本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 确定访问要求 您必须确定 MediaLive 将在部署中与之交互的服务。然后,在每项服务中,您必须确定 MediaLive 需要访问的操作和资源。最后,您必须设计处理这些要求的 IAM 策略。 在您的组织中,必须由了解组织的资源访问要求的人员来执行此要求分析。此人必须了解是否要求限制 MediaLive 渠道访问其他 AWS 服务中的资源。例如,此人应确定是否需要限制通道对 Amazon S3 中存储桶的访问权限,使得指定通道可以访问一些存储桶但不能访问另一些存储桶。 **确定以下各项的访问要求 MediaLive** 1. 有关 MediaLive 通常需要访问[可信实体的访问要求](trusted-entity-requirements.md)的服务的信息,请参阅中的表。确定您的部署使用其中哪些服务以及需要哪些操作。 1. 在服务中,确定您需要创建的策略数。您是否需要多个针对不同工作流的对象和操作的不同组合?是否需要出于安全原因单独保留这些组合? 具体而言,确定您是否需要为不同工作流访问不同资源,以及是否必须将访问权限限制为特定资源。例如,在 P AWS Systems Manager arameter Store 中,您可能有属于不同工作流程的密码,并且可能只允许特定用户访问任何给定工作流程的密码。 如果对于对象、操作和资源,不同工作流有不同要求,则对于该服务,您需要适用于各个工作流的单独策略。 1. 设计各个策略:确定允许(或不允许)的对象、操作以及策略中允许(或不允许)的资源。 1. 确定您是否已发现托管策略涵盖了任意策略。 1. 对于每个工作流,确定您对该工作流使用的所有服务需要的策略。创建策略时,您将能够在策略中包含多项服务。不需要为每个单独的服务创建一个策略。 1. 确定您需要的角色的数量。对于每个唯一的策略组合,您需要一个角色。 1. 将名称分配到您已确定的所有策略和角色。确保不要在这些名称中包含敏感识别信息(例如客户账户名称)。