Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Consentire AWS Elemental MediaPackage l'accesso ad altri AWS servizi
Alcune funzionalità richiedono l'autorizzazione all'accesso MediaPackage ad altri AWS servizi, come Amazon S3 e Gestione dei segreti AWS (Secrets Manager). Per consentire questo accesso, crea un ruolo e una policy IAM con le autorizzazioni appropriate. Nella procedura seguente viene descritto come creare ruoli e policy per le caratteristiche di MediaPackage .
**Topics**
+ [Fase 1: Creare una policy](#setting-up-create-trust-rel-policy)
+ [Fase 2: Creare un ruolo](#setting-up-create-trust-rel-role)
+ [Fase 3: Modificare la relazione di fiducia](#setting-up-create-trust-rel-trust)
## Fase 1: Creare una policy
La policy IAM definisce le autorizzazioni richieste da AWS Elemental MediaPackage (MediaPackage) per accedere ad altri servizi.
+ Per i flussi di lavoro video on demand (VOD), crea una policy che MediaPackage consenta di leggere dal bucket Amazon S3, verificare il metodo di fatturazione e recuperare i contenuti. Per quanto riguarda il metodo di fatturazione, MediaPackage devi verificare che il bucket *non* richieda al richiedente di pagare le richieste. Se nel bucket è stato abilitato **requestPayment**, MediaPackage non è in grado di acquisire contenuti da quel bucket.
+ Per i live-to-VOD flussi di lavoro, crea una policy che MediaPackage consenta di leggere dal bucket Amazon S3 e archiviare live-to-VOD l'asset al suo interno.
+ Per l'autorizzazione alla rete di distribuzione dei contenuti (CDN), crea una politica che MediaPackage consenta di leggere da un segreto in Secrets Manager.
Nelle sezioni seguenti viene descritto come creare queste policy.
### Policy per l'accesso ad Amazon S3 per i flussi di lavoro VOD
Se intendi MediaPackage importare una risorsa VOD da un bucket Amazon S3 e impacchettarla e distribuirla, hai bisogno di una policy che ti consenta di eseguire queste operazioni in Amazon S3:
+ `GetObject`- MediaPackage può recuperare la risorsa VOD dal bucket.
+ `GetBucketLocation`- MediaPackage può recuperare la regione per il bucket. Il bucket deve trovarsi nella stessa regione delle risorse VOD. MediaPackage
+ `GetBucketRequestPayment`- MediaPackage può recuperare le informazioni sulla richiesta di pagamento. MediaPackage utilizza queste informazioni per verificare che il bucket non richieda al richiedente di pagare per le richieste di contenuto.
Se la utilizzi anche MediaPackage per la raccolta di live-to-VOD risorse, aggiungi l'`PutObject`azione alla politica. Per ulteriori informazioni sulla politica richiesta per i live-to-VOD flussi di lavoro, consulta. [Politica per i flussi live-to-VOD di lavoro](#setting-up-create-trust-rel-policy-ltov)
**Come utilizzare l'editor di policy JSON per creare una policy**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
Se è la prima volta che selezioni **Policy**, verrà visualizzata la pagina **Benvenuto nelle policy gestite**. Seleziona **Inizia**.
1. Nella parte superiore della pagina, scegli **Crea policy**.
1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**.
1. Inserisci il documento di policy JSON seguente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:GetBucketLocation",
"s3:GetBucketRequestPayment",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket_name/*",
"arn:aws:s3:::bucket_name"
],
"Effect": "Allow"
}
]
}
```
1. Scegli **Next (Successivo)**.
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) nella *Guida per l'utente di IAM*.
1. Nella pagina **Rivedi e crea**, inserisci un valore in **Nome policy** e **Descrizione** (facoltativo) per la policy in fase di creazione. Rivedi **Autorizzazioni definite in questa policy** per visualizzare le autorizzazioni concesse dalla policy.
1. Seleziona **Crea policy** per salvare la nuova policy.
### Politica per i flussi live-to-VOD di lavoro
Se utilizzi una live-to-VOD risorsa MediaPackage da un live streaming, hai bisogno di una policy che ti consenta di eseguire queste operazioni in Amazon S3:
+ `PutObject`: MediaPackage può salvare la risorsa VOD nel bucket.
+ `GetBucketLocation`: MediaPackage può recuperare la regione per il bucket. Il bucket deve trovarsi nella stessa regione AWS delle risorse MediaPackage VOD.
Se lo utilizzi anche MediaPackage per la distribuzione di risorse VOD, aggiungi queste azioni alla policy: and. `GetObject` `GetBucketRequestPayment` Per ulteriori informazioni sulla policy richiesta per i flussi di lavoro VOD, consulta [Policy per l'accesso ad Amazon S3 per i flussi di lavoro VOD](#setting-up-create-trust-rel-policy-vod).
**Come utilizzare l'editor di policy JSON per creare una policy**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
Se è la prima volta che selezioni **Policy**, verrà visualizzata la pagina **Benvenuto nelle policy gestite**. Seleziona **Inizia**.
1. Nella parte superiore della pagina, scegli **Crea policy**.
1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**.
1. Inserisci il documento di policy JSON seguente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket_name/*",
"arn:aws:s3:::bucket_name"
],
"Effect": "Allow"
}
]
}
```
1. Scegli **Next (Successivo)**.
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) nella *Guida per l'utente di IAM*.
