Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crea l'entità fidata: opzione complessa
Leggi questa sezione se hai deciso di utilizzare l'[opzione complessa](scenarios-for-medialive-role.md) per configurare l'entità affidabile.
Con l'opzione complessa, è necessario eseguire le seguenti operazioni:
+ Crea politiche e ruoli e utilizza tali politiche e ruoli per configurarli MediaLive come entità attendibile. Questa attività è illustrata nei passaggi A, B e C.
+ Configura tutti MediaLive gli utenti con autorizzazioni che consentano loro di associare una politica di attendibilità specifica a un canale, quando creano o modificano il canale. Questa attività è illustrata nella fase D.
**Topics**
+ [
# Identifica i requisiti di accesso
](complex-scenario-create-trusted-entity-role-step1.md)
+ [
# Creazione di policy
](complex-scenario-create-trusted-entity-role-step2.md)
+ [
# Creare ruoli
](complex-scenario-create-trusted-entity-role-step3.md)
+ [
# Configura le autorizzazioni degli utenti
](requirements-medialiverole-complex-permissions.md)
+ [
# Requisiti di accesso per l'entità affidabile
](trusted-entity-requirements.md)
# Identifica i requisiti di accesso
Devi identificare i servizi con cui MediaLive interagirai nella tua implementazione. Quindi, all'interno di ciascun servizio, è necessario identificare le operazioni e le risorse a cui è MediaLive necessario accedere. Infine, è necessario progettare le politiche IAM che gestiscono questi requisiti.
Questa analisi dei requisiti deve essere eseguita da una persona all'interno dell'organizzazione che conosce i requisiti dell'organizzazione per l'accesso alle risorse. Questa persona deve capire se è necessario che MediaLive i canali abbiano accesso limitato alle risorse di altri AWS servizi. Ad esempio, questa persona dovrebbe determinare se i canali debbano essere limitati nell'accesso ai bucket in Amazon S3 in modo che un canale specifico possa accedere ad alcuni bucket e non ad altri.
**Per determinare i requisiti di accesso per MediaLive**
1. Consulta la tabella riportata di seguito [Requisiti di accesso per l'entità affidabile](trusted-entity-requirements.md) per informazioni sui servizi a cui MediaLive in genere è necessario accedere. Stabilisci quale di questi servizi è utilizzato dalla distribuzione e le operazioni di cui la distribuzione stessa ha bisogno.
1. All'interno di un servizio, determina il numero di policy che devi creare. Hai bisogno di diverse combinazioni di oggetti e operazioni per flussi di lavoro diversi e devi mantenere queste combinazioni separate tra loro per motivi di sicurezza?
Nello specifico, stabilisci se è necessario accedere a risorse diverse per flussi di lavoro diversi e se è importante limitare l'accesso a risorse specifiche. Ad esempio, in AWS Systems Manager Parameter Store potresti avere password che appartengono a flussi di lavoro diversi e potresti voler consentire solo a utenti specifici di accedere alle password per un determinato flusso di lavoro.
Se diversi flussi di lavoro hanno requisiti diversi per oggetti, operazioni e risorse, per quel servizio sono necessarie policy separate per ogni flusso di lavoro.
1. Progetta ciascuna policy: identifica gli oggetti consentiti (o non consentiti), le operazioni e le risorse consentite (o non consentite) nella policy.
1. Stabilisci se una qualsiasi delle policy identificate è coperta da una policy gestita.
1. Per ogni flusso di lavoro, identifica le policy necessarie per tutti i servizi utilizzati dal flusso di lavoro. Quando crei la policy, potrai includere diversi servizi nella policy. Non è necessario creare una policy per ogni servizio separato.
1. Identifica il numero di ruoli necessari. È necessario un ruolo per ogni combinazione univoca di policy.
1. Assegna nomi a tutte le policy e i ruoli che hai identificato. Assicurati di non includere informazioni identificative sensibili (come il nome dell'account di un cliente) in questi nomi.
# Creazione di policy
Dopo aver seguito la [Fase A](complex-scenario-create-trusted-entity-role-step1.md) per identificare le policy di cui hai bisogno, devi crearle sulla console IAM.
Segui questa procedura per ogni policy.
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**. Quindi scegliere **Create policy (Crea policy)**. Viene visualizzata la procedura guidata per la **creazione delle politiche**. Questa procedura guidata illustra i passaggi, inclusi i seguenti passaggi chiave:
+ Seleziona un servizio.
