Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création de politiques et de rôles non administratifs
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources MediaPackage. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par MediaPackage, y compris le format des ARN pour chacun des types de ressources, voir [Actions, ressources et clés de condition AWS Elemental MediaPackage](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediapackage.html) dans la *référence d'autorisation de service*.
Cette section décrit comment créer des politiques et des rôles non administratifs afin que les utilisateurs puissent créer ou modifier des MediaPackage ressources. Cette section décrit également comment vos utilisateurs peuvent assumer ce rôle pour octroyer des informations d'identification sécurisées et temporaires.
**Topics**
+ [(Facultatif) Étape 1 : créer une politique IAM pour Amazon CloudFront](#setting-up-create-non-admin-iam-cf)
+ [(Facultatif) Étape 2 : créer une politique IAM pour la VOD MediaPackage](#setting-up-create-non-admin-iam-vod)
+ [Étape 3 : créer un rôle dans la console IAM](#setting-up-create-role)
+ [Étape 4 : assumer le rôle depuis la console IAM ou AWS CLI](#setting-up-create-nonadmin-roles-assume-role)
## (Facultatif) Étape 1 : créer une politique IAM pour Amazon CloudFront
Si vous ou vos utilisateurs souhaitez créer des CloudFront distributions Amazon à partir de la console AWS Elemental MediaPackage live, créez une politique IAM autorisant l'accès à CloudFront.
Pour plus d'informations sur l'utilisation CloudFront avec MediaPackage, consultez[Travailler avec CDNs](cdns.md).
**Pour utiliser l’éditeur de politique JSON afin de créer une politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques).
Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Mise en route**.
1. En haut de la page, sélectionnez **Créer une politique**.
1. Dans la section **Éditeur de politique**, choisissez l’option **JSON**.
1. Entrez le document de politique JSON suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution",
"cloudfront:CreateDistributionWithTags",
"cloudfront:UpdateDistribution",
"cloudfront:CreateDistribution",
"cloudfront:TagResource",
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
1. Choisissez **Suivant**.
**Note**
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l’éditeur **visuel**, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page [Restructuration de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l’utilisateur IAM*.
1. Sur la page **Vérifier et créer**, saisissez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique.
1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.
## (Facultatif) Étape 2 : créer une politique IAM pour la VOD MediaPackage
Si vous ou vos utilisateurs allez utiliser la fonctionnalité de vidéo à la demande (VOD) dans MediaPackage, créez une politique IAM qui autorise l'accès aux ressources du `mediapackage-vod` service.
Les sections suivantes décrivent comment créer une stratégie qui autorise toutes les actions et une stratégie qui autorise les droits en lecture seule. Vous pouvez personnaliser les stratégies en ajoutant ou en supprimant des actions adaptées à vos flux de travail.
### Politique d'accès complet à la VOD
Cette stratégie permet à l'utilisateur d'effectuer toutes les actions sur toutes les ressources VOD.
**Pour utiliser l’éditeur de politique JSON afin de créer une politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques).
Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Mise en route**.
1. En haut de la page, sélectionnez **Créer une politique**.
1. Dans la section **Éditeur de politique**, choisissez l’option **JSON**.
1. Entrez le document de politique JSON suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "mediapackage-vod:*",
"Resource": "*"
}
]
}
```
1. Choisissez **Suivant**.
**Note**
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l’éditeur **visuel**, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page [Restructuration de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l’utilisateur IAM*.
1. Sur la page **Vérifier et créer**, saisissez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique.
1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.
### Politique d'accès à la VOD en lecture seule
Cette stratégie permet à l'utilisateur d'afficher toutes les ressources VOD.
**Pour utiliser l’éditeur de politique JSON afin de créer une politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques).
Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Mise en route**.
1. En haut de la page, sélectionnez **Créer une politique**.
1. Dans la section **Éditeur de politique**, choisissez l’option **JSON**.
1. Entrez le document de politique JSON suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mediapackage-vod:List*",
"mediapackage-vod:Describe*"
],
"Resource": "*"
}
]
}
```
1. Choisissez **Suivant**.
**Note**
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l’éditeur **visuel**, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page [Restructuration de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l’utilisateur IAM*.
1. Sur la page **Vérifier et créer**, saisissez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique.
1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.
## Étape 3 : créer un rôle dans la console IAM
Créez un rôle dans la console IAM pour chaque politique que vous créez. Cela permet aux utilisateurs d'assumer un rôle plutôt que d'associer des politiques individuelles à chaque utilisateur.
**Pour créer un rôle dans la console IAM**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).
1. Sous **Sélectionner une entité de confiance**, sélectionnez un **AWS compte**.
1. Sous **Un AWS compte**, sélectionnez le compte auprès duquel les utilisateurs joueront ce rôle.
+ Si un tiers doit accéder à ce rôle, il est recommandé de sélectionner **Exiger un identifiant externe**. Pour plus d'informations sur les identifiants externes, consultez la section [Utilisation d'un identifiant externe pour l'accès de tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) dans le *guide de l'utilisateur IAM*.
