本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將 MediaLive 設定為信任的實體
<a name="device-iam-for-medialive"></a>

如果您的組織將使用 Link 裝置作為 MediaConnect 流程的來源，IAM 管理員必須考慮 MediaLive 所需的特殊許可。

您必須將 MediaLive 設定為*信任的實體*。在信任的實體關係中，角色會將 MediaLive 識別為信任的實體。一或多個政策會連接到角色。而每個政策都包含允許操作和資源的相關陳述式。信任實體、角色與政策之間的鏈結會發出此陳述式：

「MediaLive 允許擔任此角色，以便對政策中指定的資源執行操作。」

**重要**  
您可能熟悉 MediaLive 在[執行時間使用頻道所需的](setting-up-trusted-entity.md)信任實體角色。我們建議您為 MediaLive 建立個別的信任實體角色，以搭配 Link 裝置使用。頻道的許可非常複雜。裝置許可非常簡單。將它們分開。

**MediaLive 所需的許可**

若要使用 Link 裝置，MediaLive 必須具有 MediaConnect 和 Secrets Manager 中操作和資源的許可：
+ 針對 MediaConnect：MediaLive 必須能夠讀取流程的詳細資訊。
+ 對於 Secrets Manager：裝置一律會加密傳送至 MediaConnect 的內容。它使用 MediaLiveprovides加密金鑰進行加密。然後，MediaLive 會從 MediaConnect 使用者存放在 Secrets Manager 中的秘密取得加密金鑰。因此，MediaLive 需要許可才能讀取存放在秘密中的加密金鑰。

此資料表指定必要的操作和資源。


| 許可 | IAM 中的服務名稱 | 動作 | Resources | 
| --- | --- | --- | --- | 
| 檢視流程的詳細資訊 | mediaconnect |  `DescribeFlow`    | 所有 資源 | 
| 從秘密取得加密金鑰。請參閱此表格後面的說明。 | secretsmanager |  `GetSecretValue`  | 擁有 MediaLive 需要存取之加密金鑰的每個秘密的 ARN | 

**Topics**
+ [步驟 1：建立 IAM 政策](#device-iam-medialive-policy)
+ [步驟 2：設定信任的實體角色](#device-iam-medialive-role)

## 步驟 1：建立 IAM 政策
<a name="device-iam-medialive-policy"></a>

在此步驟中，您會建立使陳述式「讓委託人可以存取指定資源上指定的 Secrets Manager 動作」的政策。請注意，政策不會指定委託人。當您設定信任的實體角色時，您可以在下一個步驟中指定委託人。

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在左側的導覽窗格中，選擇 **Policies (政策)**。選擇 **Create Policy** (建立政策)，然後選擇 **JSON** 標籤。

1. 在**政策編輯器**中，清除範例內容並貼上以下內容：

1. 在 **secretsmanager** **的資源**區段中，將區域、帳戶和秘密名稱取代為實際值。

1. 在**資源**區段或 中新增更多行`secretsmanager`，每個秘密各一行。請務必在最後一行以外的所有行尾端包含逗號。例如：

   ```
         "Resource": [
           "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL",
           "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30",
           "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01"
         ]
   ```

1. 為政策命名，以明確表示此政策適用於連結和流程。例如 `medialiveForLinkFlowAccess`。

1. 選擇**建立政策**。

## 步驟 2：設定信任的實體角色
<a name="device-iam-medialive-role"></a>

在此步驟中，您會建立角色，其中包含信任政策 (「let MediaLive 呼叫`AssumeRole`動作」) 和政策 （您剛建立的政策）。透過這種方式，MediaLive 具有擔任角色的許可。擔任角色時，它會取得政策中指定的許可。

1. 在 IAM 主控台的左側導覽窗格中，選擇**角色**，然後選擇**建立角色**。**建立角色**精靈隨即出現。此精靈會逐步引導您設定信任的實體，以及新增許可 （透過新增政策）。

1. 在**選取信任實體**頁面上，選擇**自訂信任政策**卡。隨即出現**自訂信任政策**區段，其中包含範例政策。

1. 清除範例、複製下列文字，然後將文字貼到**自訂信任政策**區段中。**自訂信任政策**區段現在如下所示：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
   	{
               "Effect": "Allow",
               "Principal": {
                   "Service": "medialive.amazonaws.com"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. 選擇**下一步**。

1. 在**新增許可**頁面上，尋找您建立的政策 （例如，`medialiveForLinkFlowAccess`)，然後選取核取方塊。然後選擇**下一步**。

1. 在檢閱頁面上，輸入角色的名稱。例如 `medialiveRoleForLinkFlowAccess`。

1. 選擇建**立角色**。