As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criar a entidade confiável: opção complexa
<a name="setup-trusted-entity-complex"></a>

Leia esta seção se você decidiu usar a [opção complexa](scenarios-for-medialive-role.md) para configurar a entidade confiável. 

Com a opção complexa, é necessário executar estas tarefas: 
+ Crie políticas e funções e use essas políticas e funções para se configurar MediaLive como uma entidade confiável. Essa tarefa é abordada nas etapas A, B e C.
+ Configure todos os MediaLive usuários com permissões que permitam que eles anexem uma política de confiança específica a um canal ao criarem ou editarem o canal. Essa tarefa é abordada na etapa D.

**Topics**
+ [Identificar os requisitos de acesso](complex-scenario-create-trusted-entity-role-step1.md)
+ [Criar políticas](complex-scenario-create-trusted-entity-role-step2.md)
+ [Criar perfis](complex-scenario-create-trusted-entity-role-step3.md)
+ [Configurar permissões de usuário](requirements-medialiverole-complex-permissions.md)
+ [Requisitos de acesso para a entidade confiável](trusted-entity-requirements.md)

# Identificar os requisitos de acesso
<a name="complex-scenario-create-trusted-entity-role-step1"></a>

Você deve identificar os serviços com os quais MediaLive interagirão em sua implantação. Então, em cada serviço, você deve identificar as operações e os recursos que MediaLive precisam ser acessados. Finalmente, é necessário criar as políticas do IAM que lidam com esses requisitos.

Essa análise de requisitos deve ser realizada por uma pessoa em sua organização que entenda os requisitos de acesso aos recursos da sua organização. Essa pessoa deve entender se existe a exigência de que MediaLive os canais tenham acesso restrito a recursos em outros AWS serviços. Por exemplo, essa pessoa deve determinar se os canais devem ter acesso restrito aos buckets no Amazon S3 para que um canal especificado possa acessar alguns buckets e outros não.

**Para determinar os requisitos de acesso para MediaLive**

1. Consulte a tabela [Requisitos de acesso para a entidade confiável](trusted-entity-requirements.md) para obter informações sobre os serviços aos quais MediaLive normalmente precisam ser acessados. Determine qual desses serviços é usado pela implantação e de quais operações ele precisa.

1. Em um serviço, determine o número de políticas que você precisa criar. Você precisa de várias combinações diferentes de objetos e operações para diferentes fluxos de trabalho e precisa manter essas combinações separadas de cada um por motivos de segurança? 

   Especificamente, determine se você precisa acessar recursos diferentes para fluxos de trabalho diferentes e se é importante restringir o acesso a recursos específicos. Por exemplo, no AWS Systems Manager Parameter Store, você pode ter senhas pertencentes a diferentes fluxos de trabalho e talvez queira permitir que somente usuários específicos acessem as senhas de um determinado fluxo de trabalho.

   Se fluxos de trabalho diferentes tiverem requisitos diferentes para objetos, operações e recursos, serão necessárias, para esse serviço, políticas separadas para cada fluxo de trabalho. 

1. Projete cada política: identifique os objetos permitidos (ou não permitidos), as operações e os recursos permitidos (ou não permitidos) na política. 

1. Determine se qualquer uma das políticas identificadas é atendida por uma política gerenciada. 

1. Para cada fluxo de trabalho, identifique as políticas necessárias a todos os serviços usados pelo fluxo de trabalho. Ao criar a política, será possível incluir vários serviços na política. Não é necessário criar uma política para cada serviço. 

1. Identifique o número de funções necessárias. Você precisa de uma função para cada combinação exclusiva de políticas. 

1. Atribua nomes a todas as políticas e funções identificadas. Certifique-se de não incluir informações de identificação confidenciais (como um nome de conta de cliente) nesses nomes. 

# Criar políticas
<a name="complex-scenario-create-trusted-entity-role-step2"></a>

Depois de seguir a [Etapa A](complex-scenario-create-trusted-entity-role-step1.md) para identificar as políticas necessárias, você deverá criá-las no console do IAM. 

Siga esse procedimento para cada política. 

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. Selecione **Criar política**. O assistente **Criar política** é exibido. Esse assistente orientará você pelas etapas necessárias, incluindo estas etapas principais:
   + Selecione um serviço.
   + Selecione ações para esse serviço.