+ Il est recommandé d'exiger une authentification multifactorielle (MFA). Vous pouvez cocher la case à côté de **Exiger le MFA**. *Pour plus d'informations sur l'authentification MFA, consultez la section [Multi-factorAuthentification (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) dans le guide de l'utilisateur IAM.*
1. Choisissez **Suivant**.
1. Sous **Politiques d'autorisations**, recherchez et ajoutez la politique avec le niveau MediaPackage d'autorisation approprié.
+ Pour accéder aux fonctionnalités en direct, choisissez l'une des options suivantes :
+ Utilisez **AWSElementalMediaPackageFullAccess**pour autoriser l'utilisateur à effectuer toutes les actions sur toutes les ressources actives de MediaPackage.
+ **AWSElementalMediaPackageReadOnly**À utiliser pour fournir à l'utilisateur des droits de lecture seule pour toutes les ressources en direct dans. MediaPackage
+ Pour accéder à la fonctionnalité de vidéo à la demande (VOD), utilisez la stratégie que vous avez créée dans [(Facultatif) Étape 2 : créer une politique IAM pour la VOD MediaPackage](#setting-up-create-non-admin-iam-vod).
1. Ajoutez des politiques permettant à la MediaPackage console de passer des appels à Amazon CloudWatch au nom de l'utilisateur. Sans ces stratégies, l'utilisateur peut utiliser uniquement l'API du service (pas la console). Choisissez l’une des options suivantes :
+ **ReadOnlyAccess**À utiliser MediaPackage pour autoriser la communication avec CloudWatch l'utilisateur et également fournir à l'utilisateur un accès en lecture seule à tous les AWS services de votre compte.
+ Utilisez **CloudWatchReadOnlyAccess**CloudWatchEventsReadOnlyAccess****, et **CloudWatchLogsReadOnlyAccess**pour autoriser MediaPackage à communiquer avec CloudWatch l'utilisateur et limiter son accès en lecture seule à. CloudWatch
1. (Facultatif) Si cet utilisateur souhaite créer des CloudFront distributions Amazon à partir de la MediaPackage console, joignez la politique que vous avez créée dans[(Facultatif) Étape 1 : créer une politique IAM pour Amazon CloudFront](#setting-up-create-non-admin-iam-cf).
1. (Facultatif) Définissez une [limite d'autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Il s'agit d'une fonctionnalité avancée disponible pour les rôles de service, mais pas les rôles liés à un service.
1. Développez la section **Permissions boundary** (Limite d'autorisations) et sélectionnez **Use a permissions boundary to control the maximum role permissions** (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte.
1. Sélectionnez la politique à utiliser pour la limite d'autorisations ou choisissez **Créer une politique** pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d'informations, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l'utilisateur IAM*.
1. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial pour sélectionner la politique à utiliser pour la limite d'autorisations.
1. Vérifiez que les bonnes politiques sont ajoutées à ce groupe, puis choisissez **Next**.
1. Si possible, saisissez un nom de rôle ou le suffixe d'un nom de rôle vous permettant d'identifier l'objectif du rôle. Les noms de rôle doivent être uniques dans votre Compte AWS. Ils ne sont pas distingués au cas par cas. Par exemple, vous ne pouvez pas créer deux rôles nommés **PRODROLE** et **prodrole**. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création.
1. (Facultatif) Pour **Description**, saisissez une description pour le nouveau rôle.
1. Choisissez **Edit** (Modifier) dans les sections **Step 1: Select trusted entities** (Étape 1 : sélection d'entités de confiance) ou **Step 2: Select permissions** (Étape 2 : sélection d'autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle.
1. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la rubrique [Balisage des ressources IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l'utilisateur IAM*.
1. Passez en revue les informations du rôle, puis choisissez **Créer un rôle**.
## Étape 4 : assumer le rôle depuis la console IAM ou AWS CLI
Consultez les ressources suivantes pour en savoir plus sur l'octroi d'autorisations aux utilisateurs pour qu'ils assument le rôle et sur la manière dont les utilisateurs peuvent passer au rôle depuis la console IAM ou AWS CLI.
+ Pour plus d'informations sur l'octroi à un utilisateur des autorisations lui permettant de changer de rôle, consultez la section [Octroi à un utilisateur d'autorisations pour changer de rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html) dans le *Guide de l'utilisateur IAM*.
+ Pour plus d'informations sur le changement de rôle (console), consultez la section [Passage à un rôle (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) dans le *guide de l'utilisateur IAM*.
+ Pour plus d'informations sur le changement de rôle (AWS CLI), consultez la section [Passer à un rôle IAM (CLI AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html) dans le guide de l'*utilisateur IAM*.