Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Con MediaPackagefiguration
Avant de commencer à utiliser AWS Elemental MediaPackage (MediaPackage), vous devez vous inscrire AWS (si vous n'avez pas encore de AWS compte) et créer des utilisateurs et des rôles IAM pour autoriser l'accès à MediaPackage. Cela inclut la création d'un rôle IAM pour vous-même. Si vous souhaitez utiliser le chiffrement pour protéger votre contenu, vous devez également y stocker vos clés de chiffrement AWS Secrets Manager, puis MediaPackage autoriser leur obtention à partir de votre compte Secrets Manager.
Cette section vous guide à travers les étapes requises pour configurer les utilisateurs et les rôles auxquels vous souhaitez accéder MediaPackage. Pour obtenir des informations générales et supplémentaires sur la gestion des identités et des accès pour MediaPackage, voir[Identity and Access Management pour AWS Elemental MediaPackage](security-iam.md).
**Topics**
+ [S'inscrire à AWS](setting-up-aws-sign-up.md)
+ [Création de politiques et de rôles non administratifs](setting-up-create-non-admin-iam.md)
+ [AWS Elemental MediaPackage Permettre l'accès à d'autres AWS services](setting-up-create-trust-rel.md)
+ [(Facultatif) Configuration du chiffrement](set-up-encryption.md)
+ [(Facultatif) Installation du AWS CLI](setting-up-install-cli.md)
# S'inscrire à AWS
**Topics**
+ [Inscrivez-vous pour un Compte AWS](#sign-up-for-aws)
+ [Création d’un utilisateur doté d’un accès administratif](#create-an-admin)
## Inscrivez-vous pour un Compte AWS
Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.
**Pour vous inscrire à un Compte AWS**
1. Ouvrez l'[https://portal.aws.amazon.com/billing/inscription.](https://portal.aws.amazon.com/billing/signup)
1. Suivez les instructions en ligne.
Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous vous inscrivez à un Compte AWS, un *Utilisateur racine d'un compte AWS*est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à [https://aws.amazon.com/](https://aws.amazon.com/)et en choisissant **Mon compte**.
## Création d’un utilisateur doté d’un accès administratif
Une fois que vous vous êtes inscrit à un utilisateur administratif Compte AWS, que vous Utilisateur racine d'un compte AWS l'avez sécurisé AWS IAM Identity Center, que vous l'avez activé et que vous en avez créé un, afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.
**Sécurisez votre Utilisateur racine d'un compte AWS**
1. Connectez-vous en [AWS Management Console](https://console.aws.amazon.com/)tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez [Connexion en tant qu’utilisateur racine](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) dans le *Guide de l’utilisateur Connexion à AWS *.
1. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.
Pour obtenir des instructions, voir [Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) dans le guide de l'utilisateur *IAM*.
**Création d’un utilisateur doté d’un accès administratif**
1. Activez IAM Identity Center.
Pour obtenir des instructions, consultez [Activation d’ AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.
Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir [Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) dans le *Guide de AWS IAM Identity Center l'utilisateur*.
**Connexion en tant qu’utilisateur doté d’un accès administratif**
+ Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.
Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section [Connexion au portail AWS d'accès](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) dans le *guide de l'Connexion à AWS utilisateur*.
**Attribution d’un accès à d’autres utilisateurs**
1. Dans IAM Identity Center, créez un ensemble d’autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.
Pour obtenir des instructions, consultez [Création d’un ensemble d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.
Pour obtenir des instructions, consultez [Ajout de groupes](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
# Création de politiques et de rôles non administratifs
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources MediaPackage. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par MediaPackage, y compris le format de ARNs pour chacun des types de ressources, voir [Actions, ressources et clés de condition AWS Elemental MediaPackage](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediapackage.html) dans la *référence d'autorisation de service*.
Cette section décrit comment créer des politiques et des rôles non administratifs afin que les utilisateurs puissent créer ou modifier des MediaPackage ressources. Cette section décrit également comment vos utilisateurs peuvent assumer ce rôle pour octroyer des informations d'identification sécurisées et temporaires.