     Normalmente (e por padrão), você especifica as ações que deseja permitir. 

     No entanto, também é possível escolher o botão **Alternar para negar permissões** para negar as ações escolhidas. Como boa prática de segurança, recomendamos negar permissões somente se você quiser substituir separadamente uma permissão concedida por uma outra instrução ou política. Recomendamos que você limite ao mínimo o número de permissões de negação, pois elas podem aumentar a dificuldade de solucionar problemas nas permissões.
   + [Especifique os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) para cada ação (se houver suporte para a ação). Por exemplo, se você escolher o MediaLive `DescribeChannel` ARN, poderá especificar os canais ARNs específicos. 
   + Especificar condições (opcional). Por exemplo:
     + É possível especificar que um usuário só tem permissão para executar ações quando sua solicitação ocorre em um determinado período. 
     + É possível especificar que o usuário deve usar um dispositivo de autenticação multifator (MFA) para se autenticar. 
     + É possível especificar que a solicitação deve se originar de um intervalo de endereços IP. 

     Para obter listas de todas as chaves de contexto que você pode usar em uma condição de política, consulte [Ações, recursos e chaves de condição para AWS serviços](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) na *Referência de Autorização de Serviço*.

1. Selecione **Criar política**.

# Criar perfis
<a name="complex-scenario-create-trusted-entity-role-step3"></a>

Qualquer pessoa que seja um administrador pode executar o procedimento de criação de uma função e associação de políticas à função. 

No [Identificar os requisitos de acesso](complex-scenario-create-trusted-entity-role-step1.md), alguém em sua organização identificou as funções que precisam ser criadas. Crie esses perfis agora usando o IAM. 

Nesta etapa, você cria uma função que consiste em uma política de confiança (“vamos MediaLive chamar a `AssumeRole` ação”) e uma ou mais políticas (as [políticas que você acabou de criar](complex-scenario-create-trusted-entity-role-step2.md)). Dessa forma, MediaLive tem permissão para assumir a função. Ao assumir o perfil, ele adquire as permissões especificadas nas políticas. 

Siga esse procedimento para cada perfil.

1. No console do IAM, no painel de navegação à esquerda, selecione **Perfis** e, em seguida, **Criar perfil**. O assistente **Criar regra** é exibido. Esse assistente orientará você pelas etapas de configuração de uma entidade confiável e adição de permissões (via adição de uma política).

1. Na página **Selecionar entidade confiável**, escolha a carta **Política de confiança personalizada**. A seção **Política de confiança personalizada** é exibida com um exemplo de política.

1. Apague a amostra, copie o texto a seguir e cole-o na seção **Política de confiança personalizada**. A seção **Política de confiança personalizada** agora é semelhante a:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
   	{
               "Effect": "Allow",
               "Principal": {
                   "Service": "medialive.amazonaws.com"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Escolha **Próximo**. 

1. Na página **Adicionar permissões**, encontre a política ou políticas que você criou (por exemplo,`MedialiveForCurlingEvents`) e marque a caixa de seleção para cada uma. Escolha **Próximo**.

1. Na página de revisão, insira um nome para o perfil. Recomendamos não usar o nome `MediaLiveAccessRole` pois ele é reservado para a [opção simples](scenarios-for-medialive-role.md#about-simple-scenario). 

   Em vez disso, use um nome que inclua `Medialive` e descreva a finalidade do perfil,. Por exemplo, .`MedialiveAccessRoleForSports`

1. Selecione **Criar perfil**.

1. Na página **Resumo** do perfil, tome nota do valor do **ARN do perfil**. Ele é semelhante a:

   `arn:aws:iam::111122223333:role/medialiveWorkflow15`

   No exemplo, `111122223333` é o número AWS da sua conta. 

1. Depois de criar todas as funções, faça uma lista das funções ARNs. Inclua as seguintes informações em cada item:
   + O ARN do perfil.
   + Uma descrição do fluxo de trabalho ao qual o ARN se aplica.
   + Os usuários que podem trabalhar com esse fluxo de trabalho e, portanto, precisam da capacidade de anexar essa política de confiança aos canais que criam e editam. 

