# 步骤 3：设置 IAM 权限
<a name="getting-started-iam-permissions"></a>

接下来，您必须创建 Amazon Identity and Access Management（IAM）policy，以授予用户一组基本权限（例如，创建 Amazon IVS 通道、获取流信息以及自动录制到 S3），并将该策略分配给用户。您可以在创建[新用户](#iam-permissions-new-user)时分配权限，也可以向[现有用户](#iam-permissions-existing-user)添加权限。这两项程序如下。

有关更多信息（例如，了解 IAM 用户和策略、如何将策略附加到用户以及如何限制用户可以使用 Amazon IVS 执行的操作），请参见：
+ [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#Using_CreateUser_console)中的*创建 IAM 用户*
+ [Amazon IVS 安全性](security.md) 中关于 IAM 和“IVS 的托管式策略”的信息。
+ 对于“录制到 S3”功能：[使用服务相关角色](security-service-linked-roles.md)和 *Amazon IVS 用户指南*中的 [自动录制到 Amazon S3](record-to-s3.md)。

您可以对 Amazon IVS 使用现有的 AWS 托管式策略，也可以创建新策略，该策略可自定义想要授予一组用户、组或角色的权限。下面介绍了这两种方法。

## 使用 IVS 权限的现有策略
<a name="iam-permissions-existing-policy"></a>

在大多数情况下，您需要对 Amazon IVS 使用 AWS 托管式策略。*IVS 安全性*的 [IVS 的托管式策略](security-iam-awsmanpol.md)部分对其进行了全面描述。
+ 使用 `IVSReadOnlyAccess` AWS 托管式策略，您的应用程序开发人员可以访问所有 IVS Get 和 List API 操作（低延迟和实时直播均适用）。
+ 使用 `IVSFullAccess` AWS 托管式策略，您的应用程序开发人员可以访问所有 IVS API 操作（低延迟和实时直播均适用）。

## 可选：为 Amazon IVS 权限创建自定义策略
<a name="iam-permissions-new-policy"></a>

按照以下步骤进行操作：

1. 登录 Amazon 管理控制台，并通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格中，选择**策略**，然后选择**创建策略**。这时将会打开**指定权限**窗口。

1. 在**指定权限**窗口中，选择 **JSON** 选项卡，然后复制下列 IVS 策略并粘贴到**策略编辑器**文本区域。[该策略不包括所有 Amazon IVS 操作。您可以根据需要添加/删除（允许/拒绝）操作访问权限。有关 IVS 操作的详细信息，请参阅 [IVS 低延迟直播功能 API 参考](https://docs.aws.amazon.com//ivs/latest/LowLatencyAPIReference/Welcome.html)。]

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
         {
            "Effect": "Allow",
            "Action": [
               "ivs:CreateChannel",
               "ivs:CreateRecordingConfiguration",
               "ivs:GetChannel",
               "ivs:GetRecordingConfiguration",
               "ivs:GetStream",
               "ivs:GetStreamKey",
               "ivs:GetStreamSession",
               "ivs:ListChannels",
               "ivs:ListRecordingConfigurations",
               "ivs:ListStreamKeys",
               "ivs:ListStreams",
               "ivs:ListStreamSessions"
             ],
             "Resource": "*"
         },
         {
            "Effect": "Allow",
            "Action": [
               "cloudwatch:DescribeAlarms",
               "cloudwatch:GetMetricData",
               "s3:CreateBucket",
               "s3:GetBucketLocation",
               "s3:ListAllMyBuckets",
               "servicequotas:ListAWSDefaultServiceQuotas",
               "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
               "servicequotas:ListServiceQuotas",
               "servicequotas:ListServices",
               "servicequotas:ListTagsForResource"
            ],
            "Resource": "*"
         },
         {
            "Effect": "Allow",
            "Action": [
               "iam:AttachRolePolicy",
               "iam:CreateServiceLinkedRole",
               "iam:PutRolePolicy"
            ],
            "Resource": 
   "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
         }
      ]
   }
   ```

------

1. 继续在**指定权限**窗口中，选择**下一步**（滚动到窗口底部即可看到此按钮）。这时将打开**检查并创建**窗口。

1. 在**检查并创建**窗口中，输入**策略名称**，此外还可以选择添加**描述**。记下策略名称，因为您在创建用户时需要使用该名称（如下文所述）。选择 **Create policy**（创建策略）（位于窗口底部）。

1. 您将返回到 IAM 控制台窗口，您应该会在该窗口中看到一条横幅，确认您的新策略已创建。

## 创建新用户并添加权限
<a name="iam-permissions-new-user"></a>

### IAM 用户访问密钥
<a name="iam-permissions-new-user-access-keys"></a>

IAM 访问密钥包含一个访问密钥 ID 和一个秘密访问密钥。它们用于对您向 Amazon 发出的编程请求进行签名。如果没有访问密钥，您可以从 Amazon 管理控制台创建。作为最佳实践，请勿创建根用户访问密钥。

*仅当创建访问密钥时，您才能查看或下载秘密访问密钥。以后您无法恢复它们。*但是，您随时可以创建新的访问密钥；您必须拥有执行所需 IAM 操作的权限。

请务必安全地存储访问密钥。切勿与第三方共享（即使查询似乎来自 Amazon）。有关更多信息，请参阅《 IAM 用户指南》**中的[管理 IAM 用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。

### 过程
<a name="iam-permissions-new-user-procedure"></a>

按照以下步骤进行操作：

1. 在导航窗格中，选择**用户**，然后选择**创建用户**。这时将会打开**指定用户详细信息**窗口。

1. 在**指定用户详细信息**窗口中：

   1. 在**用户详细信息**下，键入要创建的新**用户名**。

   1. 选中**授予用户访问 Amazon 管理控制台的权限**。

   1. 出现提示时，请选择**我要创建 IAM 用户**。

   1. 在**控制台密码**下，选择**自动生成的密码**。

   1. 选中**用户下次登录时必须修改密码**旁的复选框。

   1. 选择**下一步**。这时将会打开**设置权限**窗口。

1. 在**设置权限**下，选择**直接附加策略**。这时将会打开**权限策略**窗口。

1. 在搜索框中，输入 IVS 策略名称（AWS 托管式策略或您之前创建的自定义策略）。找到该策略后，选中复选框以选择该策略。

1. 选择**下一步**（位于窗口底部）。这时将打开**检查并创建**窗口。

1. 在**检查并创建**窗口中，确认所有用户详细信息均正确无误，然后选择**创建用户**（位于窗口底部）。

1. 这时将会打开**找回密码**窗口，其中包含您的**控制台登录详细信息**。*妥善保存好此信息，以备将来参考*。完成后，选择**返回用户列表**。

## 向现有用户添加权限
<a name="iam-permissions-existing-user"></a>

按照以下步骤进行操作：

1. 登录 Amazon 管理控制台，并通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格中，选择**用户**，然后选择要更新的现有用户名。（单击选择用户名；不要选中选择框。）

1. 在**摘要**页面的**权限**选项卡中，选择**添加权限**。这时将会打开**添加权限**窗口。

1. 选择 **Attach existing policies directly**（直接附加现有策略）。这时将会打开**权限策略**窗口。

1. 在搜索框中，输入 IVS 策略名称（AWS 托管式策略或您之前创建的自定义策略）。找到该策略后，选中复选框以选择该策略。

1. 选择**下一步**（位于窗口底部）。这时将会打开**检查**窗口。

1. 在**检查**窗口中，选择**添加权限**（位于窗口底部）。

1. 在 **Summary**（摘要）页面上，确认已添加 IVS 策略。