本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 MediaLive 为可信实体
<a name="device-iam-for-medialive"></a>

如果您的组织要使用 Link 设备作为 MediaConnect 流程的来源，IAM 管理员必须考虑 MediaLive 所需的特殊权限。

您必须设置 MediaLive 为可*信实体*。在可信实体关系中，角色标识 MediaLive 为可信实体。一个或多个策略附加到该角色。每个策略包含有关所允许操作和资源的声明。可信实体、角色和策略之间的关联组成了此声明：

“MediaLive 允许担任此角色，以便对策略中指定的资源执行操作。”

**重要**  
您可能熟悉 MediaLive 需要在[运行时使用渠道](setting-up-trusted-entity.md)的可信实体角色。我们建议您创建一个单独的可信实体角色 MediaLive 以用于 Link 设备。通道的权限非常复杂。设备的权限非常简单。对它们进行区分。

** MediaLive 需要的权限**

要使用 Link 设备， MediaLive 必须拥有 Secrets Manager 中 MediaConnect 和中的操作和资源的权限：
+ 对于 MediaConnect： MediaLive 必须能够读取有关流程的详细信息。
+ 对于 Secrets Manager：设备始终对其发送到 MediaConnect的内容进行加密。它使用加密密钥进行加密，. MediaLiveprovides MediaLive 进而从 MediaConnect 用户存储在 Secrets Manager 中的密钥中获取加密密钥。因此， MediaLive 需要权限才能读取存储在机密中的加密密钥。

此表指定了所需的操作和资源。


| Permissions | IAM 中的服务名称 | 操作 | 资源 | 
| --- | --- | --- | --- | 
| 查看流的详细信息 | mediaconnect |  `DescribeFlow`    | 所有资源 | 
| 从密钥中获取加密密钥。请参阅此表后面的解释。 | secretsmanager |  `GetSecretValue`  | 包含 MediaLive 需要访问的加密密钥的每个密钥的 ARN | 

**Topics**
+ [步骤 1：创建 IAM 策略](#device-iam-medialive-policy)
+ [第 2 步：设置可信实体角色](#device-iam-medialive-role)

## 步骤 1：创建 IAM 策略
<a name="device-iam-medialive-policy"></a>

在此步骤中，您将创建一个策略，声明“允许主体访问指定资源上的指定 Secrets Manager 操作”。请注意，该策略未指定主体。在下一步中设置可信实体角色时，您可以指定主体。

1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在左侧的导航窗格中，选择**策略**。选择 **Create policy**（创建策略），然后选择 **JSON** 选项卡。

1. 在**策略编辑器**中，清除示例内容并粘贴以下内容：

1. 在 **secretsmanager** 的**资源**部分中，将区域、账户和密钥名称替换为实际值。

1. 在**资源**部分或 `secretsmanager` 中添加更多行，每个密钥一行。确保在所有行（除最后一行外）的末尾都添加一个逗号。例如：

   ```
         "Resource": [
           "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL",
           "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30",
           "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01"
         ]
   ```

1. 为策略命名，以明确此策略适用于 Link 和流。例如 `medialiveForLinkFlowAccess`。

1. 选择**创建策略**。

## 第 2 步：设置可信实体角色
<a name="device-iam-medialive-role"></a>

在此步骤中，您将创建一个由信任策略（“让我们 MediaLive `AssumeRole`采取行动”）和策略（您刚刚创建的策略）组成的角色。通过这种方式， MediaLive 拥有担任该角色的权限。当它担任角色时，它将获得策略中指定的权限。

1. 在 IAM 控制台的左侧导航窗格中，选择**角色**，然后选择**创建角色**。此时系统会显示**创建角色**向导。此向导将引导您设置可信实体和添加权限（通过添加策略）。

1. 在**选择可信实体**页面上，选择**自定义信任策略**卡片。**自定义信任策略**部分会显示，其中包含示例策略。

1. 删除示例，复制以下文本，然后将文本粘贴到**自定义信任策略**部分。**自定义信任策略**部分现在如下所示：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
   	{
               "Effect": "Allow",
               "Principal": {
                   "Service": "medialive.amazonaws.com"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. 选择**下一步**。

1. 在**添加权限**页面上，找到您创建的策略（例如 `medialiveForLinkFlowAccess`），然后选中相应的复选框。然后选择**下一步**。

1. 在审核页面上，输入角色的名称。例如 `medialiveRoleForLinkFlowAccess`。

1. 选择**创建角色**。