Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration d'AWS Elemental en MediaConnect tant que service de confiance
Vous pouvez utiliser Gestion des identités et des accès AWS (IAM) pour contrôler quelles AWS ressources sont accessibles par quels utilisateurs et applications. Cela inclut la configuration d'autorisations permettant à AWS Elemental de MediaConnect communiquer avec d'autres services au nom de votre compte. Pour configurer AWS Elemental en MediaConnect tant qu'entité de confiance, vous devez effectuer les étapes suivantes :
**[Étape 1. ](#security-iam-trusted-entity-create-policy)** — Créez une politique IAM qui régit les actions que vous souhaitez autoriser.
**[Étape 2](#security-iam-trusted-entity-create-role)** — Créez un rôle IAM avec une relation de confiance et associez la politique que vous avez créée à l'étape précédente.
## Étape 1 : créer une politique IAM pour autoriser des actions spécifiques
Au cours de cette étape, vous créez une politique IAM qui régit les actions que vous souhaitez autoriser.
**Pour créer la stratégie IAM**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create policy**, puis sélectionnez l'onglet **JSON**.
1. Entrez une politique qui utilise le format JSON. Pour obtenir des exemples relatifs à , consultez les rubriques suivantes :
+ [ Exemple de stratégie pour la connexion à votre VPC](security_iam_resource-based-policy-examples.md#iam-policy-examples-for-mediaconnect-vpc)
+ [Exemples de politiques relatives aux secrets dans AWS Secrets Manager](iam-policy-examples-asm-secrets.md)
1. Choisissez **Examiner une politique**.
1. Dans **Nom**, entrez le nom de votre politique.
1. Choisissez **Create Policy** (Créer une politique).
## Étape 2 : créer un rôle IAM avec une relation de confiance
À [l'étape 1](#security-iam-trusted-entity-create-policy), vous avez créé une politique IAM qui régit les actions que vous souhaitez autoriser. Au cours de cette étape, vous créez un rôle IAM et attribuez la politique à ce rôle. Vous définissez ensuite AWS Elemental MediaConnect comme une entité de confiance qui peut assumer le rôle.
**Pour créer un rôle avec une relation de confiance**
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.
1. Sur la page **Rôle**, choisissez **Créer un rôle**.
1. Sur la page **Créer un rôle**, dans **Sélectionner le type d'entité approuvée**, choisissez **service AWS ** (la valeur par défaut).
1. Sous **Choisir le service qui utilisera ce rôle**, choisissez **EC2**.
Vous choisissez EC2 car il n' MediaConnect est pas inclus dans cette liste actuellement. Le choix d'EC2 vous permet de créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu d'EC2.
1. Choisissez **Suivant : Autorisations**.
1. Pour **Joindre des politiques d'autorisation**, entrez le nom de la politique que vous avez créée à [l'étape 1](#security-iam-trusted-entity-create-policy).
1. Cochez la case à côté du nom de la politique, puis choisissez **Suivant : Tags**.
1. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des identifications dans IAM, consultez [Étiquetage des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l'utilisateur IAM*.
1. Choisissez **Next: Review (Suivant : Vérification)**.
1. Pour **Nom du rôle (Role name)**, saisissez un nom. Le nom `MediaConnectAccessRole` est réservé, vous ne pouvez donc pas l'utiliser. Utilisez plutôt un nom comprenant `MediaConnect`, qui décrit l'objectif de ce rôle.
1. Pour la **description du rôle**, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle.
1. Choisissez **Créer un rôle**.
1. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer en sélectionnant **Afficher le rôle**.
1. Choisissez l'onglet **Relations de confiance**, puis sélectionnez **Modifier la politique de confiance**.
1. dans la fenêtre **Modifier la politique de confiance**, apportez les modifications suivantes au JSON :
+ Pour le **service**, remplacez `ec2.amazonaws.com` par `mediaconnect.amazonaws.com`
+ Pour plus de sécurité, définissez des conditions spécifiques pour la politique de confiance. Cela se limitera MediaConnect à l'utilisation des seules ressources de votre compte. Pour ce faire, utilisez une condition globale telle que l'**ID de compte**, l'**ARN du flux**, ou les deux. Consultez l'exemple suivant de politique de confiance conditionnelle. Pour plus d'informations sur les avantages en matière de sécurité liés à la situation mondiale, consultez la section [Prévention interservices de la confusion des adjoints](cross-service-confused-deputy-prevention.md).
**Note**
L'exemple suivant utilise à la fois les conditions **d'ID de compte** et **d'ARN du flux**. Votre politique sera différente si vous n'utilisez pas les deux conditions. Si vous ne connaissez pas l'ARN complet du flux ou si vous spécifiez plusieurs flux, utilisez la clé de condition de contexte `aws:SourceArn` global avec des caractères génériques (`*`) pour les parties inconnues de l'ARN. Par exemple, `arn:aws:mediaconnect:*:111122223333:*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:*:flow-name"
}
}
}
]
}
```
------
1. Choisissez **Mettre à jour une politique**.
1. Sur la page **Résumé**, prenez note de la valeur du champ **ARN de rôle**. Il se présente comme suit : `arn:aws:iam::111122223333:role/MediaConnectASM`.