As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Permissões do IAM MediaLive como entidade confiável
AWS Elemental MediaLive deve ser configurado para que, quando um canal estiver em execução, MediaLive ele próprio tenha acesso para realizar operações em recursos que pertencem à AWS conta da sua organização. Em outras palavras, MediaLive deve ser configurado como uma *entidade confiável* na AWS conta da sua organização.
**Topics**
+ [Sobre o perfil de entidade confiável](about-trusted-entity.md)
+ [Opções para a implementação da entidade confiável](scenarios-for-medialive-role.md)
+ [Criar a entidade confiável: opção simples](setup-trusted-entity-simple.md)
+ [Criar a entidade confiável: opção complexa](setup-trusted-entity-complex.md)
# Sobre o perfil de entidade confiável
AWS Elemental MediaLive deve ser configurado para que, quando um canal estiver em execução, MediaLive ele próprio tenha acesso para realizar operações em recursos que pertencem à AWS conta da sua organização. Por exemplo, sua implantação pode usar o Amazon S3 como fonte para arquivos, como imagens de blackout, MediaLive necessários durante o processamento. MediaLive Para obter esses arquivos, ele deve ter acesso de leitura a alguns ou a todos os buckets no Amazon S3.
Para realizar as operações necessárias nesses recursos, MediaLive você deve estar configurado como uma *entidade confiável* em sua conta.
MediaLive é configurada como uma entidade confiável da seguinte forma: Uma função (que pertence à sua AWS conta) se identifica MediaLive como uma entidade confiável. A função é anexada a uma ou mais políticas. Cada política contém instruções sobre operações e recursos permitidos. A cadeia entre a entidade confiável, a função e as políticas gera esta instrução:
“MediaLive tem permissão para assumir essa função para realizar as operações nos recursos especificados nas políticas.”
![\[Diagram showing role connected to multiple policies and AWS Elemental MediaLive via trust relationship.\]](http://docs.aws.amazon.com/pt_br/medialive/latest/ug/images/medialiveaccessrole.png)
Depois que essa função é criada, o MediaLive usuário atribui a função a um canal específico ao criar ou editar o canal. Esse anexo gera esta instrução:
“Para este canal, MediaLive é permitido assumir essa função a fim de realizar as operações nos recursos especificados nas políticas.”
O anexo está no nível do canal, o que oferece a flexibilidade de criar diferentes perfis para diferentes canais. Cada função dá MediaLive acesso a operações diferentes e, principalmente, a recursos diferentes.
![\[Diagram showing role attached to channel, indicating service access flexibility.\]](http://docs.aws.amazon.com/pt_br/medialive/latest/ug/images/medialiveaccessrole-to-channel.png)
# Opções para a implementação da entidade confiável
Há duas opções para configurar a função de entidade confiável em AWS Elemental MediaLive: uma opção simples e uma opção complexa.
Sua organização deve decidir qual opção usar. Essa decisão deve ser tomada por uma pessoa em sua organização que entenda os requisitos de acesso aos recursos da sua organização. Essa pessoa deve entender se existe a exigência de que AWS Elemental MediaLive os canais tenham acesso restrito a recursos em outros AWS serviços. Por exemplo, essa pessoa deve determinar se os canais devem ter acesso restrito aos buckets no Amazon S3 para que um canal especificado possa acessar alguns buckets e outros não.
**Topics**
+ [Opção simples](#about-simple-scenario)
+ [Opção complexa](#about-complex-scenarios)
## Opção simples
A opção simples geralmente se aplica quando estas duas situações se aplicam:
+ Os usuários da sua organização estão usando AWS Elemental MediaLive para codificar os ativos da própria organização (não ativos pertencentes aos clientes).
+ Sua organização não tem regras rigorosas sobre o acesso aos ativos. Por exemplo, você não tem ativos de vídeo que possam ser gerenciados somente por usuários ou departamentos específicos.
Com a opção simples, há apenas uma função: `MediaLiveAccessRole`. Todos os canais usam esse perfil e todos os usuários na sua organização podem anexar esse perfil aos canais com os quais trabalham.
