本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为用户设置 IAM 权限
本节介绍 IAM 管理员必须向用户和其他 AWS 身份分配的权限,以便他们能够配置 Link 设备以处理 MediaLive 输入或 MediaConnect 流程。
此信息补充了有关设置用户使用所有 MediaLive 功能的信息。请按如下方式阅读此信息:
+ 如果您的组织中有用户只会与 MediaLive 他们合作部署设备并将其配置为来源,并且您希望遵守*最低权限*规则,请阅读本节。
+ 如果您的组织中有将部署设备、使用这些设备并使用所有 MediaLive 功能的用户,请参阅[的要求 AWS Elemental Link](requirements-for-link.md)。您应该修改他们的现有策略,以包含设备权限。
本部分假定您已经执行以下任务:
+ 为了注册和创建管理员,您已经执行了[设置使用的初步步骤 MediaLive](setting-up.md)中所述 MediaLive 的初始设置。
+ 您已阅读中[适用于 AWS Elemental 的身份和访问管理 MediaLive](security-iam.md)有关如何创建管理员、用户和其他 AWS 身份的建议。
**Topics**
+ [所需的权限](#device-iam-permissions)
+ [创建策略](#device-iam-policy)
## 所需的权限
您必须为多个服务中的操作分配权限,如下表所述。
| Permissions | IAM 中的服务名称 | 操作 |
| --- | --- | --- |
| 查看、配置和管理 Link 设备 | medialive | `DescribeInputDevice` `DescribeInputDeviceThumbnail` `ListInputDevices` `RebootInputDevice` `StartInputDeviceMaintenanceWindow` `StartInputDevice` `StopInputDevice` `UpdateInputDevice` |
| 处理 Link 设备的传输 | medialive | `AcceptInputDeviceTransfer` `CancelInputDeviceTransfer` `ClaimDevice` `ListInputDeviceTransfers` `RejectInputDeviceTransfer` `TransferInputDevice` |
| 在 MediaLive 控制台上,在下拉列表中查看 MediaConnect 流程。此下拉列表在**设备详细信息**页面上**附件**选项卡的**流 ARN** 字段中显示。 | mediaconnect | ListFlows |
| 在 MediaLive 主机上,在下拉列表中查看 Secrets Manager 密钥。此下拉列表在**设备详细信息**页面上**附件**选项卡的**密钥 ARN** 字段中显示。 | secretsmanager | ListSecrets |
| 在 MediaLive 控制台的下拉列表中查看 IAM 角色。此下拉列表在**设备详细信息**页面上**附件**选项卡的**角色 ARN** 字段中显示。 | IAM | ListRoles |
## 创建策略
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**策略**。选择 **Create policy**(创建策略),然后选择 **JSON** 选项卡。
1. 在**策略编辑器**中,清除示例内容并粘贴在此程序之后显示的策略。
1. 为策略命名,明确说明此策略用于使用 Link。例如 `ElementalLinkAccess`。
1. 选择**创建策略**。
示例策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"medialive:DescribeInputDevice",
"medialive:DescribeInputDeviceThumbnail",
"medialive:ListInputDevices",
"medialive:RebootInputDevice",
"medialive:StartInputDeviceMaintenanceWindow",
"medialive:StartInputDevice",
"medialive:StopInputDevice",
"medialive:UpdateInputDevice"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"medialive:AcceptInputDeviceTransfer",
"medialive:CancelInputDeviceTransfer",
"medialive:ClaimDevice",
"medialive:ListInputDeviceTransfers",
"medialive:RejectInputDeviceTransfer",
"medialive:TransferInputDevice"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"mediaconnect:ListFlows"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------