Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration des autorisations IAM pour les utilisateurs
Cette section décrit les autorisations que vous devez attribuer aux utilisateurs et aux autres AWS identités afin qu'ils puissent travailler avec AWS Elemental MediaLive les autres AWS services utilisés par vos flux de travail. Après avoir identifié les autorisations requises, vous serez en mesure de concevoir et de créer les politiques pertinentes, et d'associer ces politiques à des groupes d'utilisateurs ou à des rôles.
Cette section part du principe que vous avez déjà effectué les tâches suivantes :
+ Vous avez effectué la configuration initiale décrite [Étapes préliminaires de configuration pour l'utilisation MediaLive](setting-up.md) dans afin de vous inscrire MediaLive et de créer un administrateur.
+ Vous avez lu les recommandations [Identity and Access Management pour AWS Elemental MediaLive](security-iam.md) relatives à la création d'administrateurs, d'utilisateurs et d'autres AWS identités.
**Topics**
+ [Référence : résumé des accès des utilisateurs](setup-users-step-1-summary.md)
+ [MediaLive](requirements-for-medialive.md)
+ [MediaLive N'importe où](requirements-for-emla.md)
+ [CloudFormation](requirements-for-CFN.md)
+ [CloudFront](requirements-for-CFront.md)
+ [CloudTrail](requirements-for-cloudtrail.md)
+ [CloudWatch—santé du canal](requirements-for-monitor-channel-health.md)
+ [CloudWatch et Amazon SNS : notification par e-mail](requirements-for-email-notification.md)
+ [CloudWatch Logs : journalisation des chaînes](requirements-for-console-logging.md)
+ [Entrées EC2 —VPC](requirements-for-vpc-input.md)
+ [EC2 — livraison via VPC](requirements-vpc-delivery.md)
+ [Inférence élémentaire](requirements-for-inference.md)
+ [Lien](requirements-for-link.md)
+ [MediaConnect](requirements-for-media-connect.md)
+ [MediaPackage](requirements-for-mediapackage.md)
+ [Groupes de ressources : balisage](requirements-for-tagging.md)
+ [Amazon S3](requirements-for-s3.md)
+ [Secrets de Secrets Manager](requirements-for-secrets.md)
+ [Magasin de paramètres Systems Manager](requirements-for-EC2.md)
# Référence : résumé des exigences d'accès des utilisateurs non administrateurs
Le tableau suivant indique tous les types d'autorisations que vous devrez peut-être attribuer aux utilisateurs. Chaque ligne de la colonne décrit une activité ou un ensemble d'activités connexes que vous souhaiterez peut-être autoriser l'utilisateur à effectuer. La dernière colonne répertorie les actions IAM qui contrôlent l'accès à ces activités.
Si ce tableau ne fournit pas suffisamment d'informations pour vous permettre de déterminer les autorisations à attribuer aux utilisateurs, consultez la liste alphabétique des services qui suit cette section.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/medialive/latest/ug/setup-users-step-1-summary.html)
# Exigences relatives aux AWS Elemental MediaLive fonctionnalités
Vous devez autoriser vos utilisateurs à accéder aux AWS Elemental MediaLive fonctionnalités. Les autorisations pour MediaLive peuvent être divisées en trois catégories :
+ Autorisations de création
+ Autorisations d'affichage
+ Autorisations d'exécution
Vous pouvez choisir d'accorder un accès différent à différents types d'utilisateurs. Par exemple, vous pouvez décider que les « opérateurs de base » ne doivent pas disposer d'autorisations de créer.
En particulier, vous devez décider de limiter ou non la capacité à utiliser les réservations ; vous pouvez décider d'accorder cet accès uniquement aux administrateurs ou aux utilisateurs avancés. Pour de plus amples informations sur les réservations, veuillez consulter [Travailler avec des réservations dans MediaLive](reservations.md).
Le tableau suivant présente les opérations dans IAM relatives à l'accès pour MediaLive.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/medialive/latest/ug/requirements-for-medialive.html)
# Exigences pour MediaLive n'importe où
Votre entreprise déploie peut-être MediaLive Anywhere, ce qui vous permet d'exécuter des MediaLive canaux sur du matériel local situé dans le centre de données de votre organisation.
Vous devez autoriser vos utilisateurs à effectuer des opérations MediaLive n'importe où :
+ Autorisations permettant d'effectuer la configuration initiale des clusters MediaLive Anywhere et de modifier la configuration selon les besoins.
