本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 可信实体的访问要求
下表显示了 MediaLive 可信实体可能需要的所有权限类型。[确定可 MediaLive 信实体的访问要求时,请参阅](complex-scenario-create-trusted-entity-role-step1.md)此表。
该列中的每一行都描述了 MediaLive 可信实体可能需要为用户执行的一项或一组相关任务。第三列描述了可信实体执行该任务所需的访问类型。最后一列列出了控制该访问的 IAM 操作或策略。
****
- **AWS Elemental MediaLive **
- **任务:** 使用 MediaLive 功能。
- **所需的访问类型:** MediaLive 不需要访问自身。只有用户需要访问权限。
- **建议的操作或策略:**
- **AWS CloudTrail**
- **任务:** 捕捉 MediaLive 活动。
- **所需的访问类型:** MediaLive 此任务不需要 IAM 访问权限。
- **建议的操作或策略:**
- **CloudWatch **
- **任务:** 在控制台上显示 CloudWatch 指标信息,以监控频道运行状况。
- **所需的访问类型:** MediaLive 此任务不需要 IAM 访问权限。只有用户需要访问权限。
- **建议的操作或策略:**
- ** CloudWatch 活动和 Amazon SNS **
- **任务:** 设置电子邮件通知,以便用户可以收到有关发送到 CloudWatch 事件的 MediaLive 警报的通知。
- **所需的访问类型:** MediaLive 不需要访问权限即可完成此任务。只有用户需要访问权限。
- **建议的操作或策略:**
- **CloudWatch 日志**
- **任务:** 频道运行时将频道 CloudWatch 日志信息发送到日志。
- **所需的访问类型:** 通道运行时。MediaLive 必须能够向日志发送 CloudWatch 日志消息.
- **建议的操作或策略:** `CreateLogGroup`
`CreateLogStream`
`PutLogEvents`
`PutMetricFilter`
`PutRetentionPolicy`
`DescribeLogStreams`
`DescribeLogGroups`
以及下列资源:
`arn:aws:logs:`\*
`arn:aws:log-group:`\*
- **Amazon EC2**
- **任务:** 创建 CDI VPC、RTP VPC 输入或 RTMP VPC 推送输入。 / **所需的访问类型:** 用户创建 VPC 输入时。MediaLive 必须具有对 Amazon EC2 的写入权限 以便为输入创建网络接口。 / **建议的操作或策略:** `CreateNetworkInterface`
`CreateNetwork InterfacePermission`
`DescribeNetworkInterfaces`
`DescribeSecurityGroups`
`DescribeSubnets`
- **任务:** 删除 CDI VPC、RTP VPC 输入或 RTMP VPC 推送输入。 / **所需的访问类型:** 用户删除 VPC 输入时。MediaLive 必须具有对 Amazon Elastic Compute Cloud 的写入权限才能删除输入的网络接口。 / **建议的操作或策略:** `DeleteNetworkInterface`
`DeleteNetworkInterfacePermission`
`DescribeNetworkInterfaces`
`DescribeSubnets`
- **任务:** 设置通过 VPC 传输输出的通道 / **所需的访问类型:** 在您的 VPC 上创建和删除弹性网络接口。MediaLive 在子网中为信道管道端点创建这些网络接口。 / **建议的操作或策略:** `CreateNetworkInterface`
`CreateNetworkInterfacePermission`
`DeleteNetworkInterface`
`DescribeSubnets`
`DescribeSecurityGroups`
`DescribeAddresses`
- **所需的访问类型:** 将弹性 IP 地址与 MediaLive创建的弹性网络接口相关联。关联弹性 IP 地址是可选的。无需授予 `DisassociateAddress` 访问权限。 MediaLive 删除任何不必要的网络接口时,弹性 IP 地址将自动取消与网络接口的关联。 / **建议的操作或策略:** AssociateAddress`DescribeAddresses`
- ** AWS Elemental Inference**
- **任务:** 在频道中包含元素推理功能。有关这些功能的列表,请参阅[AWS Elemental Inference](elemental-inference.md)。
- **所需的访问类型:** 通道运行时。MediaLive 必须能够向 Elemental Inference 提供源视频并获取 Elemental Inference 生成的元数据。
- **建议的操作或策略:** GetMetadata`PutMedia`
