Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat entitas tepercaya - opsi kompleks
Siapkan dengan opsi yang kompleks

Baca bagian ini jika Anda memutuskan bahwa Anda harus menggunakan [opsi kompleks](scenarios-for-medialive-role.md) untuk menyiapkan entitas tepercaya. 

Dengan opsi kompleks, Anda harus melakukan tugas-tugas ini: 
+ Buat kebijakan dan peran, dan gunakan kebijakan dan peran tersebut untuk disiapkan MediaLive sebagai entitas tepercaya. Tugas ini tercakup dalam langkah A, B, dan C.
+ Siapkan semua MediaLive pengguna dengan izin yang memungkinkan mereka melampirkan kebijakan kepercayaan tertentu ke saluran, saat mereka membuat atau mengedit saluran. Tugas ini tercakup dalam langkah D.

**Topics**
+ [

# Identifikasi persyaratan akses
](complex-scenario-create-trusted-entity-role-step1.md)
+ [

# Buat kebijakan
](complex-scenario-create-trusted-entity-role-step2.md)
+ [

# Buat peran
](complex-scenario-create-trusted-entity-role-step3.md)
+ [

# Siapkan izin pengguna
](requirements-medialiverole-complex-permissions.md)
+ [

# Persyaratan akses untuk entitas tepercaya
](trusted-entity-requirements.md)

# Identifikasi persyaratan akses
Langkah 1: Identifikasi persyaratan

Anda harus mengidentifikasi layanan yang MediaLive akan berinteraksi dengan dalam penyebaran Anda. Kemudian dalam setiap layanan, Anda harus mengidentifikasi operasi dan sumber daya yang MediaLive membutuhkan akses. Akhirnya, Anda harus merancang kebijakan IAM yang menangani persyaratan ini.

Analisis persyaratan ini harus dilakukan oleh seseorang di organisasi Anda yang memahami persyaratan organisasi Anda untuk akses ke sumber daya. Orang ini harus memahami apakah ada persyaratan bahwa MediaLive saluran harus dibatasi dalam akses mereka ke sumber daya di AWS layanan lain. Misalnya, orang ini harus menentukan apakah saluran harus dibatasi dalam aksesnya ke bucket di Amazon S3 sehingga saluran tertentu dapat mengakses beberapa ember dan bukan yang lain.

**Untuk menentukan persyaratan akses untuk MediaLive**

1. Lihat tabel [Persyaratan akses untuk entitas tepercaya](trusted-entity-requirements.md) untuk informasi tentang layanan yang MediaLive biasanya membutuhkan akses. Tentukan layanan mana yang digunakan penyebaran Anda dan operasi mana yang dibutuhkannya.

1. Dalam suatu layanan, tentukan jumlah kebijakan yang perlu Anda buat. Apakah Anda memerlukan beberapa kombinasi objek dan operasi yang berbeda untuk alur kerja yang berbeda, dan apakah Anda perlu memisahkan kombinasi tersebut dari masing-masing untuk alasan keamanan? 

   Secara khusus, tentukan apakah Anda memerlukan akses ke sumber daya yang berbeda untuk alur kerja yang berbeda, dan apakah penting untuk membatasi akses ke sumber daya tertentu. Misalnya, di AWS Systems Manager Parameter Store Anda mungkin memiliki kata sandi yang termasuk dalam alur kerja yang berbeda, dan Anda mungkin ingin mengizinkan hanya pengguna tertentu untuk mengakses kata sandi untuk alur kerja yang diberikan.

   Jika alur kerja yang berbeda memiliki persyaratan yang berbeda untuk objek, operasi, dan sumber daya, maka untuk layanan tersebut Anda memerlukan kebijakan terpisah untuk setiap alur kerja. 

1. Rancang setiap kebijakan: identifikasi objek yang diizinkan (atau tidak diizinkan), operasi, dan sumber daya yang diizinkan (atau tidak diizinkan) dalam kebijakan. 

1. Tentukan apakah ada kebijakan yang telah Anda identifikasi tercakup dalam kebijakan terkelola. 

1. Untuk setiap alur kerja, identifikasi kebijakan yang Anda perlukan untuk semua layanan yang digunakan alur kerja. Saat Anda membuat kebijakan, Anda akan dapat memasukkan beberapa layanan dalam kebijakan. Anda tidak perlu membuat kebijakan untuk setiap layanan terpisah. 

1. Identifikasi jumlah peran yang Anda butuhkan. Anda memerlukan satu peran untuk setiap kombinasi kebijakan yang unik. 

1. Tetapkan nama untuk semua kebijakan dan peran yang telah Anda identifikasi. Pastikan Anda tidak menyertakan informasi identifikasi sensitif (seperti nama akun pelanggan) dalam nama-nama ini. 

# Buat kebijakan
Langkah 2: Buat kebijakan

Setelah Anda mengikuti [Langkah A](complex-scenario-create-trusted-entity-role-step1.md) untuk mengidentifikasi kebijakan yang Anda butuhkan, Anda harus membuatnya di konsol IAM. 