+ Autorisations permettant d'utiliser des ressources MediaLive Anywhere lors de la création de chaînes et de l'exécution de flux de travail
## Actions de configuration
Certains utilisateurs de votre organisation configureront les clusters de nœuds locaux à MediaLive utiliser. Ces utilisateurs ont besoin des autorisations suivantes. Nous vous recommandons de créer des politiques distinctes pour les MediaLive autorisations et les autorisations Amazon Elastic Container Service.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Créez, modifiez et supprimez des réseaux, des clusters, des nœuds et des sources SDI. | MediaLive | CreateNetwork`CreateCluster``CreateNode``CreateSdiSource``DeleteNetwork``DeleteCluster``DeleteNode`DeleteSdiSource`UpdateNetwork``UpdateCluster``UpdateNode``UpdateSdiSource` |
| Créer un cluster | Amazon Elastic Container Service | En outreCreateCluster, les utilisateurs doivent avoir accès aux actions dans Amazon Elastic Container Service. Pour de plus amples informations, veuillez consulter [Créez des politiques FAS spéciales](emla-deploy-users-ecs-permissions.md). |
| Afficher les réseaux, les clusters, les nœuds et les sources SDI | MediaLive | `ListNetworks` `ListClusters` `ListNodes` `ListSdiSources` `DescribeNetwork` `DescribeCluster` `DescribeNode` `DescribeSdiSource` |
## Actions d'exécution
Certains utilisateurs de votre organisation créeront des entrées push et des entrées SDI pour les sources provenant de votre réseau local. Ces utilisateurs ont besoin des autorisations suivantes. Ces autorisations s'ajoutent aux autorisations répertoriées dans[Exigences relatives aux AWS Elemental MediaLive fonctionnalités](requirements-for-medialive.md).
| Permissions | Nom du service dans IAM | Activités spécifiques que l'utilisateur peut effectuer | Actions |
| --- | --- | --- | --- |
| Créez des entrées push pour les chaînes diffusées sur MediaLive Anywhere | MediaLive | Spécifiez le réseau d'une adresse IP statique sur une entrée push. (L'utilisation d'une adresse IP statique est facultative.) | `ListNetworks` |
| Créez des entrées push pour les chaînes diffusées sur MediaLive Anywhere | MediaLive | Spécifiez éventuellement la route pour une adresse IP statique sur une entrée push. (L'utilisation d'une adresse IP statique est facultative.) | `ListNetworks` |
| Créez des entrées SDI pour les canaux fonctionnant sur Anywhere MediaLive | MediaLive | Sélectionnez la source d'une entrée SDI | `ListSdiSources` |
# Exigences pour CloudFormation
MediaLive inclut un assistant de flux de travail. La création d'un flux de travail inclut toujours la création automatique d'une CloudFormation pile. Par conséquent, pour utiliser l'assistant de flux de travail, les utilisateurs doivent disposer d'autorisations d'accès CloudFormation.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Travaillez avec l'assistant de flux de travail | CloudFormation | `ListStacks` `DescribeStacks` `DescribeStackResources` `CreateStack` `DeleteStack` |
# Exigences pour Amazon CloudFront
MediaLive inclut un assistant de flux de travail. L'une des options de l'assistant consiste à envoyer la sortie vers AWS Elemental MediaPackage et depuis Amazon CloudFront. Par conséquent, pour que les utilisateurs puissent créer un flux de travail avec livraison à MediaPackage, ils ont besoin d'autorisations d'accès CloudFront.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Utilisez l'assistant de flux de travail pour créer la CloudFront distribution associée à une MediaPackage chaîne, si votre organisation la prend en charge MediaPackage comme destination de sortie.Utilisez l'assistant de flux de travail pour supprimer un flux de travail qui inclut une CloudFront distribution. | CloudFront | `ListDistributions` `DescribeDistribution` `CreateDistribution` `DeleteDistribution` |
CloudFrontCreate et supprimez une CloudFront distribution, si votre organisation la prend en charge MediaPackage comme destination de sortie.
Notez que les autorisations requises ici sont très différentes des autorisations, car c'est l'assistant de flux de travail qui crée réellement la distribution.
# Exigences pour AWS CloudTrail
MediaLive est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans MediaLive.
