Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Membuat kebijakan dan peran non-administratif
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau mengubah sumber daya MediaPackage. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh MediaPackage, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi untuk AWS Elemental MediaPackage](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediapackage.html) dalam *Referensi Otorisasi Layanan*.
Bagian ini menjelaskan bagaimana Anda dapat membuat kebijakan dan membuat peran non-administratif sehingga pengguna dapat membuat atau memodifikasi MediaPackage sumber daya. Bagian ini juga menjelaskan bagaimana pengguna Anda dapat mengambil peran tersebut untuk memberikan kredensi aman dan sementara.
**Topics**
+ [(Opsional) Langkah 1: Buat kebijakan IAM untuk Amazon CloudFront](#setting-up-create-non-admin-iam-cf)
+ [(Opsional) Langkah 2: Buat kebijakan IAM untuk MediaPackage VOD](#setting-up-create-non-admin-iam-vod)
+ [Langkah 3: Buat peran di konsol IAM](#setting-up-create-role)
+ [Langkah 4: Asumsikan peran dari konsol IAM atau AWS CLI](#setting-up-create-nonadmin-roles-assume-role)
## (Opsional) Langkah 1: Buat kebijakan IAM untuk Amazon CloudFront
Jika Anda atau pengguna Anda akan membuat CloudFront distribusi Amazon dari konsol AWS Elemental MediaPackage langsung, buat kebijakan IAM yang memungkinkan akses ke. CloudFront
Untuk informasi selengkapnya tentang menggunakan CloudFront with MediaPackage, lihat[Bekerja dengan CDNs](cdns.md).
**Cara menggunakan editor kebijakan JSON untuk membuat kebijakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pada panel navigasi di sebelah kiri, pilih **Kebijakan**.
Jika ini pertama kalinya Anda memilih **Kebijakan**, akan muncul halaman **Selamat Datang di Kebijakan Terkelola**. Pilih **Memulai**.
1. Di bagian atas halaman, pilih **Buat kebijakan**.
1. Di bagian **Editor kebijakan**, pilih opsi **JSON**.
1. Masukkan dokumen kebijakan JSON berikut:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution",
"cloudfront:CreateDistributionWithTags",
"cloudfront:UpdateDistribution",
"cloudfront:CreateDistribution",
"cloudfront:TagResource",
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
1. Pilih **Berikutnya**.
**catatan**
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dalam *Panduan Pengguna IAM*.
1. Pada halaman **Tinjau dan buat**, masukkan **Nama kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk melihat izin yang diberikan oleh kebijakan Anda.
1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.
## (Opsional) Langkah 2: Buat kebijakan IAM untuk MediaPackage VOD
Jika Anda atau pengguna Anda akan menggunakan fungsionalitas video on demand (VOD) di MediaPackage, buat kebijakan IAM yang memungkinkan akses ke sumber daya untuk layanan. `mediapackage-vod`
Bagian berikut menjelaskan cara membuat kebijakan yang memungkinkan semua tindakan, dan yang memungkinkan hak baca saja. Anda dapat menyesuaikan kebijakan dengan menambahkan atau menghapus tindakan agar sesuai dengan alur kerja Anda.
### Kebijakan untuk akses VOD penuh
Kebijakan ini memungkinkan pengguna untuk melakukan semua tindakan pada semua sumber daya VOD.
**Cara menggunakan editor kebijakan JSON untuk membuat kebijakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pada panel navigasi di sebelah kiri, pilih **Kebijakan**.
Jika ini pertama kalinya Anda memilih **Kebijakan**, akan muncul halaman **Selamat Datang di Kebijakan Terkelola**. Pilih **Memulai**.
1. Di bagian atas halaman, pilih **Buat kebijakan**.
1. Di bagian **Editor kebijakan**, pilih opsi **JSON**.
1. Masukkan dokumen kebijakan JSON berikut:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "mediapackage-vod:*",
"Resource": "*"
}
]
}
```
1. Pilih **Berikutnya**.
**catatan**
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dalam *Panduan Pengguna IAM*.
1. Pada halaman **Tinjau dan buat**, masukkan **Nama kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk melihat izin yang diberikan oleh kebijakan Anda.
1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.
### Kebijakan untuk akses VOD read-only
Kebijakan ini memungkinkan pengguna untuk melihat semua sumber daya VOD.
**Cara menggunakan editor kebijakan JSON untuk membuat kebijakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pada panel navigasi di sebelah kiri, pilih **Kebijakan**.
Jika ini pertama kalinya Anda memilih **Kebijakan**, akan muncul halaman **Selamat Datang di Kebijakan Terkelola**. Pilih **Memulai**.
1. Di bagian atas halaman, pilih **Buat kebijakan**.
1. Di bagian **Editor kebijakan**, pilih opsi **JSON**.
1. Masukkan dokumen kebijakan JSON berikut:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mediapackage-vod:List*",
"mediapackage-vod:Describe*"
],
"Resource": "*"
}
]
}
```
1. Pilih **Berikutnya**.
**catatan**
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dalam *Panduan Pengguna IAM*.
1. Pada halaman **Tinjau dan buat**, masukkan **Nama kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk melihat izin yang diberikan oleh kebijakan Anda.
1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.