Ikuti prosedur ini untuk setiap kebijakan. 

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Pada panel navigasi di sebelah kiri, pilih **Kebijakan**. Kemudian pilih **Buat kebijakan**. Wizard **kebijakan Buat** akan muncul. Wizard ini memandu Anda melalui langkah-langkah, termasuk langkah-langkah kunci ini:
   + Pilih layanan.
   + Pilih tindakan untuk layanan itu.

     Biasanya (dan secara default), Anda menentukan tindakan yang ingin Anda izinkan. 

     Tetapi Anda juga dapat memilih tombol **Beralih untuk menolak izin** untuk menolak tindakan yang dipilih sebagai gantinya. Kami merekomendasikan sebagai praktik terbaik keamanan agar Anda menolak izin hanya jika Anda ingin mengganti izin secara terpisah yang diizinkan oleh pernyataan atau kebijakan lain. Kami sarankan Anda membatasi jumlah izin penolakan seminim mungkin karena dapat meningkatkan kesulitan izin pemecahan masalah.
   + [Tentukan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) untuk setiap tindakan (jika didukung untuk tindakan). Misalnya, jika Anda memilih MediaLive `DescribeChannel` ARN, Anda dapat menentukan saluran ARNs tertentu. 
   + Tentukan kondisi (opsional). Contoh:
     + Anda dapat menentukan bahwa pengguna diizinkan untuk melakukan tindakan hanya ketika permintaan pengguna tersebut terjadi dalam rentang waktu tertentu. 
     + Anda dapat menentukan bahwa pengguna harus menggunakan perangkat otentikasi multi-faktor (MFA) untuk mengautentikasi. 
     + Anda dapat menentukan bahwa permintaan harus berasal dari berbagai alamat IP. 

     Untuk daftar semua kunci konteks yang dapat Anda gunakan dalam kondisi kebijakan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) di *Referensi Otorisasi Layanan*.

1. Pilih **Buat kebijakan**.

# Buat peran
Langkah 3: Buat peran

Setiap orang yang merupakan administrator dapat melakukan prosedur untuk membuat peran dan melampirkan kebijakan ke peran tersebut. 

Di[Identifikasi persyaratan akses](complex-scenario-create-trusted-entity-role-step1.md), seseorang di organisasi Anda mengidentifikasi peran yang perlu Anda buat. Buat peran tersebut sekarang menggunakan IAM. 

Pada langkah ini, Anda membuat peran yang terdiri dari kebijakan kepercayaan (“biarkan MediaLive sebut `AssumeRole` tindakan”) dan satu atau beberapa kebijakan ([kebijakan yang baru saja Anda buat](complex-scenario-create-trusted-entity-role-step2.md)). Dengan cara ini, MediaLive memiliki izin untuk mengambil peran. Ketika mengambil peran, ia memperoleh izin yang ditentukan dalam kebijakan. 

Ikuti prosedur ini untuk setiap peran.

1. Di konsol IAM, di panel navigasi di sebelah kiri, pilih **Peran, lalu **Buat** Peran**. Wizard **Create role** muncul. Panduan ini memandu Anda melalui langkah-langkah menyiapkan entitas tepercaya, dan menambahkan izin (dengan menambahkan kebijakan).

1. Pada halaman **Pilih entitas tepercaya**, pilih kartu **kebijakan kepercayaan kustom**. Bagian **Kebijakan kepercayaan kustom** muncul, dengan kebijakan sampel.

1. Hapus sampel, salin teks berikut, dan tempel teks di bagian **Kebijakan kepercayaan khusus**. Bagian **Kebijakan kepercayaan kustom** sekarang terlihat seperti ini:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
   	{
               "Effect": "Allow",
               "Principal": {
                   "Service": "medialive.amazonaws.com"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Pilih **Berikutnya**. 

1. Pada halaman **Tambahkan Izin**, temukan kebijakan atau kebijakan yang Anda buat (misalnya,`MedialiveForCurlingEvents`), dan pilih kotak centang untuk masing-masing. Lalu pilih **Selanjutnya**.

1. Pada halaman ulasan, masukkan nama untuk peran tersebut. Kami menyarankan Anda untuk tidak menggunakan nama `MediaLiveAccessRole` karena dicadangkan untuk [opsi sederhana](scenarios-for-medialive-role.md#about-simple-scenario). 

   Sebagai gantinya, gunakan nama yang menyertakan `Medialive` dan menggambarkan tujuan peran ini. Misalnya, `MedialiveAccessRoleForSports`.

1. Pilih **Buat peran**.

1. Pada halaman **Ringkasan** untuk peran tersebut, catat nilainya di **ARN Peran**. Sepertinya ini:

   `arn:aws:iam::111122223333:role/medialiveWorkflow15`

   Dalam contoh, `111122223333` adalah nomor AWS rekening Anda. 

1. Setelah Anda membuat semua peran, buat daftar peran ARNs. Sertakan informasi berikut di setiap item:
   + ARN peran.
   + Deskripsi alur kerja yang diterapkan ARN.
   + Pengguna yang dapat bekerja dengan alur kerja ini dan karenanya memerlukan kemampuan untuk melampirkan kebijakan kepercayaan ini ke saluran yang mereka buat dan edit. 