   Você precisará dessa lista ao [configurar o acesso de entidades confiáveis](requirements-medialiverole-complex-permissions.md) para usuários.

# Configurar permissões de usuário
<a name="requirements-medialiverole-complex-permissions"></a>

Com a opção complexa, MediaLive os usuários devem ter permissões para usar o assistente de entidade confiável. Esse assistente está disponível na seção **Perfil do IAM** no painel **Canal e detalhes de entrada**:

![\[IAM role configuration options for AWS Elemental MediaLive channel access permissions.\]](http://docs.aws.amazon.com/pt_br/medialive/latest/ug/images/medialiveaccessrole_withUpdateButton.png)


Tópicos

## Configurar permissões do assistente
<a name="requirements-medialiverole-complex-wizard"></a>

Você deve configurar todos os MediaLive usuários com permissão para usar o assistente para digitar uma função de entidade confiável no assistente. Os usuários consultarão a lista de perfis fornecida a eles por você. 

Você deve conceder a todos os usuários o acesso descrito na tabela a seguir. A ação está no serviço do IAM. Inclua essa ação na política (ou em uma das políticas) que você cria para os usuários.


| Campos no assistente | Description | Ações | 
| --- | --- | --- | 
| Usar perfil existente | Os usuários não devem ser capazes de visualizar a lista no campo de seleção que acompanha o campo Usar perfil existente. Essa lista mostra todas as funções criadas na AWS conta. Os usuários não devem ser capazes de selecionar nessa lista. Em vez de selecionar um perfil existente, os usuários digitarão um perfil no campo **Especificar ARN do perfil personalizado**. | Nenhum | 
|  Opção **Criar perfil com base no modelo**  | Os usuários não devem ser capazes de selecionar o campo Criar perfil com base no modelo. Os usuários não criam perfis. Somente administradores criam perfis. | Nenhum | 
| Especificar ARN do perfil personalizado | Os usuários devem ser capazes de inserir um perfil no campo de entrada que acompanha o campo Especificar ARN do perfil personalizado. Eles devem então ser capazes de passar essa função para MediaLive o. | iam:PassRole | 
| Atualização | Os usuários não precisam ser capazes de escolher o botão Atualizar, pois esse botão aparece apenas em implementações que usam MediaLiveAccessRole. A opção complexa não usa essa função; portanto, esse botão nunca aparecerá. | Nenhum | 

## Informações necessárias para os usuários
<a name="requirements-medialiverole-complex-data"></a>

Quando um usuário cria um canal, ele passa uma função MediaLive para configurar MediaLive as políticas confiáveis corretas. Você criou essas políticas ao [configurar a entidade confiável](setup-trusted-entity-complex.md). Especificamente, ao [criar a função de entidade confiável](complex-scenario-create-trusted-entity-role-step3.md), você anotou todas as funções que criou. ARNs 

Você deve fornecer a cada usuário uma lista dos perfis (identificados por um ARN) que eles devem usar em cada fluxo de trabalho (canal) com o qual trabalham. 
+ Certifique-se de atribuir a cada usuário os perfis corretos para os fluxos de trabalho pelos quais eles são responsáveis. Cada função dá MediaLive acesso aos recursos que se aplicam a um fluxo de trabalho específico.
+ Cada usuário provavelmente tem uma lista de perfis diferente.

Quando o usuário seleciona **Especificar ARN de perfil personalizado**, o usuário consulta sua lista para encontrar o fluxo de trabalho ao qual o canal se aplica e o ARN do perfil que, consequentemente, se aplica.

# Requisitos de acesso para a entidade confiável
<a name="trusted-entity-requirements"></a>

A tabela a seguir mostra todos os tipos de permissões que a entidade MediaLive confiável pode precisar. Consulte esta tabela ao [identificar os requisitos de acesso para a entidade MediaLive confiável](complex-scenario-create-trusted-entity-role-step1.md). 

Cada linha na coluna descreve uma tarefa ou conjunto de tarefas relacionadas que a entidade MediaLive confiável talvez precise executar para um usuário. A terceira coluna descreve o tipo de acesso que a entidade confiável exige para realizar essa tarefa. A última coluna lista as ações ou a política do IAM que controlam esse acesso. 


****  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/medialive/latest/ug/trusted-entity-requirements.html)