+ Seleziona le azioni per quel servizio.
In genere (e per impostazione predefinita), si specificano le azioni che si desidera consentire.
Ma puoi anche scegliere il pulsante **Cambia per negare le autorizzazioni** per negare invece le azioni scelte. Come best practice di sicurezza, ti consigliamo di negare le autorizzazioni solo se desideri ignorare un'autorizzazione consentita separatamente da un'altra dichiarazione o politica. Si consiglia di limitare al minimo il numero di autorizzazioni di rifiuto perché possono aumentare la difficoltà di risoluzione dei problemi relative alle autorizzazioni.
+ [Specificate le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) per ogni azione (se supportata per l'azione). Ad esempio, se si sceglie l' MediaLive `DescribeChannel`ARN è possibile specificare i canali ARNs specifici.
+ Specificare le condizioni (opzionale). Esempio:
+ È possibile specificare che un utente è autorizzato a eseguire un'azione solo quando la richiesta dell'utente avviene entro un determinato intervallo di tempo.
+ È possibile specificare che l'utente deve utilizzare un dispositivo di autenticazione a più fattori (MFA) per l'autenticazione.
+ È possibile specificare che la richiesta deve provenire da un intervallo di indirizzi IP.
Per gli elenchi di tutte le chiavi di contesto che è possibile utilizzare in una condizione politica, vedere [Azioni, risorse e chiavi di condizione per AWS i servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) nel *Service Authorization Reference*.
1. Scegli **Crea policy**.
# Creare ruoli
Qualsiasi persona amministratore può eseguire la procedura per creare un ruolo e collegare policy al ruolo.
In [Identifica i requisiti di accesso](complex-scenario-create-trusted-entity-role-step1.md), qualcuno nell'organizzazione ha identificato i ruoli che è necessario creare. Crea subito questi ruoli usando IAM.
In questo passaggio, crei un ruolo che consiste in una politica di fiducia («let MediaLive call the `AssumeRole` action») e una o più politiche (le [politiche che hai appena creato](complex-scenario-create-trusted-entity-role-step2.md)). In questo modo, MediaLive ha il permesso di assumere il ruolo. Quando assume il ruolo, acquisisce le autorizzazioni specificate nelle politiche.
Segui questa procedura per ogni ruolo.
1. Sulla console IAM, nel riquadro di navigazione a sinistra, scegli **Ruoli**, quindi **Crea ruolo**. Viene visualizzata la procedura guidata **Crea ruolo**. Questa procedura guidata illustra i passaggi per configurare un'entità attendibile e aggiungere le autorizzazioni (aggiungendo una politica).
1. Nella pagina **Seleziona un'entità affidabile**, scegli la scheda dei **criteri di fiducia personalizzati**. Viene visualizzata la sezione **Politica di fiducia personalizzata**, con un esempio di politica.
1. Cancellate l'esempio, copiate il testo seguente e incollatelo nella sezione **Custom Trust Policy**. La sezione **Custom Trust Policy** ora ha il seguente aspetto:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "medialive.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Scegli **Next (Successivo)**.
1. Nella pagina **Aggiungi autorizzazioni**, trova la politica o le politiche che hai creato (ad esempio,`MedialiveForCurlingEvents`) e seleziona la casella di controllo corrispondente. Quindi scegli **Successivo**.
1. Nella pagina di revisione, inserisci un nome per il ruolo. È consigliabile non utilizzare il nome `MediaLiveAccessRole` perché è riservato per l'[opzione semplice](scenarios-for-medialive-role.md#about-simple-scenario).
Usare invece un nome che includa `Medialive` e descriva lo scopo del ruolo. Ad esempio, `MedialiveAccessRoleForSports`.
1. Scegli **Crea ruolo**.
1. Nella pagina **Riepilogo** del ruolo, annota il valore in **Role ARN**. Dovrebbe essere simile a questo:
`arn:aws:iam::111122223333:role/medialiveWorkflow15`
Nell'esempio, `111122223333` è il numero del tuo AWS account.
1. Dopo aver creato tutti i ruoli, fai un elenco dei ruoli ARNs. Includi le seguenti informazioni in ogni elemento:
+ ARN del ruolo.
+ Una descrizione del flusso di lavoro a cui si applica l'ARN.
+ Gli utenti che possono lavorare con questo flusso di lavoro e che quindi hanno bisogno della possibilità di allegare questa politica di fiducia ai canali che creano e modificano.