Les utilisateurs n'ont pas besoin d'autorisations spéciales pour AWS CloudTrail.
# Exigences relatives à Amazon CloudWatch : surveillance de l'état de santé des canaux
La AWS Elemental MediaLive console inclut une page (**Détails des chaînes**) qui collecte CloudWatch des informations métriques sur l'état des chaînes et les affiche directement sur la MediaLive console.
Vous devez décider si vous souhaitez accorder l'autorisation d'afficher des métriques sur la console à certains ou à tous vos utilisateurs.
Pour qu'un utilisateur puisse consulter ces informations sur la MediaLive console, il doit disposer d'autorisations de consultation pour les opérations de métriques sur Amazon CloudWatch. Lorsque les utilisateurs disposent de ces autorisations, ils peuvent également consulter les informations via la CloudWatch console ou l'API REST. AWS CLI
Le tableau suivant présente les actions d'IAM relatives à l'accès pour surveiller l'état des canaux.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Afficher les métriques | CloudWatch | ListMetrics`GetMetricData``GetMetricStatistics` |
# Exigences relatives à Amazon SNS CloudWatch et configuration des notifications par e-mail
MediaLive fournit des informations sur les chaînes en cours d'exécution. Il envoie ces informations à Amazon CloudWatch sous forme d'événements. Les détails de ces événements peuvent éventuellement être distribués à un ou plusieurs utilisateurs. Quelqu'un doit configurer cette distribution. (Pour la procédure de configuration, veuillez consulter [Surveillance d'un canal ou d'un multiplex à l'aide d'Amazon CloudWatch Events](monitoring-via-cloudwatch.md).)
Vous devez décider si vous souhaitez accorder ces autorisations à certains ou à tous vos utilisateurs. Vous pouvez choisir d'autoriser chaque utilisateur à effectuer sa propre configuration de distribution. Vous pouvez également décider qu'un administrateur doit être responsable de l'exécution de la configuration au démarrage pour les utilisateurs concernés, puis à nouveau chaque fois qu'un nouvel utilisateur est ajouté.
Le tableau suivant présente les actions dans IAM relatives à l'accès pour configurer les notifications par e-mail.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Écrire | CloudWatch Événements | Toutes les actions |
| Écrire | SNS | Toutes les actions |
# Exigences relatives à Amazon CloudWatch Logs—Configuration de la journalisation des chaînes
MediaLive produit des journaux de chaînes qu'il envoie à CloudWatch Logs, où les utilisateurs peuvent les consulter. Pour de plus amples informations sur les journaux de canaux, veuillez consulter [Surveillance d'une chaîne à l'aide d'Amazon CloudWatch Logs](monitoring-with-logs.md).
Vous devez décider si vous souhaitez autoriser certains ou tous vos utilisateurs à consulter les CloudWatch journaux dans Logs.
Vous devez également décider si vous souhaitez accorder l'autorisation de définir la stratégie de conservation pour les journaux à certains ou à tous vos utilisateurs. Si vous décidez de ne pas accorder l'autorisation à un utilisateur, un administrateur doit être responsable de la définition de la stratégie.
Les utilisateurs n'ont pas besoin d'une autorisation spéciale pour activer la journalisation depuis MediaLive.
Le tableau suivant présente les actions dans IAM relatives à l'accès pour configurer les journaux des chaînes.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Afficher les journaux | CloudWatch Journaux | FilterLogEvents`GetLogEvents` |
| Définir la stratégie de conservation | CloudWatch Journaux | DeleteRetentionPolicy`PutRetentionPolicy` |
# Exigences relatives aux entrées Amazon Elastic Compute Cloud—VPC
Votre déploiement peut inclure des entrées push qui se connectent MediaLive à un VPC que vous avez créé avec Amazon VPC.
Lorsqu'un utilisateur crée ce type d'entrée sur la MediaLive console, il a la possibilité de choisir le sous-réseau et le groupe de sécurité dans une liste déroulante. Pour que la liste déroulante soit remplie avec les ressources d'Amazon VPC, l'utilisateur doit disposer des autorisations appropriées. Pour plus d'informations sur les entrées Amazon VPC, consultez. [Création d'une entrée](create-input.md)
Le tableau suivant montre les actions dans IAM liées à l'accès pour remplir la liste déroulante.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Afficher les sous-réseaux VPC et les groupes de sécurité VPC sur la console MediaLive | EC2 | DescribeSubnets`DescribeSecurityGroups` |
# Exigences relatives à Amazon Elastic Compute Cloud : livraison via VPC
Votre déploiement peut inclure la configuration de certains canaux de diffusion vers les points de terminaison de sortie dans Amazon Virtual Private Cloud (Amazon VPC).
