Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création de l'entité de confiance - option complexe
Lisez cette section si vous avez décidé d'utiliser l'[option complexe](scenarios-for-medialive-role.md) pour configurer l'entité de confiance.
Avec l'option complexe, vous devez effectuer les tâches suivantes :
+ Créez des politiques et des rôles, et utilisez-les pour vous configurer en MediaLive tant qu'entité de confiance. Cette tâche est abordée dans les étapes A, B et C.
+ Configurez à tous les MediaLive utilisateurs des autorisations leur permettant d'associer une politique de confiance spécifique à une chaîne, lorsqu'ils créent ou modifient la chaîne. Cette tâche est abordée à l'étape D.
**Topics**
+ [Identifier les exigences en matière d'accès](complex-scenario-create-trusted-entity-role-step1.md)
+ [Création de politiques](complex-scenario-create-trusted-entity-role-step2.md)
+ [Création de rôles](complex-scenario-create-trusted-entity-role-step3.md)
+ [Configurer les autorisations des utilisateurs](requirements-medialiverole-complex-permissions.md)
+ [Exigences d'accès pour l'entité de confiance](trusted-entity-requirements.md)
# Identifier les exigences en matière d'accès
Vous devez identifier les services qui MediaLive interagiront dans le cadre de votre déploiement. Ensuite, au sein de chaque service, vous devez identifier les opérations et les ressources MediaLive auxquelles vous devez accéder. Enfin, vous devez concevoir les politiques IAM qui répondent à ces exigences.
Cette analyse des exigences doit être effectuée par une personne de votre organisation qui comprend les exigences de votre organisation relatives à l'accès aux ressources. Cette personne doit comprendre s'il est obligatoire de restreindre l'accès des MediaLive chaînes aux ressources d'autres AWS services. Par exemple, cette personne doit déterminer si l'accès aux canaux doit être restreint aux compartiments dans Amazon S3 afin qu'un canal spécifique puisse accéder à certains compartiments et pas à d'autres.
**Pour déterminer les exigences d'accès pour MediaLive**
1. Consultez le tableau ci-dessous [Exigences d'accès pour l'entité de confiance](trusted-entity-requirements.md) pour plus d'informations sur les services auxquels il est MediaLive généralement nécessaire d'accéder. Parmi ces services, déterminez ceux que votre déploiement utilise et les opérations dont il a besoin.
1. Au sein d'un service, déterminez le nombre de stratégies que vous devez créer. Avez-vous besoin de plusieurs combinaisons d'objets et d'opérations différentes pour différents flux de travail et devez-vous conserver ces combinaisons séparément pour des raisons de sécurité ?
Plus précisément, déterminez si vous avez besoin ou non d'accéder à différentes ressources pour différents flux de travail et s'il est important de restreindre l'accès à des ressources spécifiques. Par exemple, dans AWS Systems Manager Parameter Store, vous pouvez avoir des mots de passe appartenant à différents flux de travail, et vous souhaiterez peut-être autoriser uniquement des utilisateurs spécifiques à accéder aux mots de passe d'un flux de travail donné.
Si différents flux de travail disposent d'exigences différentes pour les objets, les opérations et les ressources, alors, pour ce service, vous avez besoin de stratégies séparées pour chaque flux de travail.
1. Concevez chaque stratégie : identifiez les objets autorisés (ou non autorisés), les opérations et les ressources autorisées (ou non autorisées) dans la stratégie.
1. Déterminez si l'une des stratégies identifiées est couverte par une stratégie gérée.
1. Pour chaque flux de travail, identifiez les stratégies nécessaires à tous les services utilisés par le flux de travail. Lorsque vous créez la politique, vous pourrez y inclure plusieurs services. Vous n'avez pas besoin de créer une stratégie pour chaque service.
1. Identifiez le nombre de rôles dont vous avez besoin. Vous avez besoin d'un rôle pour chaque combinaison unique de stratégies.
1. Attribuez des noms à toutes les stratégies et rôles identifiés. Assurez-vous de ne pas inclure d'informations d'identification sensibles (telles que le nom d'un compte client) dans ces noms.
# Création de politiques
Après avoir suivi l'[étape A](complex-scenario-create-trusted-entity-role-step1.md) pour identifier les politiques dont vous avez besoin, vous devez les créer sur la console IAM.
Suivez cette procédure pour chaque politique.
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques). Sélectionnez ensuite **Créer une politique**. L'assistant **de création d'une politique** apparaît. Cet assistant vous explique les étapes à suivre, notamment les étapes clés suivantes :
+ Sélectionnez un service.