A função `MediaLiveAccessRole` concede amplo acesso às operações e acesso completo a todos os recursos. Ele permite acesso somente para leitura ou read/write acesso a todos os serviços que MediaLive devem ser acessados quando um canal está em execução. Sobretudo, ela permite acesso total a todos os recursos associados a esses serviços.
Se a opção simples for adequada para sua implantação, siga as etapas em [Criar a entidade confiável: opção simples](setup-trusted-entity-simple.md).
## Opção complexa
A opção complexa se aplica quando a função `MediaLiveAccessRole` for muito ampla para o seu uso, já que ela concede amplo acesso às operações e acesso completo a todos os recursos.
Por exemplo, você pode ter os seguintes requisitos:
+ Um requisito de que um canal deve ter permissão para acessar apenas recursos específicos, e outro canal deve ter permissão para acessar apenas recursos específicos diferentes. Em uma situação como essa, você precisa criar vários perfis de acesso. Cada perfil restringe as permissões a um conjunto diferente de recursos.
+ Um requisito de que cada usuário deve ter permissão para exibir apenas funções específicas no console, a fim de impedir que um usuário visualize uma função que não deveria conhecer ou impedir que um usuário selecione a função errada. Por exemplo, talvez você queira configurar para que somente o usuário A possa trabalhar com o fluxo de trabalho X, e talvez exija ainda que somente o usuário A conheça o fluxo de trabalho X.
Se a opção complexa for aplicável à sua implantação, siga as etapas em [Criar a entidade confiável: opção complexa](setup-trusted-entity-complex.md).
# Criar a entidade confiável: opção simples
Leia esta seção se você decidiu usar a [opção simples](scenarios-for-medialive-role.md) para configurar a entidade confiável.
Com a opção simples, MediaLive os usuários devem ter permissões para usar o assistente de entidade confiável, que está na seção **Função do IAM** no painel **Canal e detalhes de entrada**:
![\[IAM role configuration for AWS Elemental MediaLive channel with options to use or create roles.\]](http://docs.aws.amazon.com/pt_br/medialive/latest/ug/images/medialiveaccessrole_withUpdateButton.png)
Você deve configurar todos os MediaLive usuários com permissões para usar o assistente para realizar dois tipos de atividades:
+ Crie e atualize a entidade MediaLiveAccessRole confiável. O primeiro usuário a criar um MediaLive canal cria a entidade confiável. Então, toda vez que MediaLive lançar um novo recurso que exige novas permissões, o usuário deve pressionar um botão que atualiza automaticamente a entidade confiável.
+ Use o assistente para anexar a entidade MediaLiveAccessRole confiável a um canal. Sempre que um usuário cria um canal, ele deve anexar essa entidade confiável ao canal.
Você deve conceder a todos os usuários o acesso descrito na tabela a seguir. Todas as ações estão no serviço do IAM. Inclua todas essas ações na política (ou em uma das políticas) que você cria para os usuários.
| Campos no assistente | Description | Ações |
| --- | --- | --- |
| Usar perfil existente | Os usuários devem ser capazes de selecionar MediaLiveAccessRole no campo que acompanha o campo Usar perfil existente. | `ListRole` `PassRole` |
| Opção **Criar perfil com base no modelo** | Os usuários devem ser capazes de selecionar o campo Criar perfil com base no modelo. (O perfil precisa ser criado apenas uma vez pelo primeiro usuário que criar um canal. Mas é mais fácil conceder essas permissões a todos os usuários.) | `CreateRole` `PutRolePolicy` `AttachRolePolicy` |
| Especificar ARN do perfil personalizado | Os usuários não precisam ser capazes de selecionar este campo. Eles usarão MediaLiveAccessRole. Uma função personalizada nunca será usada. | Nenhum |
| Botão Atualizar | Este botão aparecerá somente se MediaLiveAccessRole não estiver atualizado. Os usuários devem poder selecionar esse botão para que o MediaLive atualize MediaLiveAccessRole com novas permissões. Às vezes, as permissões devem ser adicionadas à função quando um novo recurso é adicionado MediaLive. | `GetRolePolicy` `PutRolePolicy` `AttachRolePolicy` |
# Criar a entidade confiável: opção complexa
Leia esta seção se você decidiu usar a [opção complexa](scenarios-for-medialive-role.md) para configurar a entidade confiável.
