As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Elemental MediaPackage Permitindo acessar outros AWS serviços
Alguns recursos exigem que você permita MediaPackage o acesso a outros AWS serviços, como Amazon S3 e AWS Secrets Manager (Secrets Manager). Para permitir esse acesso, crie um perfil do IAM e uma política com as permissões adequadas. As etapas a seguir descrevem como criar funções e políticas para recursos do MediaPackage .
**Topics**
+ [Etapa 1: Criar uma política](#setting-up-create-trust-rel-policy)
+ [Etapa 2: criar um perfil](#setting-up-create-trust-rel-role)
+ [Etapa 3: modificar a relação de confiança](#setting-up-create-trust-rel-trust)
## Etapa 1: Criar uma política
A política do IAM define as permissões que AWS Elemental MediaPackage (MediaPackage) exige para acessar outros serviços.
+ Para fluxos de trabalho de vídeo sob demanda (VOD), crie uma política que MediaPackage permita ler do bucket do Amazon S3, verificar o método de cobrança e recuperar conteúdo. Para o método de cobrança, é MediaPackage necessário verificar se o bucket *não* exige que o solicitante pague pelas solicitações. Se o bucket tiver **requestPayment** habilitado, o MediaPackage não poderá consumir conteúdo nesse bucket.
+ Para live-to-VOD fluxos de trabalho, crie uma política que MediaPackage permita ler do bucket do Amazon S3 e armazenar live-to-VOD o ativo nele.
+ Para autorização da rede de distribuição de conteúdo (CDN), crie uma política que permita MediaPackage a leitura de um segredo no Secrets Manager.
As seções a seguir descrevem como criar essas políticas.
### Política de acesso ao Amazon S3 para fluxos de trabalho de VOD
Se você está usando MediaPackage para ingerir um ativo de VOD de um bucket do Amazon S3 e para empacotar e entregar esse ativo, você precisa de uma política que permita fazer essas coisas no Amazon S3:
+ `GetObject`- MediaPackage pode recuperar o ativo VOD do bucket.
+ `GetBucketLocation`- MediaPackage pode recuperar a região do bucket. O bucket deve estar na mesma região dos recursos de MediaPackage VOD.
+ `GetBucketRequestPayment`- MediaPackage pode recuperar as informações da solicitação de pagamento. MediaPackage usa essas informações para verificar se o bucket não exige que o solicitante pague pelas solicitações de conteúdo.
Se você também usa MediaPackage para coleta de live-to-VOD ativos, adicione a `PutObject` ação à política. Para obter mais informações sobre a política necessária para live-to-VOD fluxos de trabalho, consulte[Política para live-to-VOD fluxos de trabalho](#setting-up-create-trust-rel-policy-ltov).
**Para usar o editor de políticas JSON para criar uma política**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Políticas**.
Se essa for a primeira vez que você escolhe **Políticas**, a página **Bem-vindo às políticas gerenciadas** será exibida. Escolha **Começar**.
1. Na parte superior da página, escolha **Criar política**.
1. Na seção **Editor de políticas**, escolha a opção **JSON**.
1. Insira o seguinte documento de política JSON:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:GetBucketLocation",
"s3:GetBucketRequestPayment",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket_name/*",
"arn:aws:s3:::bucket_name"
],
"Effect": "Allow"
}
]
}
```
1. Escolha **Próximo**.
**nota**
É possível alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Próximo** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Restruturação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) no *Guia do usuário do IAM*.
1. Na página **Revisar e criar**, insira um **Nome de política** e uma **Descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ver as permissões que são concedidas pela política.
1. Escolha **Criar política** para salvar sua nova política.
### Política para live-to-VOD fluxos de trabalho
Se você costuma MediaPackage coletar um live-to-VOD ativo de uma transmissão ao vivo, precisa de uma política que permita fazer essas coisas no Amazon S3:
+ `PutObject`: MediaPackage pode salvar o ativo de VOD no bucket.
+ `GetBucketLocation`: MediaPackage pode recuperar a região do bucket. O bucket deve estar na mesma região da AWS que os recursos de MediaPackage VOD.
Se você também usa MediaPackage para entrega de ativos de VOD, adicione essas ações à política: `GetObject` e. `GetBucketRequestPayment` Para obter mais informações sobre a política necessária para fluxos de trabalho de VOD, consulte [Política de acesso ao Amazon S3 para fluxos de trabalho de VOD](#setting-up-create-trust-rel-policy-vod).
**Para usar o editor de políticas JSON para criar uma política**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Políticas**.
Se essa for a primeira vez que você escolhe **Políticas**, a página **Bem-vindo às políticas gerenciadas** será exibida. Escolha **Começar**.
