本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置 MediaPackage
在开始使用 AWS Elemental MediaPackage (MediaPackage) 之前,您必须注册 AWS (如果您还没有 AWS 账户)并创建允许访问的 IAM 用户和角色 MediaPackage。这包括为您自己创建一个 IAM 角色。如果您想使用加密来保护您的内容,则还必须将加密密钥存储在中 AWS Secrets Manager,然后授予从您的 Secrets Manager 帐户获取密钥的 MediaPackage权限。
本节将指导您完成配置要访问的用户和角色所需的步骤 MediaPackage。有关身份和访问管理的背景信息和其他信息 MediaPackage,请参阅[适用于 Identity and Access Managem AWS Elemental MediaPackage](security-iam.md)。
**Topics**
+ [报名参加 AWS](setting-up-aws-sign-up.md)
+ [创建策略和非管理角色](setting-up-create-non-admin-iam.md)
+ [AWS Elemental MediaPackage 允许访问其他 AWS 服务](setting-up-create-trust-rel.md)
+ [(可选)设置加密](set-up-encryption.md)
+ [(可选)安装 AWS CLI](setting-up-install-cli.md)
# 报名参加 AWS
**Topics**
+ [注册获取 AWS 账户](#sign-up-for-aws)
+ [创建具有管理访问权限的用户](#create-an-admin)
## 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**报名参加 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
## 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
# 创建策略和非管理角色
默认情况下,用户和角色没有创建或修改 MediaPackage 资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关由 MediaPackage定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权参考*》 AWS Elemental MediaPackage中的[操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediapackage.html)。 ARNs
本节介绍如何创建策略和创建非管理角色,以便用户可以创建或修改 MediaPackage 资源。本部分还介绍您的用户如何担任该角色以授予安全临时凭证。
**Topics**
+ [(可选)步骤 1:为亚马逊创建 IAM 策略 CloudFront](#setting-up-create-non-admin-iam-cf)
+ [(可选)步骤 2:为 MediaPackage VOD 创建 IAM 策略](#setting-up-create-non-admin-iam-vod)
+ [步骤 3:在 IAM 控制台中创建角色](#setting-up-create-role)
+ [步骤 4:从 IAM 控制台担任角色或 AWS CLI](#setting-up-create-nonadmin-roles-assume-role)
## (可选)步骤 1:为亚马逊创建 IAM 策略 CloudFront
如果您或您的用户将通过 AWS Elemental MediaPackage 实时控制台创建 Amazon CloudFront 分配,请创建允许访问的 IAM 策略 CloudFront。
有关 CloudFront 与一起使用的更多信息 MediaPackage,请参阅[与 CDNs](cdns.md)。
**使用 JSON 策略编辑器创建策略**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**策略**。
如果这是您首次选择**策略**,则会显示**欢迎访问托管式策略**页面。选择**开始使用**。
1. 在页面的顶部,选择**创建策略**。
1. 在**策略编辑器**部分,选择 **JSON** 选项。
1. 输入以下 JSON 策略文档:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution",
"cloudfront:CreateDistributionWithTags",
"cloudfront:UpdateDistribution",
"cloudfront:CreateDistribution",
"cloudfront:TagResource",
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
1. 选择**下一步**。
**注意**
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过,如果您进行更改或在**可视化**编辑器中选择**下一步**,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅*《IAM 用户指南》*中的[调整策略结构](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**查看并创建**页面上,为您要创建的策略输入**策略名称**和**描述**(可选)。查看**此策略中定义的权限**以查看策略授予的权限。
1. 选择**创建策略**可保存新策略。
## (可选)步骤 2:为 MediaPackage VOD 创建 IAM 策略
如果您或您的用户将在中使用视频点播 (VOD) 功能 MediaPackage,请创建允许访问`mediapackage-vod`服务资源的 IAM 策略。