Com a opção complexa, é necessário executar estas tarefas:
+ Crie políticas e funções e use essas políticas e funções para se configurar MediaLive como uma entidade confiável. Essa tarefa é abordada nas etapas A, B e C.
+ Configure todos os MediaLive usuários com permissões que permitam que eles anexem uma política de confiança específica a um canal ao criarem ou editarem o canal. Essa tarefa é abordada na etapa D.
**Topics**
+ [Identificar os requisitos de acesso](complex-scenario-create-trusted-entity-role-step1.md)
+ [Criar políticas](complex-scenario-create-trusted-entity-role-step2.md)
+ [Criar perfis](complex-scenario-create-trusted-entity-role-step3.md)
+ [Configurar permissões de usuário](requirements-medialiverole-complex-permissions.md)
+ [Requisitos de acesso para a entidade confiável](trusted-entity-requirements.md)
# Identificar os requisitos de acesso
Você deve identificar os serviços com os quais MediaLive interagirão em sua implantação. Então, em cada serviço, você deve identificar as operações e os recursos que MediaLive precisam ser acessados. Finalmente, é necessário criar as políticas do IAM que lidam com esses requisitos.
Essa análise de requisitos deve ser realizada por uma pessoa em sua organização que entenda os requisitos de acesso aos recursos da sua organização. Essa pessoa deve entender se existe a exigência de que MediaLive os canais tenham acesso restrito a recursos em outros AWS serviços. Por exemplo, essa pessoa deve determinar se os canais devem ter acesso restrito aos buckets no Amazon S3 para que um canal especificado possa acessar alguns buckets e outros não.
**Para determinar os requisitos de acesso para MediaLive**
1. Consulte a tabela [Requisitos de acesso para a entidade confiável](trusted-entity-requirements.md) para obter informações sobre os serviços aos quais MediaLive normalmente precisam ser acessados. Determine qual desses serviços é usado pela implantação e de quais operações ele precisa.
1. Em um serviço, determine o número de políticas que você precisa criar. Você precisa de várias combinações diferentes de objetos e operações para diferentes fluxos de trabalho e precisa manter essas combinações separadas de cada um por motivos de segurança?
Especificamente, determine se você precisa acessar recursos diferentes para fluxos de trabalho diferentes e se é importante restringir o acesso a recursos específicos. Por exemplo, no AWS Systems Manager Parameter Store, você pode ter senhas pertencentes a diferentes fluxos de trabalho e talvez queira permitir que somente usuários específicos acessem as senhas de um determinado fluxo de trabalho.
Se fluxos de trabalho diferentes tiverem requisitos diferentes para objetos, operações e recursos, serão necessárias, para esse serviço, políticas separadas para cada fluxo de trabalho.
1. Projete cada política: identifique os objetos permitidos (ou não permitidos), as operações e os recursos permitidos (ou não permitidos) na política.
1. Determine se qualquer uma das políticas identificadas é atendida por uma política gerenciada.
1. Para cada fluxo de trabalho, identifique as políticas necessárias a todos os serviços usados pelo fluxo de trabalho. Ao criar a política, será possível incluir vários serviços na política. Não é necessário criar uma política para cada serviço.
1. Identifique o número de funções necessárias. Você precisa de uma função para cada combinação exclusiva de políticas.
1. Atribua nomes a todas as políticas e funções identificadas. Certifique-se de não incluir informações de identificação confidenciais (como um nome de conta de cliente) nesses nomes.
# Criar políticas
Depois de seguir a [Etapa A](complex-scenario-create-trusted-entity-role-step1.md) para identificar as políticas necessárias, você deverá criá-las no console do IAM.
Siga esse procedimento para cada política.
