本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用频道安全组
您可以将 MediaLive 频道配置为使用频道安全组。频道安全组控制与频道输出相关的入站流量。此功能支持拉式输出,下游系统从中启动连接。 MediaLive
在监听器模式下配置 SRT 输出时,需要使用频道安全组。在监听器模式下, MediaLive 充当服务器,在本地套接字上监听外部系统以建立连接。
**Topics**
+ [关于频道安全组](channel-security-groups-about.md)
+ [何时使用频道安全组](channel-security-groups-use-cases.md)
+ [频道安全组的工作原理](channel-security-groups-how-it-works.md)
+ [规则和约束](channel-security-groups-rules.md)
+ [设置频道安全组](channel-security-groups-setup.md)
+ [管理频道安全组](channel-security-groups-manage.md)
# 关于频道安全组
频道安全组允许您控制哪些 IP 地址可以连接到您的 MediaLive 频道输出。这类似于输入安全组如何控制哪些 IP 地址可以将内容推送到 MediaLive 输入。
要配置频道安全组,请从您的账户中选择一个输入安全组。 MediaLive 使用该输入安全组中的 CIDR 允许列表规则来控制哪些下游系统可以连接到该通道的输出。
**主要特性**
+ 频道安全组引用输入安全组,并将其 CIDR 规则应用于通道的输出。
+ 您最多可以将一个频道安全组附加到一个频道。
+ 多个通道可以将同一个输入安全组作为其通道安全组进行引用。
+ 当您更新输入安全组中的 CIDR 规则时,这些更改会自动应用于所有将其称为其频道安全组的频道。
# 何时使用频道安全组
在以下情况下,需要使用频道安全组:
+ **监听器模式下的 SRT 输出**-在监听器模式下配置 SRT 输出时,必须将频道安全组附加到频道。频道安全组定义允许哪些下游系统(SRT 调用者)连接到 MediaLive 侦听器端点。
在以下情况下不使用频道安全组:
+ **SRT 呼叫者输出** — 当 MediaLive 充当呼叫者(发起与下游监听器的连接)时,不需要频道安全组,因为 MediaLive 正在进行出站连接。
+ **其他输出类型**-通道安全组不适用于其他输出类型,例如 HLS、 MediaPackage、Archive 或 UDP 输出。
+ **MediaLive Anywhere 频道** — 频道安全组不能与 AWS Elemental MediaLive Anywhere 频道一起使用。 MediaLive 任何地方的频道都使用不同的安全机制。
# 频道安全组的工作原理
当您将频道安全组附加到频道时, MediaLive 会执行以下操作:
1. MediaLive 从您选择的输入安全组中检索 CIDR 允许列表规则。
1. MediaLive 创建或更新安全组规则以控制对频道输出的访问权限。
1. 这些规则允许从指定 CIDR 块到您的 SRT 输出中配置的处于侦听器模式的端口的入站流量。
**与输入安全组的关系**
频道安全组和输入安全组的用途相似,但适用于频道的不同部分:
+ **输入安全组**-控制通道输入的入站流量。它们定义了可以将内容推送到哪些上游系统 MediaLive。
+ **频道安全组**-控制频道输出的入站流量。它们定义了可以连接到哪些下游系统 MediaLive 来提取内容。
两者都使用相同的底层机制:CIDR 允许列表存储在输入安全组中。这种设计允许您重复使用现有的输入安全组来实现频道安全,从而简化管理。
# 规则和约束
以下规则适用于频道安全组:
+ **每个频道最多一个** — 您最多可以将一个频道安全组附加到一个频道。
+ **监听器模式下的 SRT 输出是必需**的 — 如果您的频道至少包含一个在监听器模式下配置的 SRT 输出,则必须将频道安全组附加到该频道。
+ **不允许在监听器模式下没有 SRT 输出** — 无法将频道安全组附加到在监听器模式下未配置 SRT 输出的频道。
+ Anywhere **不支持 — MediaLive Anywhere** 频道安全组不能与 AWS Elemental MediaLive Anywhere 频道一起使用。
+ **VPC 通道不支持 — 频道**安全组不能用于配置了 VPC 输出传输的频道。
+ **无法在正在运行的频道上更改** — 只有在频道停止后,您才能添加、更改或删除频道安全组。