**Topics**
+ [(Facultatif) Étape 1 : créer une politique IAM pour Amazon CloudFront](#setting-up-create-non-admin-iam-cf)
+ [(Facultatif) Étape 2 : créer une politique IAM pour la VOD MediaPackage](#setting-up-create-non-admin-iam-vod)
+ [Étape 3 : créer un rôle dans la console IAM](#setting-up-create-role)
+ [Étape 4 : assumer le rôle depuis la console IAM ou AWS CLI](#setting-up-create-nonadmin-roles-assume-role)
## (Facultatif) Étape 1 : créer une politique IAM pour Amazon CloudFront
Si vous ou vos utilisateurs souhaitez créer des CloudFront distributions Amazon à partir de la console AWS Elemental MediaPackage en ligne, créez une politique IAM qui autorise l'accès à CloudFront.
Pour plus d'informations sur l'utilisation CloudFront avec MediaPackage, consultez[Travailler avec CDNs](cdns.md).
**Pour utiliser l’éditeur de politique JSON afin de créer une politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques).
Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Mise en route**.
1. En haut de la page, sélectionnez **Créer une politique**.
1. Dans la section **Éditeur de politique**, choisissez l’option **JSON**.
1. Entrez le document de politique JSON suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution",
"cloudfront:CreateDistributionWithTags",
"cloudfront:UpdateDistribution",
"cloudfront:CreateDistribution",
"cloudfront:TagResource",
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
1. Choisissez **Suivant**.
**Note**
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l’éditeur **visuel**, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page [Restructuration de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l’utilisateur IAM*.
1. Sur la page **Vérifier et créer**, saisissez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique.
1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.
## (Facultatif) Étape 2 : créer une politique IAM pour la VOD MediaPackage
Si vous ou vos utilisateurs allez utiliser la fonctionnalité de vidéo à la demande (VOD) dans MediaPackage, créez une politique IAM qui autorise l'accès aux ressources du `mediapackage-vod` service.
Les sections suivantes décrivent comment créer une stratégie qui autorise toutes les actions et une stratégie qui autorise les droits en lecture seule. Vous pouvez personnaliser les stratégies en ajoutant ou en supprimant des actions adaptées à vos flux de travail.
### Politique d'accès complet à la VOD
Cette stratégie permet à l'utilisateur d'effectuer toutes les actions sur toutes les ressources VOD.
**Pour utiliser l’éditeur de politique JSON afin de créer une politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques).
Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Mise en route**.
1. En haut de la page, sélectionnez **Créer une politique**.
1. Dans la section **Éditeur de politique**, choisissez l’option **JSON**.
1. Entrez le document de politique JSON suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "mediapackage-vod:*",
"Resource": "*"
}
]
}
```
1. Choisissez **Suivant**.
**Note**
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l’éditeur **visuel**, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page [Restructuration de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l’utilisateur IAM*.
1. Sur la page **Vérifier et créer**, saisissez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique.
1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.
### Politique d'accès à la VOD en lecture seule
Cette stratégie permet à l'utilisateur d'afficher toutes les ressources VOD.
**Pour utiliser l’éditeur de politique JSON afin de créer une politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques).
Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Mise en route**.
1. En haut de la page, sélectionnez **Créer une politique**.
1. Dans la section **Éditeur de politique**, choisissez l’option **JSON**.
1. Entrez le document de politique JSON suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mediapackage-vod:List*",
"mediapackage-vod:Describe*"
],
"Resource": "*"
}
]
}
```
1. Choisissez **Suivant**.
**Note**
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l’éditeur **visuel**, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page [Restructuration de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l’utilisateur IAM*.
1. Sur la page **Vérifier et créer**, saisissez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique.
1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.
## Étape 3 : créer un rôle dans la console IAM
Créez un rôle dans la console IAM pour chaque politique que vous créez. Cela permet aux utilisateurs d'assumer un rôle plutôt que d'associer des politiques individuelles à chaque utilisateur.
