAM-Richtlinie für VOD MediaPackage](#setting-up-create-non-admin-iam-vod) erstellt haben.
1. Fügen Sie Richtlinien hinzu, damit die MediaPackage Konsole CloudWatch Amazon im Namen des Benutzers anrufen kann. Ohne diese Richtlinien kann der Benutzer nur die API des Service verwenden (nicht die Konsole). Wählen Sie eine der folgenden Optionen:
+ Verwenden Sie **ReadOnlyAccess**diese Option CloudWatch, MediaPackage um die Kommunikation mit allen AWS Diensten in Ihrem Konto zu ermöglichen und dem Benutzer Lesezugriff darauf zu gewähren.
+ Verwenden Sie **CloudWatchReadOnlyAccess**CloudWatchEventsReadOnlyAccess****, und, **CloudWatchLogsReadOnlyAccess**um die Kommunikation mit dem CloudWatch Benutzer MediaPackage zu ermöglichen und den Lesezugriff auf zu beschränken. CloudWatch
1. (Optional) Wenn dieser Benutzer CloudFront Amazon-Distributionen von der MediaPackage Konsole aus erstellt, fügen Sie die Richtlinie bei, die Sie in [(Optional) Schritt 1: Erstellen Sie eine IAM-Richtlinie für Amazon CloudFront](#setting-up-create-non-admin-iam-cf) erstellt haben.
1. (Optional) Legen Sie eine [Berechtigungsgrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen.
1. Öffnen Sie den Abschnitt **Permissions boundary** (Berechtigungsgrenze) und wählen Sie **Use a permissions boundary to control the maximum role permissions** (Eine Berechtigungsgrenze verwenden, um die maximalen Rollen-Berechtigungen zu steuern). IAM enthält eine Liste der AWS verwalteten und kundenverwalteten Richtlinien in Ihrem Konto.
1. Wählen Sie die Richtlinie aus, die für die Berechtigungsgrenze verwendet werden soll, oder wählen **Create policy (Richtlinie erstellen)**, um eine neue Registerkarte im Browser zu öffnen und eine vollständig neue Richtlinie zu erstellen. Weitere Informationen finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*.
1. Nachdem Sie die Richtlinie erstellt haben, schließen Sie diese Registerkarte und kehren Sie zu Ihrer ursprünglichen Registerkarte zurück, um die Richtlinie auszuwählen, die für die Berechtigungsgrenze verwendet werden soll.
1. Vergewissern Sie sich, dass die richtigen Richtlinien zu dieser Gruppe hinzugefügt wurden, und wählen Sie dann **Weiter** aus.
1. Geben Sie möglichst einen Rollennamen oder ein Rollennamen-Suffix ein, mit dem der Zweck dieser Rolle einfach zu erkennen ist. Rollennamen müssen innerhalb Ihres AWS-Konto-Kontos eindeutig sein. Sie werden nicht nach Groß- und Kleinschreibung unterschieden. z. B. können Sie keine Rollen erstellen, die **PRODROLE** bzw. **prodrole** heißen. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht bearbeitet werden.
1. (Optional) Geben Sie unter **Role description** (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.
1. Wählen Sie in den Abschnitten **Step 1: Select trusted entities** (Schritt 1: Vertrauenswürdige Entitäten auswählen) oder **Step 2: Add permissions** (Schritt 2: Berechtigungen hinzufügen) die Option **Edit** (Bearbeiten), um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten.
1. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Markierungen als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Markieren von IAM-Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.
1. Prüfen Sie die Rolle und klicken Sie dann auf **Rolle erstellen**.
## Schritt 4: Nehmen Sie die Rolle von der IAM-Konsole aus an oder AWS CLI
In den folgenden Ressourcen erfahren Sie, wie Sie Benutzern Berechtigungen zur Übernahme der Rolle gewähren und wie Benutzer von der IAM-Konsole oder zu der Rolle wechseln können. AWS CLI
+ Weitere Informationen zum Erteilen von Benutzerberechtigungen zum Rollenwechsel finden Sie im [*IAM-Benutzerhandbuch* unter Gewähren von Benutzerberechtigungen zum Rollenwechsel](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html).
+ Weitere Informationen zum Rollenwechsel (Konsole) finden Sie unter [Wechseln zu einer Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) im *IAM-Benutzerhandbuch*.
+ Weitere Informationen zum Rollenwechsel (AWS CLI) finden Sie unter [Wechseln zu einer IAM-Rolle (AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html) im *IAM-Benutzerhandbuch*.