1. Nella pagina **Rivedi e crea**, inserisci un valore in **Nome policy** e **Descrizione** (facoltativo) per la policy in fase di creazione. Rivedi **Autorizzazioni definite in questa policy** per visualizzare le autorizzazioni concesse dalla policy.
1. Seleziona **Crea policy** per salvare la nuova policy.
### Politica di accesso a Secrets Manager per l'autorizzazione CDN
Se utilizzi le intestazioni di autorizzazione della rete di distribuzione dei contenuti (CDN) per limitare l'accesso ai tuoi endpoint MediaPackage, hai bisogno di una policy che ti consenta di eseguire queste operazioni in Secrets Manager:
+ `GetSecretValue`- MediaPackage può recuperare il codice di autorizzazione crittografato da una versione del segreto.
+ `DescribeSecret`- MediaPackage può recuperare i dettagli del segreto, esclusi i campi crittografati.
+ `ListSecrets`- MediaPackage può recuperare un elenco di segreti nell' AWS account.
+ `ListSecretVersionIds`: MediaPackage può recuperare tutte le versioni allegate al segreto specificato.
**Nota**
Non è necessaria una politica separata per ogni segreto archiviato in Secrets Manager. Se crei una politica come quella descritta nella procedura seguente, MediaPackage puoi accedere a tutti i segreti del tuo account in questa regione.
**Come utilizzare l'editor di policy JSON per creare una policy**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
Se è la prima volta che selezioni **Policy**, verrà visualizzata la pagina **Benvenuto nelle policy gestite**. Seleziona **Inizia**.
1. Nella parte superiore della pagina, scegli **Crea policy**.
1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**.
1. Inserisci il documento di policy JSON seguente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:region:account-id:secret:secret-name"
]
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id:role/role-name"
}
]
}
```
1. Scegli **Next (Successivo)**.
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) nella *Guida per l'utente di IAM*.
1. Nella pagina **Rivedi e crea**, inserisci un valore in **Nome policy** e **Descrizione** (facoltativo) per la policy in fase di creazione. Rivedi **Autorizzazioni definite in questa policy** per visualizzare le autorizzazioni concesse dalla policy.
1. Seleziona **Crea policy** per salvare la nuova policy.
## Fase 2: Creare un ruolo
Un [ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) IAM è un'identità IAM che puoi creare nel tuo account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a un utente IAM in quanto è un' AWS identità con policy di autorizzazioni che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Invece, quando assumi un ruolo, ti fornisce credenziali di sicurezza temporanee per la tua sessione di ruolo. Crea un ruolo da AWS Elemental MediaPackage assumere durante l'importazione di contenuti di origine da Amazon S3.
Quando crei il ruolo, scegli Amazon Elastic Compute Cloud (Amazon EC2) come entità affidabile che può assumere il ruolo MediaPackage perché non è disponibile per la selezione. In[Fase 3: Modificare la relazione di fiducia](#setting-up-create-trust-rel-trust), modifichi l'entità fidata in. MediaPackage
Per informazioni sulla creazione di un ruolo di servizio, consulta [Creating a Role to Delegate Permissions to an AWS Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *IAM User Guide*.
## Fase 3: Modificare la relazione di fiducia
La relazione di trust definisce quali entità possono assumere il ruolo creato in [Fase 2: Creare un ruolo](#setting-up-create-trust-rel-role). Dopo aver creato il ruolo e stabilito la relazione di fiducia, hai scelto Amazon EC2 come entità affidabile. Modifica il ruolo in modo che la relazione di fiducia sia tra il tuo AWS account e AWS Elemental MediaPackage.
**Per modificare la relazione di fiducia in MediaPackage**
1. Accedere al ruolo creato in [Fase 2: Creare un ruolo](#setting-up-create-trust-rel-role).
Se non stai già visualizzando il ruolo, nel riquadro di navigazione della console IAM, scegli **Ruoli**. Cercare e scegliere il ruolo creato.
1. Nella pagina **Summary (Riepilogo)** per il ruolo, scegliere **Trust relationships (Relazioni di trust)**.
1. Seleziona **Modifica relazione di attendibilità**.
1. Nella pagina **Edit Trust Relationship (Modifica relazione di trust)**, in **Policy Document (Documento di policy)**, modificare `ec2.amazonaws.com` in `mediapackage.amazonaws.com`.
Il documento di policy ora è simile al seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "mediapackage.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Se utilizzi MediaPackage servizi correlati in una regione che richiede l'iscrizione, la regione deve essere elencata nella `Service` sezione del documento normativo. Ad esempio, se utilizzi servizi nella regione Asia Pacifico (Melbourne), il documento normativo ha il seguente aspetto:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"mediapackage.amazonaws.com",
"mediapackage.ap-southeast-4.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Scegli **Update Trust Policy (Aggiorna policy di trust)**.
1. Nella pagina **Summary (Riepilogo)**, prendere nota del valore in **Role ARN (ARN ruolo)**. Utilizzare questo ARN quando si acquistano contenuti di origine per flussi di lavoro video on demand (VOD). L'aspetto dell'ARN sarà simile al seguente:
`arn:aws:iam::111122223333:role/role-name`
Nell'esempio, *111122223333* è il numero AWS del tuo account.