**Pour créer un rôle dans la console IAM**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).
1. Sous **Sélectionner une entité de confiance**, sélectionnez un **AWS compte**.
1. Sous **Un AWS compte**, sélectionnez le compte auprès duquel les utilisateurs joueront ce rôle.
+ Si un tiers doit accéder à ce rôle, il est recommandé de sélectionner **Exiger un identifiant externe**. Pour plus d'informations sur l'accès externe IDs, consultez la section [Utilisation d'un identifiant externe pour l'accès de tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) dans le *guide de l'utilisateur IAM*.
+ Il est recommandé d'exiger une authentification multifactorielle (MFA). Vous pouvez cocher la case à côté de **Exiger le MFA**. *Pour plus d'informations sur l'authentification multifactorielle, consultez la section Authentification [multifactorielle (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) dans le guide de l'utilisateur IAM.*
1. Choisissez **Suivant**.
1. Sous **Politiques d'autorisations**, recherchez et ajoutez la politique avec le niveau MediaPackage d'autorisation approprié.
+ Pour accéder aux fonctionnalités en direct, choisissez l'une des options suivantes :
+ Utilisez **AWSElementalMediaPackageFullAccess**pour autoriser l'utilisateur à effectuer toutes les actions sur toutes les ressources actives de MediaPackage.
+ **AWSElementalMediaPackageReadOnly**À utiliser pour fournir à l'utilisateur des droits de lecture seule pour toutes les ressources en direct dans. MediaPackage
+ Pour accéder à la fonctionnalité de vidéo à la demande (VOD), utilisez la stratégie que vous avez créée dans [(Facultatif) Étape 2 : créer une politique IAM pour la VOD MediaPackage](#setting-up-create-non-admin-iam-vod).
1. Ajoutez des politiques permettant à la MediaPackage console de passer des appels à Amazon CloudWatch au nom de l'utilisateur. Sans ces stratégies, l'utilisateur peut utiliser uniquement l'API du service (pas la console). Choisissez l’une des options suivantes :
+ **ReadOnlyAccess**À utiliser MediaPackage pour autoriser la communication avec CloudWatch l'utilisateur et également fournir à l'utilisateur un accès en lecture seule à tous les AWS services de votre compte.
+ Utilisez **CloudWatchReadOnlyAccess**CloudWatchEventsReadOnlyAccess****, et **CloudWatchLogsReadOnlyAccess**pour autoriser MediaPackage à communiquer avec CloudWatch l'utilisateur et limiter son accès en lecture seule à. CloudWatch
1. (Facultatif) Si cet utilisateur souhaite créer des CloudFront distributions Amazon à partir de la MediaPackage console, joignez la politique que vous avez créée dans[(Facultatif) Étape 1 : créer une politique IAM pour Amazon CloudFront](#setting-up-create-non-admin-iam-cf).
1. (Facultatif) Définissez une [limite d'autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Il s'agit d'une fonctionnalité avancée disponible pour les rôles de service, mais pas les rôles liés à un service.
1. Développez la section **Permissions boundary** (Limite d'autorisations) et sélectionnez **Use a permissions boundary to control the maximum role permissions** (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte.
1. Sélectionnez la politique à utiliser pour la limite d'autorisations ou choisissez **Créer une politique** pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d'informations, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l'utilisateur IAM*.
1. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial pour sélectionner la politique à utiliser pour la limite d'autorisations.
1. Vérifiez que les bonnes politiques sont ajoutées à ce groupe, puis choisissez **Next**.
1. Si possible, saisissez un nom de rôle ou le suffixe d'un nom de rôle vous permettant d'identifier l'objectif du rôle. Les noms de rôle doivent être uniques dans votre Compte AWS. Ils ne sont pas distingués au cas par cas. Par exemple, vous ne pouvez pas créer deux rôles nommés **PRODROLE** et **prodrole**. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création.
1. (Facultatif) Pour **Description**, saisissez une description pour le nouveau rôle.
1. Choisissez **Edit** (Modifier) dans les sections **Step 1: Select trusted entities** (Étape 1 : sélection d'entités de confiance) ou **Step 2: Select permissions** (Étape 2 : sélection d'autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle.
1. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la rubrique [Balisage des ressources IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l'utilisateur IAM*.
