本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Chime 软件开发工具包基于身份的策略示例
默认情况下,IAM 用户和角色无权创建或修改 Amazon Chime 软件开发工具包资源。他们也无法使用 AWS 管理控制台 AWS CLI、或 AWS API 执行任务。IAM 管理员必须创建 IAM 策略,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。
要了解如何使用这些示例 JSON 策略文档创建 IAM 基于身份的策略,请参阅《*IAM 用户指南*》中的[在 JSON 选项卡上创建策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [策略最佳实践](security_iam_service-with-iam-policy-best-practices.md)
+ [AWS 托管 Amazon Chime 软件开发工具包政策](security_iam_id-based-policy-examples-chime-sdk.md)
+ [AWS 托管策略:AmazonChimeVoiceConnectorServiceLinkedRolePolicy](cvc-linked-role-policy.md)
+ [AWS 托管策略:AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy](media-pipeline-service-linked-role-policy.md)
+ [Amazon Chime 更新了托管政策 AWS](security-iam-awsmanpol-updates.md)
# 策略最佳实践
基于身份的策略非常强大。它们决定是否有人可以在您的账户中创建、访问或删除 Amazon Chime SDK 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略** — 要快速开始使用 Amazon Chime SDK,请使用 AWS 托管策略为员工提供所需的权限。这些策略已在您的账户中提供,并由 AWS维护和更新。有关更多信息,请参阅 *IAM 用户指南*中的[使用 AWS 托管策略的权限入门](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ **授予最低权限**:创建自定义策略时,仅授予执行任务所需的许可。最开始只授予最低权限,然后根据需要授予其它权限。这样做比起一开始就授予过于宽松的权限而后再尝试收紧权限来说更为安全。有关更多信息,请参阅*《IAM 用户指南》*中的[授予最低权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。
+ **为敏感操作启用 MFA** – 为增强安全性,要求 IAM 用户使用多重身份验证 (MFA) 来访问敏感资源或 API 操作。要了解更多信息,请参阅 *IAM 用户指南*中的[在 AWS中使用多重身份验证 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
+ **使用策略条件来增强安全性** – 在切实可行的范围内,定义基于身份的策略在哪些情况下允许访问资源。例如,您可编写条件来指定请求必须来自允许的 IP 地址范围。您也可以编写条件,以便仅允许指定日期或时间范围内的请求,或者要求使用 SSL 或 MFA。有关更多信息,请参阅 *IAM 用户指南* 中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
# AWS 托管 Amazon Chime 软件开发工具包政策
您可以使用 AWS 托管`AmazonChimeVoiceConnectorServiceLinkedRolePolicy`向用户授予访问 Amazon Chime 软件开发工具包操作的权限。*有关更多信息,请参阅 A *mazon Chime SDK 开发人员指南*[中的 IAM 角色示例](https://docs.aws.amazon.com/chime/latest/dg/iam-roles.html),以及服务授权参考中的 [Amazon Chime 的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonchime.html)。*
```
// Policy ARN: arn:aws:iam::aws:policy/AmazonChimeSDK
// Description: Provides access to Amazon Chime SDK operations
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"chime:CreateMediaCapturePipeline",
"chime:CreateMediaConcatenationPipeline",
"chime:CreateMediaLiveConnectorPipeline",
"chime:CreateMeeting",
"chime:CreateMeetingWithAttendees",
"chime:DeleteMediaCapturePipeline",
"chime:DeleteMediaPipeline",
"chime:DeleteMeeting",
"chime:GetMeeting",
"chime:ListMeetings",
"chime:CreateAttendee",
"chime:BatchCreateAttendee",
"chime:DeleteAttendee",
"chime:GetAttendee",
"chime:GetMediaCapturePipeline",
"chime:GetMediaPipeline",
"chime:ListAttendees",
"chime:ListAttendeeTags",
"chime:ListMediaCapturePipelines",
"chime:ListMediaPipelines",
"chime:ListMeetingTags",
"chime:ListTagsForResource",
"chime:StartMeetingTranscription",
"chime:StopMeetingTranscription",
"chime:TagAttendee",
"chime:TagMeeting",
"chime:TagResource",
"chime:UntagAttendee",
"chime:UntagMeeting",