Lorsqu'un utilisateur configure cette fonctionnalité sur la MediaLive console, il a la possibilité de choisir des sous-réseaux, des groupes de sécurité ou dans une liste déroulante. EIPs Pour que la liste déroulante soit remplie avec les ressources d'Amazon VPC, l'utilisateur doit disposer des autorisations appropriées. Pour plus d'informations sur cette fonctionnalité, consultez[Fourniture de sorties via votre VPC](delivery-out-vpc.md).
Le tableau suivant présente les actions dans IAM liées à l'accès pour remplir les listes déroulantes.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Affichez les sous-réseaux VPC et les groupes de sécurité VPC sur la console. MediaLive | EC2 | DescribeSubnets`DescribeSecurityGroups` |
| Consultez les adresses IP Elastic sur la console. La console trouve les adresses IP élastiques qui ont été allouées pour être utilisées dans votre AWS compte. | EC2 | DescribeAddresses |
# Exigences relatives à l'inférence élémentaire
Votre organisation peut implémenter les [fonctionnalités d'AWS Elemental Inference dans un canal](elemental-inference.md). Les utilisateurs qui configurent le canal pour utiliser ces fonctionnalités ont besoin d'autorisations pour utiliser les flux.
+ Les utilisateurs ont besoin d'autorisations pour utiliser les flux. Les utilisateurs ont besoin de ces autorisations même s'ils utilisent la MediaLive console ou l'API pour configurer les flux et associer le canal au flux.
+ Les utilisateurs ont besoin d'autorisations pour MediaLive effectuer la configuration d'un flux après la création ou la modification de la chaîne. La configuration implique d'associer le canal au flux. MediaLive utilise des sessions d'accès direct (FAS) IAM pour envoyer et récupérer.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Lors de la configuration d'un canal, afin qu'il MediaLive puisse fonctionner avec le flux d'inférence élémentaire. | Inférence élémentaire | CreateFeed`DeleteFeed``GetFeed``ListFeeds``UpdateFeed` |
| Après la configuration d'un canal, celui-ci MediaLive peut utiliser FAS pour associer le canal au flux d'inférence élémentaire. | Inférence élémentaire | `AssociateFeed` `DisassociateFeed` `GetFeed` |
# Exigences pour AWS Elemental Link
Votre entreprise peut déployer des appareils AWS Elemental Link matériels de l'une des manières suivantes ou des deux manières suivantes :
+ En tant que source vidéo pour l'entrée que vous associez à une AWS Elemental MediaLive chaîne.
+ En tant que source vidéo d'un AWS Elemental MediaConnect flux.
Cette section décrit les autorisations que vous (un administrateur IAM) devez attribuer aux utilisateurs et aux autres identités AWS afin qu'ils puissent configurer un AWS Elemental Link appareil pour qu'il fonctionne avec une MediaLive entrée ou un MediaConnect flux. Pour plus d'informations sur ces appareils, consultez[Con AWS Elemental Link figuration](setup-devices.md).
Lisez ces informations comme suit :
+ Lisez ces informations si les utilisateurs de votre organisation sont prêts à déployer des appareils et à les utiliser avec eux MediaLive.
+ Votre organisation peut également avoir des utilisateurs avec lesquels vous ne travaillerez que MediaLive pour déployer des appareils et les configurer en vue de leur utilisation en tant que sources, et vous souhaiterez peut-être suivre une règle d'*autorisation minimale* pour ces utilisateurs. Si tel est le cas, consultez[Configuration des utilisateurs dotés d'autorisations IAM](device-iam-for-user.md).