## Langkah 3: Buat peran di konsol IAM
Buat peran di konsol IAM untuk setiap kebijakan yang Anda buat. Hal ini memungkinkan pengguna untuk mengambil peran daripada melampirkan kebijakan individual untuk setiap pengguna.
**Untuk membuat peran di konsol IAM**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.
1. Di bawah **Pilih entitas tepercaya**, pilih **AWS akun**.
1. Di bawah ** AWS Akun**, pilih akun dengan pengguna yang akan mengambil peran ini.
+ Jika pihak ketiga akan mengakses peran ini, sebaiknya pilih **Memerlukan ID eksternal**. Untuk informasi selengkapnya tentang eksternal IDs, lihat [Menggunakan ID eksternal untuk akses pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) di *Panduan Pengguna IAM*.
+ Ini adalah praktik terbaik untuk meminta otentikasi multi-faktor (MFA). Anda dapat memilih kotak centang di sebelah **Memerlukan MFA**. *Untuk informasi selengkapnya tentang MFA, lihat [Autentikasi multi-faktor (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)) di Panduan Pengguna IAM.*
1. Pilih **Berikutnya**.
1. Di bawah **Kebijakan izin**, cari dan tambahkan kebijakan dengan tingkat MediaPackage izin yang sesuai.
+ Untuk akses ke fungsionalitas langsung, pilih salah satu opsi berikut:
+ Gunakan **AWSElementalMediaPackageFullAccess**untuk memungkinkan pengguna melakukan semua tindakan pada semua sumber daya langsung di MediaPackage.
+ Gunakan **AWSElementalMediaPackageReadOnly**untuk memberikan hak hanya-baca pengguna untuk semua sumber daya langsung di. MediaPackage
+ Untuk akses ke fungsionalitas video on demand (VOD), gunakan kebijakan yang Anda buat. [(Opsional) Langkah 2: Buat kebijakan IAM untuk MediaPackage VOD](#setting-up-create-non-admin-iam-vod)
1. Tambahkan kebijakan untuk mengizinkan MediaPackage konsol melakukan panggilan ke Amazon CloudWatch atas nama pengguna. Tanpa kebijakan ini, pengguna hanya dapat menggunakan API layanan (bukan konsol). Pilih salah satu opsi berikut:
+ Gunakan **ReadOnlyAccess**untuk memungkinkan MediaPackage untuk berkomunikasi dengan CloudWatch, dan juga menyediakan akses read-only pengguna ke semua AWS layanan di akun Anda.
+ Gunakan **CloudWatchReadOnlyAccess**, **CloudWatchEventsReadOnlyAccess**, dan **CloudWatchLogsReadOnlyAccess**untuk memungkinkan MediaPackage untuk berkomunikasi dengan CloudWatch, dan membatasi akses hanya-baca pengguna ke. CloudWatch
1. (Opsional) Jika pengguna ini akan membuat CloudFront distribusi Amazon dari MediaPackage konsol, lampirkan kebijakan yang Anda buat. [(Opsional) Langkah 1: Buat kebijakan IAM untuk Amazon CloudFront](#setting-up-create-non-admin-iam-cf)
1. (Opsional) Tetapkan [batas izin](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.
1. **Perluas bagian batas izin** dan pilih **Gunakan batas izin untuk mengontrol izin peran maksimum**. IAM menyertakan daftar kebijakan yang AWS dikelola dan dikelola pelanggan di akun Anda.
1. Pilih kebijakan yang akan digunakan untuk batas izin atau pilih **Buat kebijakan** untuk membuka tab peramban baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dalam *Panduan Pengguna IAM*.
1. Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda untuk memilih kebijakan yang akan digunakan untuk batas izin.
1. Verifikasi bahwa kebijakan yang benar ditambahkan ke grup ini, lalu pilih **Berikutnya**.
1. Jika memungkinkan, masukkan nama peran atau akhiran nama peran untuk membantu Anda mengidentifikasi tujuan peran ini. Nama peran harus unik di dalam diri Anda Akun AWS. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat peran dengan nama **PRODROLE** dan **prodrole**. Anda tidak dapat mengubah nama peran setelah dibuat karena berbagai entitas mungkin mereferensikan peran tersebut.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk peran baru ini.
1. Pilih **Edit** di **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Pilih bagian izin** untuk mengedit kasus penggunaan dan izin untuk peran tersebut.
1. (Opsional) Tambahkan metadata ke pengguna dengan cara melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tanda di IAM, lihat [Menandai sumber daya IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di *Panduan Pengguna IAM*.
1. Tinjau peran, lalu pilih **Buat peran**.
## Langkah 4: Asumsikan peran dari konsol IAM atau AWS CLI
Lihat sumber daya berikut untuk mempelajari tentang pemberian izin bagi pengguna untuk mengambil peran dan cara pengguna dapat beralih ke peran dari konsol IAM atau. AWS CLI
+ *Untuk informasi selengkapnya tentang pemberian izin pengguna untuk beralih peran, lihat [Memberikan izin pengguna untuk beralih peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html) di Panduan Pengguna IAM.*
+ Untuk informasi selengkapnya tentang beralih peran (konsol), lihat [Beralih ke peran (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) di *Panduan Pengguna IAM*.
+ Untuk informasi selengkapnya tentang beralih peran (AWS CLI), lihat [Beralih ke peran IAM (AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html)) di Panduan Pengguna *IAM*.