以下部分描述如何创建一个允许所有操作的策略和一个允许只读权限的策略。您可以通过添加或删除操作来自定义策略以适合您的工作流程。
### 完全访问 VOD 的策略
此策略允许用户对所有 VOD 资源执行所有操作。
**使用 JSON 策略编辑器创建策略**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**策略**。
如果这是您首次选择**策略**,则会显示**欢迎访问托管式策略**页面。选择**开始使用**。
1. 在页面的顶部,选择**创建策略**。
1. 在**策略编辑器**部分,选择 **JSON** 选项。
1. 输入以下 JSON 策略文档:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "mediapackage-vod:*",
"Resource": "*"
}
]
}
```
1. 选择**下一步**。
**注意**
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过,如果您进行更改或在**可视化**编辑器中选择**下一步**,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅*《IAM 用户指南》*中的[调整策略结构](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**查看并创建**页面上,为您要创建的策略输入**策略名称**和**描述**(可选)。查看**此策略中定义的权限**以查看策略授予的权限。
1. 选择**创建策略**可保存新策略。
### 只读访问 VOD 的策略
该策略允许用户查看所有 VOD 资源。
**使用 JSON 策略编辑器创建策略**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**策略**。
如果这是您首次选择**策略**,则会显示**欢迎访问托管式策略**页面。选择**开始使用**。
1. 在页面的顶部,选择**创建策略**。
1. 在**策略编辑器**部分,选择 **JSON** 选项。
1. 输入以下 JSON 策略文档:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mediapackage-vod:List*",
"mediapackage-vod:Describe*"
],
"Resource": "*"
}
]
}
```
1. 选择**下一步**。
**注意**
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过,如果您进行更改或在**可视化**编辑器中选择**下一步**,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅*《IAM 用户指南》*中的[调整策略结构](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**查看并创建**页面上,为您要创建的策略输入**策略名称**和**描述**(可选)。查看**此策略中定义的权限**以查看策略授予的权限。
1. 选择**创建策略**可保存新策略。
## 步骤 3:在 IAM 控制台中创建角色
在 IAM 控制台中为您创建的每个策略创建一个角色。进行此操作用户就可以承担角色,而不是为每个用户附加单独的策略。
**要在 IAM 控制台中创建角色**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在 IAM 控制台的导航窗格中,选择**角色**,然后选择**创建角色**。
1. 在**选择可信实体**下,选择 **AWS 账户**。
1. 在 “** AWS 帐户**” 下,选择将担任此角色的用户所在的账户。
+ 如果第三方将访问此角色,最佳做法是选择**需要外部 ID**。有关外部的更多信息 IDs,请参阅 *IAM 用户指南*中的[使用外部 ID 进行第三方访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)。
+ 最佳做法是要求多重身份验证(MFA)。您可以选中**需要 MFA** 旁边的复选框。有关更多信息,请参阅《IAM 用户指南》**中的[使用多重身份验证(MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
1. 选择**下一步**。
1. 在 “**权限策略”** 下,搜索并添加具有相应 MediaPackage 权限级别的策略。
+ 要访问实时功能,请选择下列选项之一:
+ 用于**AWSElementalMediaPackageFullAccess**允许用户对中的所有实时资源执行所有操作 MediaPackage。
+ 用于**AWSElementalMediaPackageReadOnly**为用户提供中所有实时资源的只读权限 MediaPackage。
+ 对于访问视频点播 (VOD) 功能,请使用您在 [(可选)步骤 2:为 MediaPackage VOD 创建 IAM 策略](#setting-up-create-non-admin-iam-vod) 中创建的策略。
1. 添加策略以允许 MediaPackage 控制台代表用户向 Amaz CloudWatch on 拨打电话。如果没有这些策略,该用户将只能使用服务的 API (而不是控制台)。请选择以下选项之一:
+ 用于**ReadOnlyAccess**允许 MediaPackage 与 CloudWatch您通信并向用户提供对您账户中所有 AWS 服务的只读访问权限。
+ 使用**CloudWatchReadOnlyAccess**CloudWatchEventsReadOnlyAccess****、和**CloudWatchLogsReadOnlyAccess** MediaPackage 允许与 CloudWatch用户通信并限制用户的只读访问权限 CloudWatch。