"chime:UntagResource"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# AWS 托管策略:AmazonChimeVoiceConnectorServiceLinkedRolePolicy
这`AmazonChimeVoiceConnectorServiceLinkedRolePolicy`使得 Amazon Chime SDK 语音连接器能够使用 Amazon Polly 将媒体流式传输到亚马逊 Kinesis Video Streams、提供直播通知和合成语音。本政策授予亚马逊 Chime SDK 语音连接器服务访问客户的亚马逊 Kinesis Video Streams、向亚马逊简单通知服务 (SNS) 和亚马逊简单队列服务 (SQS) 发送通知事件的权限,以及在使用亚马逊 Chime SDK 语音应用程序和操作时使用 Amazon Polly 合成语音。`Speak` `SpeakAndGetDigits`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["chime:GetVoiceConnector*"],
"Resource": ["*"]
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:PutMedia",
"kinesisvideo:UpdateDataRetention",
"kinesisvideo:DescribeStream",
"kinesisvideo:CreateStream"
],
"Resource": ["arn:aws:kinesisvideo:*:*:stream/ChimeVoiceConnector-*"]
},
{
"Effect": "Allow",
"Action": ["kinesisvideo:ListStreams"],
"Resource": ["*"]
},
{
"Effect": "Allow",
"Action": ["SNS:Publish"],
"Resource": ["arn:aws:sns:*:*:ChimeVoiceConnector-Streaming*"]
},
{
"Effect": "Allow",
"Action": ["sqs:SendMessage"],
"Resource": ["arn:aws:sqs:*:*:ChimeVoiceConnector-Streaming*"]
},
{
"Effect": "Allow",
"Action": ["polly:SynthesizeSpeech"],
"Resource": ["*"]
},
{
"Effect": "Allow",
"Action": [
"chime:CreateMediaInsightsPipeline",
"chime:GetMediaInsightsPipelineConfiguration"
],
"Resource": ["*"]
}
]
}
```
------
有关更多信息,请参阅 [使用 Amazon Chime SDK 语音连接器服务关联角色策略](using-service-linked-roles-stream.md)。
# AWS 托管策略:AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy
您不能将 `AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy` 附加到您的 IAM 实体。
该政策允许 Kinesis Video Streams 将数据流式传输到 Amazon Chime SDK 会议并向发布指标。 CloudWatch它还允许 Amazon Chime SDK 媒体管道代表你访问亚马逊 Chime SDK 会议。有关更多信息,请参阅本指南中的[通过 Amazon Chime SDK 媒体管道使用角色](using-service-linked-roles-media-pipeline.md)。
**权限详细信息**
该策略包含以下权限。
+ `cloudwatch`— 授予放置 CloudWatch 指标的权限。
+ `kinesisvideo`— 授予获取数据端点、放置媒体、更新数据保留间隔、描述数据流、创建数据流和列出数据流的权限。
+ `chime`— 授予参加会议、创建出席者和删除与会者的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutMetricsForChimeSDKNamespace",
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/ChimeSDK"
}
}
},
{
"Sid": "AllowKinesisVideoStreamsAccess",
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:PutMedia",
"kinesisvideo:UpdateDataRetention",
"kinesisvideo:DescribeStream",
"kinesisvideo:CreateStream"
],
"Resource": [
"arn:aws:kinesisvideo:*:*:stream/ChimeMediaPipelines-*"
]
},
{
"Sid": "AllowKinesisVideoStreamsListAccess",
"Effect": "Allow",
"Action": [
"kinesisvideo:ListStreams"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowChimeMeetingAccess",
"Effect": "Allow",
"Action": [
"chime:GetMeeting",
"chime:CreateAttendee",
"chime:DeleteAttendee"
],
"Resource": "*"
}
]
}
```
------
# Amazon Chime 更新了托管政策 AWS
下表列出并描述了对 Amazon Chime SDK IAM 政策所做的更新。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy](media-pipeline-service-linked-role-policy.md) – 对现有策略的更新 | `AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy`新增的权限允许 Amazon Chime SDK 会议发布指标以 CloudWatch 供服务控制面板使用。有关更多信息,请参阅 [通过 Amazon Chime SDK 媒体管道使用角色](using-service-linked-roles-media-pipeline.md)。 | 2023 年 12 月 8 日 |