1. Passez en revue les informations du rôle, puis choisissez **Créer un rôle**.
## Étape 4 : assumer le rôle depuis la console IAM ou AWS CLI
Consultez les ressources suivantes pour en savoir plus sur l'octroi d'autorisations aux utilisateurs pour qu'ils assument le rôle et sur la manière dont les utilisateurs peuvent passer au rôle depuis la console IAM ou AWS CLI.
+ Pour plus d'informations sur l'octroi à un utilisateur des autorisations lui permettant de changer de rôle, consultez la section [Octroi à un utilisateur d'autorisations pour changer de rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html) dans le *Guide de l'utilisateur IAM*.
+ Pour plus d'informations sur le changement de rôle (console), consultez la section [Passage à un rôle (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) dans le *guide de l'utilisateur IAM*.
+ Pour plus d'informations sur le changement de rôle (AWS CLI), consultez la section [Passer à un rôle IAM (CLI AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html) dans le guide de l'*utilisateur IAM*.
# AWS Elemental MediaPackage Permettre l'accès à d'autres AWS services
Certaines fonctionnalités nécessitent que vous autorisiez MediaPackage l'accès à d'autres AWS services, tels qu'Amazon S3 et AWS Secrets Manager (Secrets Manager). Pour autoriser cet accès, créez un rôle et une politique IAM dotés des autorisations appropriées. Les étapes suivantes expliquent comment créer des rôles et des stratégies pour les fonctionnalités MediaPackage .
**Topics**
+ [Étape 1 : créer une politique](#setting-up-create-trust-rel-policy)
+ [Étape 2 : créer un rôle](#setting-up-create-trust-rel-role)
+ [Étape 3 : Modifier la relation de confiance](#setting-up-create-trust-rel-trust)
## Étape 1 : créer une politique
La politique IAM définit les autorisations dont AWS Elemental MediaPackage (MediaPackage) a besoin pour accéder à d'autres services.
+ Pour les flux de production de vidéo à la demande (VOD), créez une politique MediaPackage permettant de lire le contenu du compartiment Amazon S3, de vérifier le mode de facturation et de récupérer du contenu. En ce qui concerne le mode de facturation, vous MediaPackage devez vérifier que le compartiment *n'oblige pas* le demandeur à payer pour les demandes. Si le compartiment a l’option **requestPayment** activée, MediaPackage ne peut pas ingérer le contenu à partir de ce compartiment.
+ Pour les live-to-VOD flux de travail, créez une politique qui MediaPackage permet de lire le contenu du compartiment Amazon S3 et d'y stocker l' live-to-VODactif.
+ Pour l'autorisation du réseau de diffusion de contenu (CDN), créez une politique qui autorise MediaPackage la lecture d'un secret dans Secrets Manager.
Les sections suivantes expliquent comment créer ces stratégies.
### Politique d'accès à Amazon S3 pour les flux de travail VOD
Si vous utilisez MediaPackage pour ingérer une ressource VOD depuis un compartiment Amazon S3 et pour empaqueter et distribuer cette ressource, vous avez besoin d'une politique vous permettant d'effectuer les opérations suivantes dans Amazon S3 :
+ `GetObject`- MediaPackage peut récupérer le contenu VOD du bucket.
+ `GetBucketLocation`- MediaPackage peut récupérer la région du compartiment. Le bucket doit se trouver dans la même région que les ressources MediaPackage VOD.
+ `GetBucketRequestPayment`- MediaPackage peut récupérer les informations relatives à la demande de paiement. MediaPackage utilise ces informations pour vérifier que le bucket n'oblige pas le demandeur à payer pour les demandes de contenu.
Si vous l'utilisez également MediaPackage pour la collecte live-to-VOD d'actifs, ajoutez l'`PutObject`action à la politique. Pour plus d'informations sur la politique requise pour les live-to-VOD flux de travail, consultez[Politique relative aux live-to-VOD flux de travail](#setting-up-create-trust-rel-policy-ltov).
**Pour utiliser l’éditeur de politique JSON afin de créer une politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques).
Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Mise en route**.