+ Sélectionnez les actions pour ce service.
Généralement (et par défaut), vous spécifiez les actions que vous souhaitez autoriser.
Mais vous pouvez également cliquer sur le bouton **Switch pour refuser les autorisations** afin de refuser les actions choisies à la place. Pour des raisons de sécurité, nous vous recommandons de refuser les autorisations uniquement si vous souhaitez annuler une autorisation accordée séparément par une autre déclaration ou politique. Nous vous recommandons de limiter le nombre de refus d'autorisation au minimum, car ils peuvent rendre la résolution des problèmes d'autorisation plus complexe.
+ [Spécifiez les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) pour chaque action (si l'action est prise en charge). Par exemple, si vous choisissez l' MediaLive `DescribeChannel`ARN, vous pouvez spécifier ARNs des canaux spécifiques.
+ Spécifiez les conditions (facultatif). Par exemple :
+ Vous pouvez spécifier qu'un utilisateur est autorisé à effectuer une action uniquement lorsque la demande de cet utilisateur se produit dans un certain intervalle de temps.
+ Vous pouvez spécifier que l'utilisateur doit utiliser un dispositif d'authentification multifactorielle (MFA) pour s'authentifier.
+ Vous pouvez spécifier que la demande doit provenir d'une plage d'adresses IP.
Pour obtenir la liste de toutes les clés contextuelles que vous pouvez utiliser dans une condition de politique, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.
1. Choisissez **Create Policy** (Créer une politique).
# Création de rôles
Toute personne étant un administrateur peut effectuer la procédure pour créer un rôle et attacher des stratégies au rôle.
Dans [Identifier les exigences en matière d'accès](complex-scenario-create-trusted-entity-role-step1.md), une personne de votre organisation a identifié les rôles que vous devez créer. Créez ces rôles dès maintenant à l'aide d'IAM.
Au cours de cette étape, vous créez un rôle composé d'une politique de confiance (« laissez MediaLive `AssumeRole` agir ») et d'une ou de plusieurs politiques (les [politiques que vous venez de créer](complex-scenario-create-trusted-entity-role-step2.md)). De cette façon, MediaLive il est autorisé à assumer le rôle. Lorsqu'il assume le rôle, il obtient les autorisations spécifiées dans les politiques.
Suivez cette procédure pour chaque rôle.
1. Sur la console IAM, dans le volet de navigation de gauche, choisissez **Rôles**, puis **Créer un rôle**. L'assistant **de création de rôle** apparaît. Cet assistant vous explique les étapes de configuration d'une entité de confiance et d'ajout d'autorisations (en ajoutant une politique).
1. Sur la page **Sélectionner une entité de confiance**, choisissez la carte de **politique de confiance personnalisée**. La section **Politique de confiance personnalisée** apparaît, avec un exemple de politique.
1. Effacez l'exemple, copiez le texte suivant et collez-le dans la section **Politique de confiance personnalisée**. La section **Politique de confiance personnalisée** ressemble désormais à ceci :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "medialive.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Choisissez **Suivant**.
1. Sur la page **Ajouter des autorisations**, recherchez la ou les politiques que vous avez créées (par exemple,`MedialiveForCurlingEvents`) et cochez la case correspondante. Ensuite, sélectionnez **Suivant**.
1. Sur la page de révision, entrez le nom du rôle. Nous vous recommandons de ne pas utiliser le nom, `MediaLiveAccessRole`, car il est réservé à l'[option simple](scenarios-for-medialive-role.md#about-simple-scenario).
Utilisez plutôt un nom comprenant `Medialive`, qui décrit l'objectif de ce rôle. Par exemple, `MedialiveAccessRoleForSports`.
1. Choisissez **Créer un rôle**.
1. Sur la page **Résumé** du rôle, notez la valeur dans l'**ARN du rôle**. Elle se présente ainsi :
`arn:aws:iam::111122223333:role/medialiveWorkflow15`
Dans l'exemple, il `111122223333` s'agit de votre numéro de AWS compte.
1. Après avoir créé tous les rôles, dressez une liste des rôles ARNs. Incluez les informations suivantes dans chaque article :
+ ARN du rôle.
+ Description du flux de travail auquel s'applique l'ARN.
+ Les utilisateurs qui peuvent travailler avec ce flux de travail et doivent donc être en mesure d'associer cette politique de confiance aux canaux qu'ils créent et modifient.
Vous aurez besoin de cette liste lorsque vous [configurez l'accès aux entités de confiance](requirements-medialiverole-complex-permissions.md) pour les utilisateurs.