Questo elenco sarà necessario quando si [configura l'accesso degli utenti come entità attendibili](requirements-medialiverole-complex-permissions.md).
# Configura le autorizzazioni degli utenti
Con l'opzione complessa, MediaLive gli utenti devono disporre delle autorizzazioni per utilizzare la procedura guidata per le entità attendibili. Questa procedura guidata si trova nella sezione **IAM Role** del riquadro **Channel and input details:**
![\[IAM role configuration options for AWS Elemental MediaLive channel access permissions.\]](http://docs.aws.amazon.com/it_it/medialive/latest/ug/images/medialiveaccessrole_withUpdateButton.png)
Argomenti
## Configura le autorizzazioni della procedura guidata
È necessario configurare tutti MediaLive gli utenti con l'autorizzazione a utilizzare la procedura guidata per digitare un ruolo di entità attendibile nella procedura guidata. Gli utenti faranno riferimento all'elenco dei ruoli che assegnerai loro.
È necessario concedere a tutti gli utenti l'accesso descritto nella tabella seguente. L'azione è nel servizio IAM. Includi questa azione nella politica (o in una delle politiche) che crei per gli utenti.
| Campi della procedura guidata | Description | Azioni |
| --- | --- | --- |
| Usa il ruolo esistente | Gli utenti non devono essere in grado di visualizzare l'elenco nel campo di selezione che accompagna il campo Usa ruolo esistente. Tale elenco mostra tutti i ruoli creati nell' AWS account. Gli utenti non devono essere in grado di selezionare da questo elenco. Invece di selezionare un ruolo esistente, gli utenti digiteranno un ruolo nel campo **Specificare il ruolo personalizzato ARN.** | Nessuno |
| **Crea ruolo dall'opzione modello** | Gli utenti non devono essere in grado di selezionare il campo Crea ruolo da modello. Gli utenti non creano ruoli. Solo gli amministratori creano ruoli. | Nessuno |
| Specificare l'ARN del ruolo personalizzato | Gli utenti devono essere in grado di digitare un ruolo nel campo di immissione che accompagna il campo Specificare il ruolo personalizzato ARN. Devono quindi essere in grado di trasferire quel ruolo a. MediaLive | iam:PassRole |
| Aggiorna | Gli utenti non devono poter scegliere il pulsante Aggiorna perché questo pulsante appare sempre e solo nelle implementazioni che lo utilizzanoMediaLiveAccessRole. L'opzione complessa non utilizza questo ruolo; pertanto, questo pulsante non viene mai visualizzato. | Nessuno |
## Informazioni di cui gli utenti hanno bisogno
Quando un utente crea un canale, assegna un ruolo a cui MediaLive affidare la configurazione MediaLive con le politiche affidabili corrette. Hai creato queste politiche quando hai [configurato l'entità attendibile](setup-trusted-entity-complex.md). In particolare, quando hai [creato il ruolo di entità fidata](complex-scenario-create-trusted-entity-role-step3.md), hai preso nota ARNs di tutti i ruoli che hai creato.
È necessario fornire a ciascun utente un elenco dei ruoli (identificati da un ARN) che deve utilizzare con ogni flusso di lavoro (canale) con cui lavora.
+ Assicurati di assegnare a ciascun utente i ruoli corretti per i flussi di lavoro di cui è responsabile. Ogni ruolo consente di MediaLive accedere alle risorse che si applicano a un flusso di lavoro specifico.
+ Ogni utente ha probabilmente un elenco di ruoli diverso.
Quando l'utente seleziona **Specificare l'ARN del ruolo personalizzato**, consulterà l'elenco per trovare il flusso di lavoro a cui si applica il canale e il ruolo ARN corrispondente.
# Requisiti di accesso per l'entità affidabile
La tabella seguente mostra tutti i tipi di autorizzazioni di cui l'entità fidata potrebbe aver bisogno. MediaLive Fai riferimento a questa tabella quando [identifichi i requisiti di accesso per l'entità MediaLive fidata](complex-scenario-create-trusted-entity-role-step1.md).
Ogni riga della colonna descrive un'attività o un insieme di attività correlate che l'entità MediaLive fidata potrebbe dover eseguire per un utente. La terza colonna descrive il tipo di accesso richiesto dall'entità fidata per eseguire tale attività. L'ultima colonna elenca le azioni o le policy IAM che controllano tale accesso.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/medialive/latest/ug/trusted-entity-requirements.html)