+ **输入安全组必须存在** — 您选择的输入安全组必须已经存在于您的账户中,然后才能将其用作频道安全组。
+ **自动更新**-更新输入安全组中的 CIDR 规则时,这些更改会自动应用于使用该输入安全组作为通道安全组的所有频道。您无需重启频道。
+ **无法删除正在使用的输入安全组**-如果输入安全组正被任何渠道用作频道安全组,则无法将其删除。您必须先从所有频道中移除频道安全组,或者删除这些频道。
# 设置频道安全组
要使用频道安全组,您必须首先拥有一个具有相应的 CIDR 允许列表规则的输入安全组。然后,您可以将该输入安全组作为频道安全组附加到您的频道。
**注意**
本节中的信息假设您熟悉[创建频道的一](creating-channel-scratch.md)般步骤以及[使用输入安全组](working-with-input-security-groups.md)。
# 步骤 1:创建或识别输入安全组
在创建频道之前,必须有一个输入安全组,其中包含下游系统的 CIDR 允许列表规则,这些系统将连接到在侦听器模式下配置的 SRT 输出。
1. 确定将连接到您的 MediaLive 频道的下游系统(SRT 呼叫者)的 IP 地址。这些系统将启动与之的连接 MediaLive。
1. 如果您还没有包含这些 IP 地址的输入安全组,请创建一个。有关说明,请参阅[创建输入安全组](create-input-security-groups.md)。
如果您已经有一个带有相应 CIDR 规则的输入安全组,则可以重复使用该安全组。同一个输入安全组既可用于输入安全,也可用于通道安全。
1. 记下输入的安全组 ID。创建频道时需要这个。
# 步骤 2:将频道安全组附加到频道
在监听器模式下创建带有 SRT 输出的频道时,必须附加频道安全组。
1. 在**创建通道**页面的导航窗格中,选择**通道和输入详细信息**。
1. 在 **“常规设置”** 部分中,找到 “**频道安全组**” 字段。
1. 从下拉列表中,选择要用作频道安全组的输入安全组。
下拉列表显示了您账户中的所有输入安全组,这些安全组由其 ID 和所有标签标识。
1. 继续创建频道,包括在监听器模式下配置 SRT 输出。有关创建 SRT 输出的信息,请参见[创建 SRT 输出组](opg-srt.md)。
**结果**
创建频道时,会从输入安全组中 MediaLive 检索 CIDR 规则,并应用这些规则来控制对频道输出的访问。IP 地址在允许列表中的下游系统现在可以连接到您频道上的 SRT 侦听器端点。
# 管理频道安全组
使用频道安全组创建频道后,您可以查看、更新或移除该频道安全组。
# 查看频道安全组详情
**查看频道的频道安全组**
1. 打开控制 MediaLive 台。
1. 在导航窗格中,选择 **Channels (通道)**。
1. 选择频道名称以查看其详细信息。
1. 在 “**详细信息**” 选项卡中,找到 “**渠道安全组**” 字段。此字段显示用作通道安全组的输入安全组的 ID。
1. 要查看输入安全组中的 CIDR 规则,请选择输入安全组 ID 链接。这将打开输入安全组详细信息页面。
# 更新或移除频道安全组
您可以更改哪个输入安全组用作频道安全组,也可以完全删除该频道安全组。但是,只有在频道停止后,您才能进行这些更改。
**更新或移除频道安全组**
1. 如果频道正在运行,请将其停止。
1. 在导航窗格中,选择 **Channels (通道)**。
1. 选择频道,然后选择 “**编辑”**。
1. 选择**频道,然后在导航窗格中输入详细信息**。
1. 在 **“常规设置”** 部分中,找到 “**频道安全组**” 字段。
1. 要更改频道安全组,请从下拉列表中选择其他输入安全组。
要移除频道安全组,请清除所选内容。请注意,只有同时从频道中移除在监听器模式下配置的所有 SRT 输出时,才能移除频道安全组。
1. 选择 “**更新频道**”。
# 更新 CIDR 规则
要更新频道安全组的 CIDR 允许列表规则,请更新底层输入安全组。更改会自动应用于使用该输入安全组作为频道安全组的所有频道。
**更新频道安全组的 CIDR 规则**
1. 在导航窗格中,选择 **Input security groups (输入安全组)**。
1. 选择用作频道安全组的输入安全组,然后选择**编辑**。
1. 根据需要更新 CIDR 规则。有关说明,请参阅[编辑输入安全组](edit-input-security-group.md)。
1. 选择**更新**。
**结果**
MediaLive 使用此输入安全组作为信道安全组,自动将更新后的 CIDR 规则应用于所有频道。您无需重启频道。更改将立即生效。