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Políticas**. Selecione **Criar política**. O assistente **Criar política** é exibido. Esse assistente orientará você pelas etapas necessárias, incluindo estas etapas principais:
+ Selecione um serviço.
+ Selecione ações para esse serviço.
Normalmente (e por padrão), você especifica as ações que deseja permitir.
No entanto, também é possível escolher o botão **Alternar para negar permissões** para negar as ações escolhidas. Como boa prática de segurança, recomendamos negar permissões somente se você quiser substituir separadamente uma permissão concedida por uma outra instrução ou política. Recomendamos que você limite ao mínimo o número de permissões de negação, pois elas podem aumentar a dificuldade de solucionar problemas nas permissões.
+ [Especifique os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) para cada ação (se houver suporte para a ação). Por exemplo, se você escolher o MediaLive `DescribeChannel` ARN, poderá especificar os canais ARNs específicos.
+ Especificar condições (opcional). Por exemplo:
+ É possível especificar que um usuário só tem permissão para executar ações quando sua solicitação ocorre em um determinado período.
+ É possível especificar que o usuário deve usar um dispositivo de autenticação multifator (MFA) para se autenticar.
+ É possível especificar que a solicitação deve se originar de um intervalo de endereços IP.
Para obter listas de todas as chaves de contexto que você pode usar em uma condição de política, consulte [Ações, recursos e chaves de condição para AWS serviços](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) na *Referência de Autorização de Serviço*.
1. Selecione **Criar política**.
# Criar perfis
Qualquer pessoa que seja um administrador pode executar o procedimento de criação de uma função e associação de políticas à função.
No [Identificar os requisitos de acesso](complex-scenario-create-trusted-entity-role-step1.md), alguém em sua organização identificou as funções que precisam ser criadas. Crie esses perfis agora usando o IAM.
Nesta etapa, você cria uma função que consiste em uma política de confiança (“vamos MediaLive chamar a `AssumeRole` ação”) e uma ou mais políticas (as [políticas que você acabou de criar](complex-scenario-create-trusted-entity-role-step2.md)). Dessa forma, MediaLive tem permissão para assumir a função. Ao assumir o perfil, ele adquire as permissões especificadas nas políticas.
Siga esse procedimento para cada perfil.
1. No console do IAM, no painel de navegação à esquerda, selecione **Perfis** e, em seguida, **Criar perfil**. O assistente **Criar regra** é exibido. Esse assistente orientará você pelas etapas de configuração de uma entidade confiável e adição de permissões (via adição de uma política).
1. Na página **Selecionar entidade confiável**, escolha a carta **Política de confiança personalizada**. A seção **Política de confiança personalizada** é exibida com um exemplo de política.
1. Apague a amostra, copie o texto a seguir e cole-o na seção **Política de confiança personalizada**. A seção **Política de confiança personalizada** agora é semelhante a:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "medialive.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Escolha **Próximo**.
1. Na página **Adicionar permissões**, encontre a política ou políticas que você criou (por exemplo,`MedialiveForCurlingEvents`) e marque a caixa de seleção para cada uma. Escolha **Próximo**.
1. Na página de revisão, insira um nome para o perfil. Recomendamos não usar o nome `MediaLiveAccessRole` pois ele é reservado para a [opção simples](scenarios-for-medialive-role.md#about-simple-scenario).
Em vez disso, use um nome que inclua `Medialive` e descreva a finalidade do perfil,. Por exemplo, .`MedialiveAccessRoleForSports`
1. Selecione **Criar perfil**.
1. Na página **Resumo** do perfil, tome nota do valor do **ARN do perfil**. Ele é semelhante a:
`arn:aws:iam::111122223333:role/medialiveWorkflow15`
No exemplo, `111122223333` é o número AWS da sua conta.
1. Depois de criar todas as funções, faça uma lista das funções ARNs. Inclua as seguintes informações em cada item:
+ O ARN do perfil.
+ Uma descrição do fluxo de trabalho ao qual o ARN se aplica.
+ Os usuários que podem trabalhar com esse fluxo de trabalho e, portanto, precisam da capacidade de anexar essa política de confiança aos canais que criam e editam.
