本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建 IAM 权限策略
<a name="gs-iam-role"></a>

按照以下步骤创建 IAM 策略。此权限策略允许对 AWS 资源进行选择性访问控制（支持的操作的子集）。在本例中， AWS 资源是你希望 Amazon Kinesis Video Streams Edge Agent 直播到的视频流。这些资源还包括 Amazon Kinesis Video Streams Edge Agent 可以检索的 AWS Secrets Manager 机密。有关更多信息，请参阅 [IAM policy](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies.html)。

**使用 JSON 策略编辑器创建策略**

1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在左侧导航窗格中，选择 **Policies（策略）**。

   如果这是您首次选择**策略**，则会显示**欢迎访问托管式策略**页面。选择**开始使用**。

1. 在页面的顶部，选择**创建策略**。

1. 在**策略编辑器**部分，选择 **JSON** 选项。

1. 输入以下 JSON 策略文档：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "cloudwatch:PutMetricData",
                   "kinesisvideo:ListStreams",
                   "iot:Connect",
                   "iot:Publish",
                   "iot:Subscribe",
                   "iot:Receive"
               ],
               "Resource": [
                   "*"
               ] 
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kinesisvideo:DescribeStream",
                   "kinesisvideo:PutMedia",
                   "kinesisvideo:TagStream",
                   "kinesisvideo:GetDataEndpoint"
               ],
                "Resource": [ 
                   "arn:aws:kinesisvideo:*:*:stream/streamName1/*",
                   "arn:aws:kinesisvideo:*:*:stream/streamName2/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": "secretsmanager:GetSecretValue",
               "Resource": [
                    "arn:aws:secretsmanager:*:*:secret:*",
                    "arn:aws:secretsmanager:*:*:secret:*"
               ]
           }
       ]
   }
   ```

------
**注意**  
将`arn:aws:kinesisvideo:*:*:stream/streamName1/*`和`arn:aws:kinesisvideo:*:*:stream/streamName2/*`替换 ARNs 为视频流，`arn:aws:secretsmanager:*:*:secret:*`替换为包含您在中创建 ARNs 的 MediaUri 密钥的。[为您的 IP 摄像机 RTSP 创建资源 URLs](gs-create-resources-standalone.md)使用 ARNs 获取你希望 Amazon Kinesis Video Streams Edge Agent 访问的机密。

1. 选择**下一步**。
**注意**  
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过，如果您进行更改或在**可视化**编辑器中选择**下一步**，IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息，请参阅 IAM 用户指南中的[策略重组](https://docs.aws.amazon.com//IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。

1. 在 “**查看并创建**” 页面上，输入您正在创建的策略的策略**名称**和可选**描述**。查看**此策略中定义的权限**以查看策略授予的权限。

1. 选择**创建策略**可保存新策略。