# Configurer les autorisations des utilisateurs
Avec l'option complexe, MediaLive les utilisateurs doivent être autorisés à utiliser l'assistant des entités fiables. Cet assistant se trouve dans la section **Rôle IAM** du volet **Détails du canal et des entrées** :
![\[IAM role configuration options for AWS Elemental MediaLive channel access permissions.\]](http://docs.aws.amazon.com/fr_fr/medialive/latest/ug/images/medialiveaccessrole_withUpdateButton.png)
Rubriques
## Configurer les autorisations de l'assistant
Vous devez configurer tous les MediaLive utilisateurs autorisés à utiliser l'assistant pour saisir un rôle d'entité de confiance dans l'assistant. Les utilisateurs se référeront à la liste des rôles que vous leur attribuerez.
Vous devez accorder à tous les utilisateurs les droits d'accès décrits dans le tableau suivant. L'action est dans le service IAM. Incluez cette action dans la politique (ou dans l'une des politiques) que vous créez pour les utilisateurs.
| Les champs dans le magicien | Description | Actions |
| --- | --- | --- |
| Utiliser le rôle existant | Les utilisateurs ne doivent pas être en mesure de consulter la liste dans le champ de sélection qui accompagne le champ Utiliser un rôle existant. Cette liste indique tous les rôles créés dans le AWS compte. Les utilisateurs ne doivent pas être en mesure de faire une sélection dans cette liste. Au lieu de sélectionner un rôle existant, les utilisateurs saisiront un rôle dans le champ **ARN Spécifier un rôle personnalisé**. | Aucune |
| **Option Créer un rôle à partir d'un modèle** | Les utilisateurs ne doivent pas être en mesure de sélectionner le champ Créer un rôle à partir d'un modèle. Les utilisateurs ne créent pas de rôles. Seuls les administrateurs créent des rôles. | Aucune |
| Spécifier l'ARN du rôle personnalisé | Les utilisateurs doivent être en mesure de saisir un rôle dans le champ de saisie qui accompagne le champ ARN Spécifier un rôle personnalisé. Ils doivent ensuite être en mesure de transmettre ce rôle à MediaLive. | iam:PassRole |
| Mettre à jour | Les utilisateurs n'ont pas besoin de choisir le bouton Mettre à jour car ce bouton n'apparaît que dans les implémentations qui l'utilisentMediaLiveAccessRole. L'option complexe n'utilise pas ce rôle ; par conséquent, ce bouton ne s'affiche jamais. | Aucune |
## Informations dont les utilisateurs ont besoin
Lorsqu'un utilisateur crée une chaîne, il transmet un rôle MediaLive à lui permettant de configurer MediaLive les politiques fiables appropriées. Vous avez créé ces politiques lorsque vous avez [configuré l'entité de confiance](setup-trusted-entity-complex.md). Plus précisément, lorsque vous avez [créé le rôle d'entité de confiance](complex-scenario-create-trusted-entity-role-step3.md), vous avez pris note ARNs de tous les rôles que vous avez créés.
Vous devez fournir à chaque utilisateur une liste des rôles (identifiés par un ARN) qu'il doit utiliser avec chaque flux de travail (canal) avec lequel il travaille.
+ Assurez-vous de donner à chaque utilisateur les rôles appropriés pour les flux de travail dont il est responsable. Chaque rôle donne MediaLive accès aux ressources qui s'appliquent à un flux de travail spécifique.
+ Chaque utilisateur possède probablement une liste de rôles différente.
Lorsque l'utilisateur sélectionne **Spécifier un ARN de rôle personnalisé**, il consulte sa liste pour trouver le flux de travail auquel le canal s'applique et l'ARN du rôle qui s'applique donc.
# Exigences d'accès pour l'entité de confiance
Le tableau suivant indique tous les types d'autorisations dont l'entité MediaLive de confiance peut avoir besoin. Reportez-vous à ce tableau lorsque vous [identifiez les exigences d'accès pour l'entité MediaLive de confiance](complex-scenario-create-trusted-entity-role-step1.md).
Chaque ligne de la colonne décrit une tâche ou un ensemble de tâches connexes que l'entité de MediaLive confiance peut avoir besoin d'exécuter pour un utilisateur. La troisième colonne décrit le type d'accès dont l'entité de confiance a besoin pour effectuer cette tâche. La dernière colonne répertorie les actions ou les politiques IAM qui contrôlent cet accès.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/medialive/latest/ug/trusted-entity-requirements.html)