   Anda akan memerlukan daftar ini ketika Anda [mengatur akses entitas tepercaya](requirements-medialiverole-complex-permissions.md) untuk pengguna.

# Siapkan izin pengguna
Langkah 4: Siapkan izin pengguna

Dengan opsi kompleks, MediaLive pengguna harus memiliki izin untuk menggunakan wizard entitas tepercaya. Wizard ini ada di bagian **Peran IAM** di panel **Saluran dan rincian masukan**:

![\[IAM role configuration options for AWS Elemental MediaLive channel access permissions.\]](http://docs.aws.amazon.com/id_id/medialive/latest/ug/images/medialiveaccessrole_withUpdateButton.png)


Topik

## Siapkan izin wizard


Anda harus menyiapkan semua MediaLive pengguna dengan izin untuk menggunakan wizard untuk mengetik peran entitas tepercaya ke dalam wizard. Pengguna akan merujuk ke daftar peran yang akan Anda berikan kepada mereka. 

Anda harus memberi semua pengguna akses yang dijelaskan dalam tabel berikut. Tindakannya ada di layanan IAM. Sertakan tindakan ini dalam kebijakan (atau di salah satu kebijakan) yang Anda buat untuk pengguna.


| Bidang di wizard | Deskripsi | Tindakan | 
| --- | --- | --- | 
| Gunakan peran yang ada | Pengguna tidak boleh melihat daftar di bidang pemilihan yang menyertai bidang Gunakan peran yang ada. Daftar itu menunjukkan semua peran yang dibuat di AWS akun. Pengguna tidak boleh memilih dari daftar ini. Alih-alih memilih peran yang ada, pengguna akan mengetik peran ke dalam bidang **Tentukan peran khusus ARN**. | Tidak ada | 
|  **Buat peran dari opsi template**  | Pengguna tidak boleh memilih bidang Create role from template. Pengguna tidak membuat peran. Hanya administrator yang membuat peran. | Tidak ada | 
| Tentukan peran khusus ARN | Pengguna harus dapat mengetik peran ke dalam bidang entri yang menyertai bidang Tentukan peran khusus ARN. Mereka kemudian harus dapat meneruskan peran itu MediaLive. | iam:PassRole | 
| Perbarui | Pengguna tidak perlu dapat memilih tombol Update karena tombol ini hanya pernah muncul dalam implementasi yang digunakanMediaLiveAccessRole. Opsi kompleks tidak menggunakan peran ini, oleh karena itu, tombol ini tidak pernah muncul. | Tidak ada | 

## Informasi yang dibutuhkan pengguna


Saat pengguna membuat saluran, mereka akan meneruskan peran MediaLive untuk menyiapkan MediaLive kebijakan tepercaya yang benar. Anda membuat kebijakan ini saat [menyiapkan entitas tepercaya](setup-trusted-entity-complex.md). Khususnya, ketika Anda [membuat peran entitas tepercaya](complex-scenario-create-trusted-entity-role-step3.md), Anda membuat catatan ARNs tentang semua peran yang Anda buat.

Anda harus memberi setiap pengguna daftar peran (diidentifikasi oleh ARN) yang harus mereka gunakan dengan setiap alur kerja (saluran) tempat mereka bekerja. 
+ Pastikan Anda memberi setiap pengguna peran yang benar untuk alur kerja yang menjadi tanggung jawab mereka. Setiap peran memberikan MediaLive akses sumber daya yang berlaku untuk alur kerja tertentu.
+ Setiap pengguna mungkin memiliki daftar peran yang berbeda.

Saat pengguna memilih **Tentukan peran khusus ARN**, pengguna akan melihat daftar mereka untuk menemukan alur kerja yang diterapkan saluran dan peran ARN yang karenanya berlaku.

# Persyaratan akses untuk entitas tepercaya
Persyaratan aksesIzin untuk entitas tepercaya untuk Inferensi Elemental

Informasi tentang izin untuk entitas tepercaya telah diperbarui untuk menyertakan izin yang MediaLive diperlukan jika Anda menggunakan salah satu fitur Inferensi Elemental.

Tabel berikut menunjukkan semua jenis izin yang mungkin diperlukan oleh entitas MediaLive tepercaya. Lihat tabel ini saat Anda [mengidentifikasi persyaratan akses untuk entitas MediaLive tepercaya](complex-scenario-create-trusted-entity-role-step1.md). 

Setiap baris di kolom menjelaskan tugas atau kumpulan tugas terkait yang mungkin perlu dilakukan oleh entitas MediaLive tepercaya untuk pengguna. Kolom ketiga menjelaskan jenis akses yang dibutuhkan entitas tepercaya untuk melakukan tugas itu. Kolom terakhir mencantumkan tindakan atau kebijakan IAM yang mengontrol akses tersebut. 


****  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/medialive/latest/ug/trusted-entity-requirements.html)