1. Na parte superior da página, escolha **Criar política**.
1. Na seção **Editor de políticas**, escolha a opção **JSON**.
1. Insira o seguinte documento de política JSON:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket_name/*",
"arn:aws:s3:::bucket_name"
],
"Effect": "Allow"
}
]
}
```
1. Escolha **Próximo**.
**nota**
É possível alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Próximo** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Restruturação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) no *Guia do usuário do IAM*.
1. Na página **Revisar e criar**, insira um **Nome de política** e uma **Descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ver as permissões que são concedidas pela política.
1. Escolha **Criar política** para salvar sua nova política.
### Política de acesso ao Secrets Manager para autorização de CDN
Se você usa cabeçalhos de autorização da rede de distribuição de conteúdo (CDN) para restringir o acesso aos seus endpoints MediaPackage, precisará de uma política que permita fazer o seguinte no Secrets Manager:
+ `GetSecretValue`- MediaPackage pode recuperar o código de autorização criptografado de uma versão do segredo.
+ `DescribeSecret`- MediaPackage pode recuperar os detalhes do segredo, excluindo campos criptografados.
+ `ListSecrets`- MediaPackage pode recuperar uma lista de segredos na AWS conta.
+ `ListSecretVersionIds`: MediaPackage pode recuperar todas as versões anexadas ao segredo especificado.
**nota**
Você não precisa de uma política distinta para cada segredo armazenado no Secrets Manager. Se você criar uma política como a descrita no procedimento a seguir, MediaPackage poderá acessar todos os segredos da sua conta nesta região.
**Para usar o editor de políticas JSON para criar uma política**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Políticas**.
Se essa for a primeira vez que você escolhe **Políticas**, a página **Bem-vindo às políticas gerenciadas** será exibida. Escolha **Começar**.
1. Na parte superior da página, escolha **Criar política**.
1. Na seção **Editor de políticas**, escolha a opção **JSON**.
1. Insira o seguinte documento de política JSON:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:region:account-id:secret:secret-name"
]
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id:role/role-name"
}
]
}
```
1. Escolha **Próximo**.
**nota**
É possível alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Próximo** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Restruturação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) no *Guia do usuário do IAM*.
1. Na página **Revisar e criar**, insira um **Nome de política** e uma **Descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ver as permissões que são concedidas pela política.
1. Escolha **Criar política** para salvar sua nova política.
## Etapa 2: criar um perfil
Um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma identidade do IAM que você pode criar em sua conta que tem permissões específicas. Uma função do IAM é semelhante à de um usuário do IAM, pois é uma AWS identidade com políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil. Crie uma função que AWS Elemental MediaPackage assuma ao ingerir conteúdo de origem do Amazon S3.
Ao criar a função, você escolhe o Amazon Elastic Compute Cloud (Amazon EC2) como a entidade confiável que pode assumir a função MediaPackage porque não está disponível para seleção. Em[Etapa 3: modificar a relação de confiança](#setting-up-create-trust-rel-trust), você altera a entidade confiável para MediaPackage.
Para obter informações sobre a criação de uma função de serviço, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.
## Etapa 3: modificar a relação de confiança
A relação de confiança define quais entidades podem assumir a função que você criou em [Etapa 2: criar um perfil](#setting-up-create-trust-rel-role). Ao criar o perfil e estabelecer a relação de confiança, você selecionou o Amazon EC2 como a entidade confiável. Modifique a função para que a relação confiável seja entre sua AWS conta AWS Elemental MediaPackage e.
**Para mudar a relação de confiança para MediaPackage**
1. Acesse a função que você criou em [Etapa 2: criar um perfil](#setting-up-create-trust-rel-role).
Se você ainda não estiver exibindo o perfil, no painel de navegação do console do IAM, escolha **Perfis**. Pesquise e escolha a função que você criou.
1. Na página **Summary (Resumo)** da função, escolha **Trust relationships (Relações de confiança)**.
1. Selecione **Editar relação de confiança**.
1. Na página **Edit Trust Relationship (Editar relação de confiança)**, em **Policy Document (Documento de política)**, altere `ec2.amazonaws.com` para `mediapackage.amazonaws.com`.
O documento de política agora deve ser semelhante ao seguinte:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "mediapackage.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Se você estiver usando MediaPackage serviços relacionados em uma região opcional, a região deverá estar listada na `Service` seção do documento de política. Por exemplo, se você estiver usando serviços na região Ásia-Pacífico (Melbourne), o documento de política terá a seguinte aparência:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"mediapackage.amazonaws.com",
"mediapackage.ap-southeast-4.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Selecione **Atualizar política de confiança**.
1. Na página **Summary (Resumo)**, anote o valor do **Role ARN (ARN da função)**. Você usa esse ARN ao consumir conteúdo de origem para fluxos de trabalho de vídeo sob demanda (VOD - video on demand) . O ARN é semelhante a este:
`arn:aws:iam::111122223333:role/role-name`
No exemplo, *111122223333* é o número AWS da sua conta.