Você precisará dessa lista ao [configurar o acesso de entidades confiáveis](requirements-medialiverole-complex-permissions.md) para usuários.
# Configurar permissões de usuário
Com a opção complexa, MediaLive os usuários devem ter permissões para usar o assistente de entidade confiável. Esse assistente está disponível na seção **Perfil do IAM** no painel **Canal e detalhes de entrada**:
![\[IAM role configuration options for AWS Elemental MediaLive channel access permissions.\]](http://docs.aws.amazon.com/pt_br/medialive/latest/ug/images/medialiveaccessrole_withUpdateButton.png)
Tópicos
## Configurar permissões do assistente
Você deve configurar todos os MediaLive usuários com permissão para usar o assistente para digitar uma função de entidade confiável no assistente. Os usuários consultarão a lista de perfis fornecida a eles por você.
Você deve conceder a todos os usuários o acesso descrito na tabela a seguir. A ação está no serviço do IAM. Inclua essa ação na política (ou em uma das políticas) que você cria para os usuários.
| Campos no assistente | Description | Ações |
| --- | --- | --- |
| Usar perfil existente | Os usuários não devem ser capazes de visualizar a lista no campo de seleção que acompanha o campo Usar perfil existente. Essa lista mostra todas as funções criadas na AWS conta. Os usuários não devem ser capazes de selecionar nessa lista. Em vez de selecionar um perfil existente, os usuários digitarão um perfil no campo **Especificar ARN do perfil personalizado**. | Nenhum |
| Opção **Criar perfil com base no modelo** | Os usuários não devem ser capazes de selecionar o campo Criar perfil com base no modelo. Os usuários não criam perfis. Somente administradores criam perfis. | Nenhum |
| Especificar ARN do perfil personalizado | Os usuários devem ser capazes de inserir um perfil no campo de entrada que acompanha o campo Especificar ARN do perfil personalizado. Eles devem então ser capazes de passar essa função para MediaLive o. | iam:PassRole |
| Atualização | Os usuários não precisam ser capazes de escolher o botão Atualizar, pois esse botão aparece apenas em implementações que usam MediaLiveAccessRole. A opção complexa não usa essa função; portanto, esse botão nunca aparecerá. | Nenhum |
## Informações necessárias para os usuários
Quando um usuário cria um canal, ele passa uma função MediaLive para configurar MediaLive as políticas confiáveis corretas. Você criou essas políticas ao [configurar a entidade confiável](setup-trusted-entity-complex.md). Especificamente, ao [criar a função de entidade confiável](complex-scenario-create-trusted-entity-role-step3.md), você anotou todas as funções que criou. ARNs
Você deve fornecer a cada usuário uma lista dos perfis (identificados por um ARN) que eles devem usar em cada fluxo de trabalho (canal) com o qual trabalham.
+ Certifique-se de atribuir a cada usuário os perfis corretos para os fluxos de trabalho pelos quais eles são responsáveis. Cada função dá MediaLive acesso aos recursos que se aplicam a um fluxo de trabalho específico.
+ Cada usuário provavelmente tem uma lista de perfis diferente.
Quando o usuário seleciona **Especificar ARN de perfil personalizado**, o usuário consulta sua lista para encontrar o fluxo de trabalho ao qual o canal se aplica e o ARN do perfil que, consequentemente, se aplica.
# Requisitos de acesso para a entidade confiável
A tabela a seguir mostra todos os tipos de permissões que a entidade MediaLive confiável pode precisar. Consulte esta tabela ao [identificar os requisitos de acesso para a entidade MediaLive confiável](complex-scenario-create-trusted-entity-role-step1.md).
Cada linha na coluna descreve uma tarefa ou conjunto de tarefas relacionadas que a entidade MediaLive confiável talvez precise executar para um usuário. A terceira coluna descreve o tipo de acesso que a entidade confiável exige para realizar essa tarefa. A última coluna lista as ações ou a política do IAM que controlam esse acesso.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/medialive/latest/ug/trusted-entity-requirements.html)