1. (可选)如果此用户要通过 MediaPackage 控制台创建 Amazon CloudFront 分配,请附上您在中创建的政策[(可选)步骤 1:为亚马逊创建 IAM 策略 CloudFront](#setting-up-create-non-admin-iam-cf)。
1. (可选)设置[权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。这是一项高级特征,可用于服务角色,但不可用于服务相关角色。
1. 展开 **Permissions boundary**(权限边界)部分,然后选择 **Use a permissions boundary to control the maximum role permissions**(使用权限边界控制最大角色权限)。IAM 包含您账户中的 AWS 托管策略和客户托管策略列表。
1. 选择要用于权限边界的策略,或选择**创建策略**以打开新的浏览器选项卡并从头开始创建新策略。有关更多信息,请参阅 *IAM 用户指南* 中的[创建 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start)。
1. 创建策略后,关闭该选项卡并返回到原始选项卡,选择要用于权限边界的策略。
1. 验证是否已将正确的策略添加到该组,然后选择**下一步**。
1. 如果可能,输入有助于识别该角色的作用的角色名称或角色名称后缀。角色名称在您的 AWS 账户内必须是唯一的。它们不按大小写区分。例如,您无法同时创建名为 **PRODROLE** 和 **prodrole** 的角色。由于多个单位可能引用该角色,角色创建完毕后无法编辑角色名称。
1. (可选)对于 **Description**(描述),输入新角色的描述。
1. 在 **Step 1: Select trusted entities**(步骤 1:选择可信实体)或 **Step 2: Select permissions**(步骤 2:选择权限)部分中的 **Edit**(编辑),以编辑角色的用户案例和权限。
1. (可选)通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 *《IAM 用户指南》* 中的[标记 IAM 资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 检查角色,然后选择 **Create role**。
## 步骤 4:从 IAM 控制台担任角色或 AWS CLI
查看以下资源,了解如何授予用户承担角色的权限,以及用户如何从 IAM 控制台或 AWS CLI切换到角色。
+ 有关授予用户切换角色权限的更多信息,请参阅《IAM 用户指南》**中的[授予用户切换角色的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)。
+ 有关切换角色(控制台)的更多信息,请参阅《IAM 用户指南》**中的 [切换到角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)。
+ 有关切换角色(AWS CLI)的更多信息,请参阅《IAM 用户指南》**中的[切换到 IAM 角色(AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html)。
# AWS Elemental MediaPackage 允许访问其他 AWS 服务
某些功能需要您 MediaPackage 允许访问其他 AWS 服务,例如 Amazon S3 和 AWS Secrets Manager (Secrets Manager)。要允许此访问,请创建具有相应权限的 IAM 角色和策略。以下步骤描述了如何为 MediaPackage 功能创建角色和策略。
**Topics**
+ [步骤 1:创建策略](#setting-up-create-trust-rel-policy)
+ [步骤 2:创建角色](#setting-up-create-trust-rel-role)
+ [步骤 3:修改信任关系](#setting-up-create-trust-rel-trust)
## 步骤 1:创建策略
IAM 策略定义了 AWS Elemental MediaPackage (MediaPackage) 访问其他服务所需的权限。
+ 对于视频点播 (VOD) 工作流程,请创建 MediaPackage 允许从 Amazon S3 存储桶读取、验证计费方式和检索内容的策略。对于计费方式, MediaPackage 必须验证存储桶*不*要求请求者为请求付费。如果存储桶启用了 **requestPayment**,则 MediaPackage 无法从该存储桶中提取内容。
+ 对于 live-to-VOD工作流程,请创建 MediaPackage 允许从 Amazon S3 存储桶读取数据并将 live-to-VOD资产存储在其中存储的策略。
+ 要获得内容分发网络 (CDN) 授权,请在 Secrets Manager 中创建一个 MediaPackage 允许读取密钥的策略。
以下各部分介绍如何创建这些策略。
### 针对 VOD 工作流的 Amazon S3 访问策略
如果您使用 MediaPackage 从 Amazon S3 存储桶中提取 VOD 资产并打包和交付该资产,则需要一项允许您在 Amazon S3 中执行以下操作的策略:
+ `GetObject`- MediaPackage 可以从存储桶中检索 VOD 资产。
+ `GetBucketLocation`- MediaPackage 可以检索存储桶的区域。存储桶必须与 MediaPackage VOD 资源位于同一区域。
+ `GetBucketRequestPayment`- MediaPackage 可以检索付款申请信息。 MediaPackage 使用此信息来验证存储桶是否不需要请求者为内容请求付费。
如果您还使用 live-to-VOD资产 MediaPackage 收集,请将`PutObject`操作添加到策略中。有关 live-to-VOD工作流程所需策略的更多信息,请参阅[live-to-VOD工作流程政策](#setting-up-create-trust-rel-policy-ltov)。