- **AWS Elemental MediaConnect**
- **任务:** 创建 MediaConnect 输入。 / **所需的访问类型:** 当用户创建 MediaConnect 输入时。MediaLive 必须对该流程具有读/写访问权限,才能向该 MediaConnect 流程添加输出。 / **建议的操作或策略:** ManagedDescribeFlow`ManagedAddOutput`
要在策略中包含这些以“托管”开头的操作,必须在 **JSON** 选项卡中查看策略并输入操作的名称。您不能使用**可视化编辑器**选择这些操作。
- **任务:** 删除 MediaConnect 输入。 / **所需的访问类型:** 当用户删除 MediaConnect 输入时。MediaLive 应该具有对 MediaConnect 流的读/写访问权限,以便删除流程上的输出,因为不再需要这些输出。 / **建议的操作或策略:** ManagedDescribeFlow`ManagedRemoveOutput`
要在策略中包含这些以“托管”开头的操作,必须在 **JSON** 选项卡中查看策略并输入操作的名称。您不能使用**可视化编辑器**选择这些操作。
- **任务:** 创建 MediaConnect 授权。当用户创建多路复用时, MediaLive会自动创建作为 MPTS 目标的授权。 / **所需的访问类型:** MediaLive 不需要访问权限即可完成此任务。 / **建议的操作或策略:**
- **AWS Elemental MediaPackage**
- **任务:** 如果您的部署使用此服务,则将频道输出发送到频道运行 MediaPackage 时。 / **所需的访问类型:** 当用户创建 MediaPackage 输出组时。MediaLive 必须具有 AWS Elemental MediaPackage 频道的读取权限,才能获得发送到该频道所需的凭证。 / **建议的操作或策略:** DescribeChannel
- **任务:** 如果您的部署使用的是该服务的版本 MediaPackage 2,则在频道运行时将频道输出发送到 v2。要以这种方式交付,您需要创建一个 HLS 输出组,而不是一个 MediaPackage 输出组。 / **所需的访问类型:** 通道运行时。当频道包含传送到使用 MediaPackage v2 的 MediaPackage 频道的 HLS 输出时。 MediaLive 必须具有 AWS Elemental MediaPackage 频道的写入权限。 / **建议的操作或策略:** mediapackagev2:PutObject
- **AWS Elemental MediaStore**
- **任务:** 如果您的部署使用此服务,则在频道运行时从 MediaStore 容器发送和检索资产。
- **所需的访问类型:** 通道运行时。MediaLive 必须具有读取权限(对于源)或 read/write 访问权限(对于目标)。
- **建议的操作或策略:** `ListContainers`
`DescribeObject`
`PutObject`
`GetObject`
`DeleteObject`
- **资源组标记**
- **任务:** 在创建资源(通道、输入和输入安全组)时附加标签,并修改现有资源的标签。
- **所需的访问类型:** MediaLive 此任务不需要 IAM 访问权限。只有用户需要访问权限。
- **建议的操作或策略:**
- **Amazon S3**
- **任务:** 如果您的部署使用此服务,则在通道运行时从 Amazon S3 存储桶发送和检索资产。 / **所需的访问类型:** 通道运行时。MediaLive 必须具有对存储桶的读取权限(对于源)或对存储桶的 read/write 访问权限(对于目标)。 / **建议的操作或策略:** `ListBucket`
`PutObject`
`GetObject`
`DeleteObject`
- **任务:** 如果通道启用了输入缩略图,则在通道运行时向 Amazon S3 存储桶发送缩略图。 / **所需的访问类型:** 通道运行时。MediaLive 必须具有读/写访问权限。 / **建议的操作或策略:** PutObject
- **AWS Secrets Manager**
- **任务:** 频道运行时发送 SRT 呼叫者输出。SRT 呼叫者的输出始终使用存储在 Secrets Manager 密钥中的密码进行加密。
- **所需的访问类型:** 通道运行时。MediaLive 必须能够读取存储在密钥中的值(密码)。
- **建议的操作或策略:** GetSecretValue
- **AWS Systems Manager**
- **任务:** 在 MediaLive 控制台上创建密码参数。 / **所需的访问类型:** MediaLive 此任务不需要 IAM 访问权限。只有用户需要访问权限。 / **建议的操作或策略:**
- **任务:** 在通道配置中使用密码参数。请参阅[AWS Systems Manager 密码参数要求](requirements-for-EC2.md)。 / **所需的访问类型:** 通道运行时。MediaLive 必须具有对 AWS Systems Manager 参数存储区的读取权限。 / **建议的操作或策略:** 托管策略 AmazonSSMRead OnlyAccess