Vous devez attribuer des autorisations pour les actions dans plusieurs services, comme décrit dans le tableau suivant.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Déployer, configurer et visualiser un AWS Elemental Link appareil | MediaLive | `DescribeInputDevice` `DescribeInputDeviceThumbnail` `ListInputDevices` `RebootInputDevice` `StartInputDeviceMaintenanceWindow` `StartInputDevice` `StopInputDevice` `UpdateInputDevice` |
| Gérer les transferts d' AWS Elemental Link appareils | MediaLive | `AcceptInputDeviceTransfer` `CancelInputDeviceTransfer` `ClaimDevice` `ListInputDeviceTransfers` `RejectInputDeviceTransfer` `TransferInputDevice` |
| Sur la MediaLive console, affichez MediaConnect les flux dans la liste déroulante. Cette liste déroulante apparaît dans le champ **Flow ARN** de l'onglet **Pièces jointes** de la page **Détails de l'appareil**. | MediaConnect | ListFlows |
| Sur la MediaLive console, consultez les rôles IAM dans la liste déroulante. Cette liste déroulante apparaît dans le champ **ARN du rôle** de l'onglet **Pièces jointes** de la page **Détails de l'appareil**. | IAM | ListRoles |
| Sur la MediaLive console, consultez les secrets de Secrets Manager dans la liste déroulante. Cette liste déroulante apparaît dans le champ **ARN secret** de l'onglet **Pièces jointes** de la page **Détails de l'appareil**. | Secrets Manager | ListSecrets |
# Exigences pour AWS Elemental MediaConnect
Votre déploiement peut inclure l'utilisation d'un flux de AWS Elemental MediaConnect comme entrée vers AWS Elemental MediaLive.
Les utilisateurs ont besoin d'autorisations pour effectuer des actions MediaConnect lorsqu'ils utilisent l'assistant de MediaLive flux de travail. Les utilisateurs n'ont pas besoin d'autorisations spéciales lorsqu'ils utilisent la MediaLive console standard pour spécifier un MediaConnect flux dans une entrée ou un canal.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Utilisez l'assistant de flux de travail pour créer un MediaConnect flux, si votre organisation prend en charge les sources provenant de MediaConnect.Utilisez l'assistant de flux de travail pour supprimer un flux de travail qui inclut une source de MediaConnect. | MediaConnect | List\$1`Describe*``Create*``Delete*` |
# Exigences pour AWS Elemental MediaPackage
Votre déploiement peut envoyer des sorties à AWS Elemental MediaPackage, soit en créant un [groupe de sortie HLS, soit en créant un groupe MediaPackage de sortie](hls-choosing-hls-vs-emp.md). (Notez que les deux MediaPackage ont MediaLive des « canaux » ; cependant, ce sont des objets différents.)
L'utilisateur a besoin d'autorisations pour effectuer des actions MediaPackage lorsqu'il utilise la MediaLive console et lorsqu'il utilise l'assistant de MediaLive flux de travail.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Sur la MediaLive console, affichez les MediaPackage chaînes dans la liste déroulante de la MediaLive chaîne. | MediaPackage | Describe\$1 |
| Utilisez l'assistant de flux de travail pour créer un MediaPackage canal, si votre organisation le prend en charge MediaPackage comme destination de sortie.Utilisez l'assistant de flux de travail pour supprimer un flux de travail qui inclut une MediaPackage sortie. | MediaPackage | List\$1`Describe*``Create*``Delete*` |
# Exigences relatives au Groupes de ressources AWS marquage
Lorsque les utilisateurs créent des canaux, des entrées ou des groupes de sécurité d'entrée, ils peuvent éventuellement attacher des balises à la ressource lors de la création. Généralement, votre organisation dispose d'une stratégie pour baliser ou omettre des balises. Il existe deux services qui contrôlent les autorisations de balisage, pour deux scénarios différents :
+ La possibilité de baliser pendant la création du canal est contrôlée par des actions au sein d' AWS Elemental MediaLive. Consultez [Exigences relatives aux AWS Elemental MediaLive fonctionnalités](requirements-for-medialive.md).
+ La possibilité de modifier des balises dans des ressources existantes est contrôlée par des actions au sein du balisage des groupes de ressources. Consultez la section [Utilisation de l'éditeur de balises](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) dans [Getting Started with the AWS Management Console](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html).
# Exigences relatives à Amazon S3
Votre déploiement peut nécessiter l'utilisation de fichiers dans un compartiment Amazon S3. Par exemple, votre déploiement peut utiliser des fichiers des manières suivantes :
+ En tant que source pour une entrée HLS
+ En tant que destination pour un groupe de sorties Archive.
+ En tant que destination pour un groupe de sorties HLS
Les utilisateurs n'ont pas besoin d'autorisations spéciales pour spécifier un compartiment Amazon S3 dans un champ de la MediaLive console.