| [AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy](media-pipeline-service-linked-role-policy.md) – 对现有策略的更新 | `AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy`新增的权限允许 Kinesis Video Streams 将音频、视频和屏幕共享数据流式传输到 Amazon Chime SDK 会议。有关更多信息,请参阅 [通过 Amazon Chime SDK 媒体管道使用角色](using-service-linked-roles-media-pipeline.md)。 | 2023年8月20日 |
| [AmazonChimeVoiceConnectorServiceLinkedRolePolicy](cvc-linked-role-policy.md):对现有策略的更新 | 允许访问 [https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_media-pipelines-chime_GetMediaInsightsPipelineConfiguration.html](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_media-pipelines-chime_GetMediaInsightsPipelineConfiguration.html)API 的新`AmazonChimeVoiceConnectorServiceLinkedRolePolicy`增权限。Amazon Chime Voice Connectors 需要这些权限才能获得媒体见解管道配置。有关更多信息,请参阅 [配置语音连接器以使用呼叫分析](configure-voicecon.md)。 | 2023 年 4 月 14 日 |
| 新的和更新的服务关联角色 | 开发者可以使用 AmazonChimeSDKEvents 服务关联角色来访问流媒体服务,例如 Kinesis Firehose。有关更多信息,请参阅[使用AmazonChimeSDKEvents服务相关角色](https://docs.aws.amazon.com/chime-sdk/latest/ag/analytics-service-role.html)。我们还在 “[使用服务关联角色](https://docs.aws.amazon.com/chime-sdk/latest/dg/using-service-linked-roles.html)” 中添加了[AmazonChimeVoiceConnectorServiceLinkedRolePolicy](cvc-linked-role-policy.md)名称。有关更多信息,请参阅[使用AmazonChimeVoiceConnectorServiceLinkedRolePolicy](https://docs.aws.amazon.com/chime-sdk/latest/dg/using-service-linked-roles-stream.html)。 | 2023 年 3 月 27 日 |
| Amazon Chime SDK 基于身份的策略示例 — 更新现有政策。 | [AWS 托管 **Amazon Chime SDK** 策略](security_iam_id-based-policy-examples-chime-sdk.md)增加了权限,允许您使用 [Amazon Chime SDK 媒体](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_Operations_Amazon_Chime_SDK_Media_Pipelines.html) APIs 管道创建、读取和删除媒体管道。 | 2023 年 1 月 5 日 |
| 添加了 [AmazonChimeSDKMediaPipelinesServiceLinkedRolePolicy](media-pipeline-service-linked-role-policy.md)— 新的托管策略。 | Amazon Chime 软件开发工具包添加了一个与服务相关的角色,允许你在 Amazon Chime SDK 会议中使用媒体捕获管道。 | 2022 年 4 月 27 日 |
| [AWS 托管策略:AmazonChimeVoiceConnectorServiceLinkedRolePolicy](cvc-linked-role-policy.md)— 更新现有策略。 | Amazon Chime SDK 语音连接器增加了权限,允许你使用 Amazon Polly 合成语音。在 Amazon Chime SDK 语音应用程序中使用`Speak`和`SpeakAndGetDigits`操作需要这些权限。 | 2022 年 3 月 15 日 |
| [AmazonChimeVoiceConnectorServiceLinkedRolePolicy](cvc-linked-role-policy.md):对现有策略的更新 | Amazon Chime SDK Voice Connector 增加了权限,允许访问亚马逊 Kinesis Video Streams 以及向亚马逊简单通知服务 (Amazon SNS) 和亚马逊简单查询服务 (亚马逊 SQS) 发送通知事件。亚马逊 Chime SDK 语音连接器需要这些权限才能将媒体流式传输到亚马逊 Kinesis Video Streams 并提供直播通知。 | 2021 年 12 月 20 日 |
| 现有策略更改内容。[使用 Chime SDK 策略创建 IAM 用户或角色](https://docs.aws.amazon.com/chime/latest/dg/iam-users-roles.html)。 | Amazon Chime 软件开发工具包添加了新的操作来支持扩展验证。 新增的大量操作允许列出并标记与会者和会议资源,且允许启动和停止会议转录操作。 | 2021 年 9 月 23 日 |
| Amazon Chime 软件开发工具包开始追踪更改 | Amazon Chime 软件开发工具包开始跟踪其 AWS 托管策略的变更。 | 2021 年 9 月 23 日 |