**使用 JSON 策略编辑器创建策略**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**策略**。
如果这是您首次选择**策略**,则会显示**欢迎访问托管式策略**页面。选择**开始使用**。
1. 在页面的顶部,选择**创建策略**。
1. 在**策略编辑器**部分,选择 **JSON** 选项。
1. 输入以下 JSON 策略文档:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:GetBucketLocation",
"s3:GetBucketRequestPayment",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket_name/*",
"arn:aws:s3:::bucket_name"
],
"Effect": "Allow"
}
]
}
```
1. 选择**下一步**。
**注意**
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过,如果您进行更改或在**可视化**编辑器中选择**下一步**,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅*《IAM 用户指南》*中的[调整策略结构](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**查看并创建**页面上,为您要创建的策略输入**策略名称**和**描述**(可选)。查看**此策略中定义的权限**以查看策略授予的权限。
1. 选择**创建策略**可保存新策略。
### live-to-VOD工作流程政策
如果您曾经从直播中获取 live-to-VOD资产,则 MediaPackage 需要一项允许您在 Amazon S3 中执行以下操作的策略:
+ `PutObject`: MediaPackage 可以将 VOD 资产保存在存储桶中。
+ `GetBucketLocation`: MediaPackage 可以检索存储桶的区域。存储桶必须与 MediaPackage VOD 资源位于相同的 AWS 区域。
如果您还使用 V MediaPackage OD 资产交付,请将以下操作添加到策略中:`GetObject`和。`GetBucketRequestPayment`有关 VOD 工作流程所需策略的更多信息,请参阅[针对 VOD 工作流的 Amazon S3 访问策略](#setting-up-create-trust-rel-policy-vod)。
**使用 JSON 策略编辑器创建策略**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**策略**。
如果这是您首次选择**策略**,则会显示**欢迎访问托管式策略**页面。选择**开始使用**。
1. 在页面的顶部,选择**创建策略**。
1. 在**策略编辑器**部分,选择 **JSON** 选项。
1. 输入以下 JSON 策略文档:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket_name/*",
"arn:aws:s3:::bucket_name"
],
"Effect": "Allow"
}
]
}
```
1. 选择**下一步**。
**注意**
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过,如果您进行更改或在**可视化**编辑器中选择**下一步**,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅*《IAM 用户指南》*中的[调整策略结构](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**查看并创建**页面上,为您要创建的策略输入**策略名称**和**描述**(可选)。查看**此策略中定义的权限**以查看策略授予的权限。
1. 选择**创建策略**可保存新策略。
### 针对 CDN 授权的 Secrets Manager 访问策略
如果您使用内容分发网络 (CDN) 授权标头来限制对中终端节点的访问 MediaPackage,则需要一个允许您在 Secrets Manager 中执行以下操作的策略:
+ `GetSecretValue`- MediaPackage 可以从密钥的某个版本中检索加密的授权码。
+ `DescribeSecret`- MediaPackage 可以检索密钥的详细信息,不包括加密字段。
+ `ListSecrets`- MediaPackage 可以检索 AWS 账户中的机密列表。
+ `ListSecretVersionIds`: MediaPackage 可以检索附加到指定密钥的所有版本。
**注意**
对于存储在 Secrets Manager 中的每个密钥,您不需要单独的策略。如果您创建类似于以下过程所述的策略,则 MediaPackage 可以访问该区域中您账户中的所有密钥。
**使用 JSON 策略编辑器创建策略**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**策略**。
如果这是您首次选择**策略**,则会显示**欢迎访问托管式策略**页面。选择**开始使用**。
1. 在页面的顶部,选择**创建策略**。
1. 在**策略编辑器**部分,选择 **JSON** 选项。
1. 输入以下 JSON 策略文档:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:region:account-id:secret:secret-name"
]
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id:role/role-name"
}
]
}
```
1. 选择**下一步**。