# Exigences relatives aux secrets de Secrets Manager
Votre déploiement peut inclure les ressources suivantes :
+ Entrées SRT pour le contenu SRT chiffré par le système en amont.
Lorsque l'utilisateur crée ce type d'entrée, il doit saisir ou sélectionner l'ARN d'un secret contenant le mot de passe permettant de déchiffrer le contenu.
+ Sorties de l'appelant SRT. MediaLive chiffre toujours ce type de sortie
Lorsque l'utilisateur crée ce type de sortie, il doit saisir ou sélectionner l'ARN d'un secret contenant le mot de passe pour chiffrer le contenu.
+ AWS Elemental Link périphériques matériels utilisés dans MediaLive ou dans MediaConnect. Pour plus d'informations sur les autorisations associées à ce cas d'utilisation, consultez[Exigences pour AWS Elemental Link](requirements-for-link.md).
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Sur la MediaLive console, lors de la création d'une entrée SRT Caller, pour afficher les secrets dans la liste déroulante.Sur la MediaLive console, lors de la création d'une sortie SRT Caller, pour afficher les secrets dans la liste déroulante. | Secrets Manager | ListSecrets |
## Autorisations requises
**Autorisation de créer un ARN**
Un utilisateur autorisé sur Secrets Manager doit définir le mot de passe comme secret, puis fournir à l' MediaLive utilisateur l'ARN de ce secret.
**Autorisation de sélectionner un mot de passe**
Pour qu'une liste apparaisse dans la liste déroulante de la console, l'utilisateur de la console doit l'avoir `ListSecrets` dans Secrets Manager. ARNs L'utilisateur peut ensuite sélectionner un ARN dans la liste.
**Autorisation de saisir un ARN**
Aucune autorisation spéciale n'est requise pour saisir le mot de passe sur la console. AWS Elemental MediaLive
# Exigences relatives aux paramètres du AWS Systems Manager mot de passe
La AWS Elemental MediaLive console inclut une fonctionnalité qui permet à l'utilisateur de créer un paramètre de mot de passe dans le AWS Systems Manager Parameter Store. Cette fonctionnalité fait partie de la page **Create Channel (Créer un canal)**. Cette fonctionnalité n'existe pas dans la AWS CLI ou dans l'API REST.
Vous devez décider si vous souhaitez accorder l'autorisation d'utiliser cette fonctionnalité à certains ou à tous vos utilisateurs. (Si vous n'accordez pas l'autorisation à un utilisateur, un administrateur doit être responsable de la création des paramètres.)
## À propos de la fonctionnalité de création de paramètres de mot de passe
Le AWS Systems Manager Parameter Store est largement utilisé dans AWS Elemental MediaLive. Il est probable que vous utiliserez ce magasin. En effet, il contient les mots de passe nécessaires à MediaLive pour récupérer et stocker des fichiers en externe.
Voici certaines des MediaLive fonctions qui utilisent ce magasin pour conserver les mots de passe :
+ Une entrée de type Récupération RTMP ou Récupération HLS, si la connexion est sécurisée.
+ Les champs figurant dans le canal qui contient l'URL d'un fichier externe, si la connexion est sécurisée. Un exemple de ce type de champ est **Avail blanking image (Image d'occultation de la diffusion)**.
+ La destination d'un groupes de sortie HLS ou d'un groupe de sorties Microsoft Smooth, si la connexion est sécurisée.
Dans tous ces cas, MediaLive le nom d'utilisateur et le mot de passe sont nécessaires. Le mot de passe est toujours stocké dans un paramètre. Par conséquent, la console inclut un champ **Username (Nom d'utilisateur)** et un champ **Password parameter (Paramètre de mot de passe)**. **Pour obtenir un exemple des champs pertinents, ouvrez la MediaLive console, choisissez **Créer une chaîne**, **Paramètres généraux**, Avail blanking, **Avail blanking** **image**, puis sélectionnez Credentials.**
## Fonctionnement des paramètres de mot de passe
La fonctionnalité de paramètre de mot de passe garantit que lorsque l'utilisateur crée une chaîne, AWS Elemental MediaLive il ne stocke pas les mots de passe en texte brut. Elle fonctionne comme suit :
+ Tout d'abord, un utilisateur ou un administrateur crée un paramètre de mot de passe dans AWS Systems Manager Parameter Store. Le paramètre est une paire nom-valeur, le nom s'apparentant à **corporateStorageImagesPassword** et la valeur étant le mot de passe.
