本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建实例角色
<a name="emla-deploy-instance-role"></a>

要使用 MediaLive Anywhere，必须创建可信实体配置，以便在 MediaLive 运行的本地节点硬件上 AWS Systems Manager 执行操作。您必须创建角色，附加一些包含特定内容的策略，并指定 AWS Systems Manager （Systems Manager）作为该角色的可信实体。

在此图中，角色位于粉色方框中，每个策略位于黄色方框中，每个可信实体位于蓝色方框中。

![\[Instance Role connected to three policies and a trust relationship with AWS Systems Manager.\]](http://docs.aws.amazon.com/zh_cn/medialive/latest/ug/images/instance-role-access.png)


创建此角色后，部署 MediaLive Anywhere 的 MediaLive 用户会将此角色附加到他们创建的每个集群。他们为每个集群附加相同的角色。此角色及其可信实体声明如下：

“对于此群集中的任何节点，允许 Systems Manager 担任此角色，以便对附加到该角色的策略中指定的资源执行操作。”

**Topics**
+ [创建策略](#emla-deploy-instance-role-policy)
+ [创建 角色](#emla-deploy-instance-role-create-role)

## 创建策略
<a name="emla-deploy-instance-role-policy"></a>

您必须创建 MediaLiveAnywhereAccess 策略。这是图中最上面的黄色方框。（您无需创建其他两个策略，因为它们是 IAM 中已存在的托管策略。）

1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在左侧的导航窗格中，选择**策略**。然后选择**创建策略**。在显示的页面上，选择 **JSON** 视图（而不是**视觉**视图）。

1. 删除示例的所有内容并复制以下文本。编辑文本，将的两个实例都更改*111122223333*为您的 AWS 账号。将修改后的文本粘贴到**策略编辑器**中。

   在第一条语句中，“Resource”行标识任何 AWS 区域中指定账户的任何集群（由账户前面的 **\$1** 通配符指定）。

   在第二条语句中，资源行用于标识任何 AWS 区域中指定账户中的（请注意，不需要通配符）。**MediaLiveAccessRole**

1. 选择**下一步**。为策略命名。我们推荐输入名称 **MediaLiveAnywhereAccess**。

1. 选择**创建策略**。

## 创建 角色
<a name="emla-deploy-instance-role-create-role"></a>

您必须创建实例角色。这是图中的粉色方框。

1. 在 IAM 控制台的左侧导航窗格中，选择**角色**，然后选择**创建角色**。此时系统会显示**创建角色**向导。此向导将引导您设置可信实体和添加权限（通过添加策略）。

1. 在**选择可信实体**页面上，选择**自定义信任策略**卡片。**自定义信任策略**部分会显示，其中包含示例语句。

1. 删除示例的所有内容，复制以下文本，然后将文本粘贴到**自定义信任策略**部分。选择**下一步**。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": ["medialive.amazonaws.com", "ssm.amazonaws.com"]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. 在**添加权限**页面上，找到以下策略并选中每个策略对应的复选框：
   + 您创建的策略。如果您遵循了建议，则此策略的名称为）`MediaLiveAnywhereAccess`
   + `AmazonEC2ContainerServiceforEC2Role` 策略
   + `AmazonSSMManagedInstanceCore` 策略

   在控制台上，**权限策略**标题旁边的计数器显示 **3/xxx**，表示您选择了三种策略。

1. 选择**下一步**。

1. 在审核页面上，输入角色的名称。我们推荐输入名称 **MediaLiveAnywhereInstanceRole**。

1. 选择**创建角色**。

1. 在角色的**摘要**页面，记下**角色 ARN** 中的值。它类似于以下内容：

   `arn:aws:iam::111122223333:role/MediaLiveAnywhereInstanceRole`

   在示例中，`111122223333`是您的 AWS 账号。