1. En haut de la page, sélectionnez **Créer une politique**.
1. Dans la section **Éditeur de politique**, choisissez l’option **JSON**.
1. Entrez le document de politique JSON suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:GetBucketLocation",
"s3:GetBucketRequestPayment",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket_name/*",
"arn:aws:s3:::bucket_name"
],
"Effect": "Allow"
}
]
}
```
1. Choisissez **Suivant**.
**Note**
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l’éditeur **visuel**, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page [Restructuration de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l’utilisateur IAM*.
1. Sur la page **Vérifier et créer**, saisissez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique.
1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.
### Politique relative aux live-to-VOD flux de travail
Si vous avez l' MediaPackage habitude de récolter un live-to-VOD actif à partir d'une diffusion en direct, vous avez besoin d'une politique vous permettant d'effectuer les opérations suivantes dans Amazon S3 :
+ `PutObject`: MediaPackage peut enregistrer la ressource VOD dans le bucket.
+ `GetBucketLocation`: MediaPackage permet de récupérer la région du compartiment. Le compartiment doit se trouver dans la même région AWS que les ressources MediaPackage VOD.
Si vous l'utilisez également MediaPackage pour la diffusion de ressources VOD, ajoutez les actions suivantes à la politique : `GetObject` et`GetBucketRequestPayment`. Pour de plus amples informations sur la stratégie requise pour les flux de travail VOD, veuillez consulter [Politique d'accès à Amazon S3 pour les flux de travail VOD](#setting-up-create-trust-rel-policy-vod).
**Pour utiliser l’éditeur de politique JSON afin de créer une politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques).
Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Mise en route**.
1. En haut de la page, sélectionnez **Créer une politique**.
1. Dans la section **Éditeur de politique**, choisissez l’option **JSON**.
1. Entrez le document de politique JSON suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket_name/*",
"arn:aws:s3:::bucket_name"
],
"Effect": "Allow"
}
]
}
```
1. Choisissez **Suivant**.
**Note**
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l’éditeur **visuel**, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page [Restructuration de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l’utilisateur IAM*.
1. Sur la page **Vérifier et créer**, saisissez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique.
1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.
### Politique d'accès à Secrets Manager pour l'autorisation du CDN
Si vous utilisez les en-têtes d'autorisation du réseau de diffusion de contenu (CDN) pour restreindre l'accès à vos points de terminaison MediaPackage, vous avez besoin d'une politique vous permettant d'effectuer les opérations suivantes dans Secrets Manager :
+ `GetSecretValue`- MediaPackage peut récupérer le code d'autorisation crypté à partir d'une version du secret.
+ `DescribeSecret`- MediaPackage peut récupérer les détails du secret, à l'exception des champs cryptés.
+ `ListSecrets`- MediaPackage peut récupérer une liste de secrets dans le AWS compte.
+ `ListSecretVersionIds`: MediaPackage peut récupérer toutes les versions associées au secret spécifié.
**Note**
Vous n'avez pas besoin d'une politique distincte pour chaque secret que vous stockez dans Secrets Manager. Si vous créez une politique telle que celle décrite dans la procédure suivante, vous MediaPackage pouvez accéder à tous les secrets de votre compte dans cette région.
**Pour utiliser l’éditeur de politique JSON afin de créer une politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques).
Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Mise en route**.
1. En haut de la page, sélectionnez **Créer une politique**.
1. Dans la section **Éditeur de politique**, choisissez l’option **JSON**.
1. Entrez le document de politique JSON suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:region:account-id:secret:secret-name"
]
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id:role/role-name"
}
]
}
```
1. Choisissez **Suivant**.
**Note**
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l’éditeur **visuel**, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page [Restructuration de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l’utilisateur IAM*.
1. Sur la page **Vérifier et créer**, saisissez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique.
1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.
## Étape 2 : créer un rôle
Un [rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle. Créez un rôle qui AWS Elemental MediaPackage assume lors de l'ingestion de contenu source depuis Amazon S3.
Lorsque vous créez le rôle, vous choisissez Amazon Elastic Compute Cloud (Amazon EC2) comme entité de confiance qui peut assumer le rôle MediaPackage car il n'est pas disponible pour la sélection. Dans[Étape 3 : Modifier la relation de confiance](#setting-up-create-trust-rel-trust), vous remplacez l'entité de confiance par MediaPackage.