**注意**
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过,如果您进行更改或在**可视化**编辑器中选择**下一步**,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅*《IAM 用户指南》*中的[调整策略结构](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**查看并创建**页面上,为您要创建的策略输入**策略名称**和**描述**(可选)。查看**此策略中定义的权限**以查看策略授予的权限。
1. 选择**创建策略**可保存新策略。
## 步骤 2:创建角色
IAM [角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色与 IAM 用户类似,因为它是一个具有权限策略的 AWS 身份,该策略决定了该身份可以做什么和不能做什么 AWS。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当你担任角色时,它会为你的角色会话提供临时安全证书。创建一个在从 Amazon S3 提取源内容时 AWS Elemental MediaPackage 扮演的角色。
创建角色时,您选择亚马逊弹性计算云 (Amazon EC2) 作为可信实体,该实体可以代替该角色, MediaPackage 因为该实体不可选。在中[步骤 3:修改信任关系](#setting-up-create-trust-rel-trust),您将可信实体更改为 MediaPackage。
有关创建服务角色的信息,请参阅 *IAM 用户指南*中的[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## 步骤 3:修改信任关系
信任关系定义哪些实体可以担任您在 [步骤 2:创建角色](#setting-up-create-trust-rel-role) 中创建的角色。创建角色并建立可信关系时,选择 Amazon EC2 作为可信实体。修改角色,使您的 AWS 账户与之间建立信任关系 AWS Elemental MediaPackage。
**将信任关系更改为 MediaPackage**
1. 访问您在 [步骤 2:创建角色](#setting-up-create-trust-rel-role) 中创建的角色。
如果尚未显示角色,请在 IAM 控制台的导航窗格中选择**角色**。搜索并选择您创建的角色。
1. 在角色的 **Summary (摘要)** 页面上,选择 **Trust relationships (信任关系)**。
1. 选择**编辑信任关系**。
1. 在 **Edit Trust Relationship (编辑信任关系)** 页面上的 **Policy Document (策略文档)** 中,将 `ec2.amazonaws.com` 更改为 `mediapackage.amazonaws.com`。
策略文档现在看上去应类似于:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "mediapackage.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
如果您在可选择加入的地区使用 MediaPackage 和相关服务,则必须在政策文档的`Service`部分中列出该区域。例如,如果您在亚太地区(墨尔本)地区使用服务,则政策文件如下所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"mediapackage.amazonaws.com",
"mediapackage.ap-southeast-4.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 选择**更新信任策略**。
1. 在 **Summary (摘要)** 页面上,记下 **Role ARN (角色 ARN)** 中的值。在为视频点播 (VOD) 工作流程提取源内容时,您可以使用该 ARN。该 ARN 如下所示:
`arn:aws:iam::111122223333:role/role-name`
在示例中,*111122223333*是您的 AWS 账号。
# (可选)设置加密
通过内容加密和数字版权管理 (DRM) 保护您的内容免遭未经授权的使用。 AWS Elemental MediaPackage 使用[AWS 安全打包器和编码器密钥交换 (SPEKE) API](https://aws.amazon.com/media/tech/speke-basics-secure-packager-encoder-key-exchange-api/) 来简化 DRM 提供商对内容的加密和解密。使用 SPEKE,DRM 提供商 MediaPackage 通过 SPEKE API 向其提供加密密钥。DRM 提供商还为受支持的媒体播放器提供解密许可证。有关如何将 SPEKE 与在云中运行的服务和功能结合使用的更多信息,请参阅《Secure Packager and Encoder Key Exchange API 规范指南》**中的 [AWS 基于云的架构](https://docs.aws.amazon.com/speke/latest/documentation/what-is-speke.html#services-architecture)。
要加密内容,您必须具有 DRM 解决方案提供商,并且设置为使用加密。有关更多信息,请参阅 [内容加密和 DRM AWS Elemental MediaPackage](using-encryption.md)。
# (可选)安装 AWS CLI
要与 AWS CLI 一起使用 AWS Elemental MediaPackage,请安装最新 AWS CLI 版本。有关安装 AWS CLI 或将其升级到最新版本的信息,请参阅*AWS Command Line Interface 用户指南 AWS Command Line Interface*[中的安装](https://docs.aws.amazon.com/cli/latest/userguide/installing.html)。