+ Ensuite, lorsqu'un utilisateur crée un canal ou saisit un mot de passe MediaLive et qu'il doit saisir un mot de passe, il spécifie le nom du paramètre du mot de passe au lieu du mot de passe. Ce nom est enregistré dans MediaLive. Le mot de passe réel n'est jamais enregistré dans MediaLive.
+ Enfin, lorsque le canal est en cours d'exécution et MediaLive a besoin du mot de passe (pour lire ou écrire sur un emplacement externe), il envoie le nom du paramètre de mot de passe à Parameter Store et récupère le mot de passe réel en réponse.
## Créez une fonctionnalité intégrée dans MediaLive
Lorsqu'un champ de mot de passe apparaît sur la console, il AWS Elemental MediaLive inclut une fonctionnalité qui permet à l'utilisateur d'effectuer l'une des opérations suivantes :
+ Saisir le nom d'un paramètre de mot de passe existant.
+ Créer un paramètre de mot de passe en saisissant la paire nom-valeur (un nom de paramètre et un mot de passe réel).
## Autorisations requises
Les utilisateurs doivent saisir le nom d'un paramètre de mot de passe ou sélectionner un nom dans la liste déroulante. Certains utilisateurs peuvent avoir besoin d'une autorisation pour créer un paramètre de mot de passe dans AWS Elemental MediaLive.
### Autorisation de saisir un nom
Aucune autorisation spéciale n'est requise pour saisir le nom d'un paramètre de mot de passe existant sur la AWS Elemental MediaLive console.
### Autorisation de sélectionner un nom
Pour que l'utilisateur puisse sélectionner un nom dans la liste déroulante, il doit disposer de l'autorisation pour `GetParameters` dans AWS Systems Manager.
### Autorisation de créer
Pour qu'un utilisateur puisse créer un paramètre de mot de passe sur la AWS Elemental MediaLive console, il doit être autorisé à effectuer des opérations spécifiques dans AWS Systems Manager Parameter Store. (Avec cette autorisation, l'utilisateur peut également créer ces paramètres de mot de passe à l'avance sur la AWS Systems Manager console. L'utilisateur peut choisir l'option qu'il préfère.)
Vous pouvez accorder l'autorisation de créer ces paramètres de mot de passe à certains ou à tous les utilisateurs. En général, vous accordez cette autorisation uniquement aux utilisateurs qui se voient confier des mots de passe sensibles ; il peut s'agir d'utilisateurs que vous avez identifiés en tant qu'utilisateurs avancés :
+ Si vous accordez l'autorisation uniquement aux utilisateurs avancés, ces utilisateurs doivent être responsables de la création des paramètres au démarrage pour les ressources applicables et chaque fois qu'une nouvelle ressource est requise par MediaLive. Les utilisateurs peuvent effectuer la configuration sur la MediaLive console ou sur la AWS Systems Manager console.
+ Si vous n'accordez pas l'autorisation à un utilisateur, un administrateur doit être responsable de la création des paramètres au démarrage pour les ressources applicables et chaque fois qu'une nouvelle ressource est requise par MediaLive. Un administrateur peut préférer effectuer cette configuration sur la AWS Systems Manager console.
### Autorisation de modification et de suppression
Si vous souhaitez que les utilisateurs puissent modifier et supprimer des paramètres de mot de passe (et les créer), accordez-leur l'accès pour modifier et supprimer des opérations. Les utilisateurs pourront modifier et supprimer des paramètres depuis le magasin de AWS Systems Manager paramètres. (Il n'existe aucune fonctionnalité de modification ou de suppression sur la AWS Elemental MediaLive console.)
Vous pouvez choisir d'accorder cet accès aux utilisateurs qui disposent des autorisations de création. Vous pouvez également choisir d'accorder cet accès uniquement aux administrateurs.
Le tableau suivant présente les actions dans IAM relatives à l'accès au Parameter Store.
| Permissions | Nom du service dans IAM | Actions |
| --- | --- | --- |
| Select | Systems Manager | GetParameters |
| Créer | Systems Manager | PutParameter |
| Modifier et supprimer | Systems Manager | DeleteParameter`DeleteParameters``DescribeParameters``GetParameter``GetParameterHistory``GetParameters``GetParametersByPath` |