Pour plus d'informations sur la création d'un rôle de service, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *guide de l'utilisateur IAM*.
## Étape 3 : Modifier la relation de confiance
La relation d'approbation détermine les entités qui peuvent endosser le rôle que vous avez créé dans [Étape 2 : créer un rôle](#setting-up-create-trust-rel-role). Lorsque vous avez créé le rôle et établi la relation de confiance, vous avez choisi Amazon EC2 comme entité de confiance. Modifiez le rôle afin que la relation de confiance soit établie entre votre AWS compte et AWS Elemental MediaPackage.
**Pour modifier la relation de confiance en MediaPackage**
1. Accédez au rôle que vous avez créé dans [Étape 2 : créer un rôle](#setting-up-create-trust-rel-role).
Si vous n'affichez pas encore le rôle, dans le volet de navigation de la console IAM, sélectionnez **Rôles**. Recherchez et choisissez le rôle que vous avez créé.
1. Sur la page **Summary (Résumé)** du rôle, choisissez **Trust relationships (Relations d’approbation)**.
1. Choisissez **Modifier la relation d’approbation**.
1. Sur la page **Edit Trust Relationship (Modifier la relation d’approbation)** dans **Policy Document (Document de stratégie)**, modifiez `ec2.amazonaws.com` sur `mediapackage.amazonaws.com`.
Le document de stratégie doit maintenant ressembler à l'exemple suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "mediapackage.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Si vous utilisez MediaPackage des services connexes dans une région optionnelle, la région doit être répertoriée dans la `Service` section du document de politique. Par exemple, si vous utilisez des services dans la région Asie-Pacifique (Melbourne), le document de politique se présente comme suit :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"mediapackage.amazonaws.com",
"mediapackage.ap-southeast-4.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Choisissez **Mettre à jour la politique d'approbation**.
1. Sur la page **Summary (Résumé)**, prenez note de la valeur dans **ARN de rôle**. Vous utilisez cet ARN lorsque vous ingérez du contenu source pour les flux de vidéo à la demande (VOD). L'ARN se présente sous la forme suivante :
`arn:aws:iam::111122223333:role/role-name`
Dans l'exemple, il *111122223333* s'agit de votre numéro de AWS compte.
# (Facultatif) Configuration du chiffrement
Protégez votre contenu contre toute utilisation non autorisée grâce au chiffrement du contenu et à la gestion des droits numériques (DRM). AWS Elemental MediaPackage utilise l'[API SPEKE (AWS Secure Packager and Encoder Key Exchange)](https://aws.amazon.com/media/tech/speke-basics-secure-packager-encoder-key-exchange-api/) pour faciliter le chiffrement et le déchiffrement du contenu par un fournisseur de DRM. À l'aide de SPEKE, le fournisseur de DRM fournit des clés de chiffrement MediaPackage via l'API SPEKE. Le fournisseur de DRM fournit également des licences aux lecteurs multimédias compatibles pour le déchiffrement. Pour plus d'informations sur la façon dont SPEKE est utilisé avec les services et fonctionnalités exécutés dans le cloud, consultez l'[architecture AWS basée sur le cloud](https://docs.aws.amazon.com/speke/latest/documentation/what-is-speke.html#services-architecture) dans le guide de spécification de l'*API Secure Packager and Encoder Key Exchange*.
Pour chiffrer le contenu, vous devez avoir un fournisseur de solution DRM et être configuré pour utiliser le chiffrement. Pour de plus amples informations, veuillez consulter [Chiffrement de contenu et DRM dans AWS Elemental MediaPackage](using-encryption.md).
# (Facultatif) Installation du AWS CLI
Pour utiliser le AWS CLI with AWS Elemental MediaPackage, installez la dernière AWS CLI version. Pour plus d'informations sur l'installation AWS CLI ou la mise à niveau vers la dernière version, consultez la section [Installation du AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) dans le *guide de AWS Command Line Interface l'utilisateur*.