本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用頻道安全群組
<a name="feature-channel-security-groups"></a>

您可以設定 MediaLive 頻道以使用頻道安全群組。頻道安全群組控制與頻道輸出相關聯的傳入流量。此功能會啟用提取式輸出，其中下游系統會啟動與 MediaLive 的連線。

當您在接聽程式模式下設定 SRT 輸出時，需要通道安全群組。在接聽程式模式中，MediaLive 充當伺服器，接聽外部系統的本機通訊端以建立連線。

**Topics**
+ [關於頻道安全群組](channel-security-groups-about.md)
+ [何時使用頻道安全群組](channel-security-groups-use-cases.md)
+ [頻道安全群組的運作方式](channel-security-groups-how-it-works.md)
+ [規則和限制條件](channel-security-groups-rules.md)
+ [設定頻道安全群組](channel-security-groups-setup.md)
+ [管理頻道安全群組](channel-security-groups-manage.md)

# 關於頻道安全群組
<a name="channel-security-groups-about"></a>

頻道安全群組可讓您控制哪些 IP 地址可以連接到 MediaLive 頻道輸出。這類似於輸入安全群組如何控制哪些 IP 地址可以將內容推送到 MediaLive 輸入。

若要設定頻道安全群組，請從您的帳戶中選取輸入安全群組。MediaLive 使用 CIDR 允許來自該輸入安全群組的清單規則，以控制哪些下游系統可以連接到頻道的輸出。

**重要特性**
+ 頻道安全群組參考輸入安全群組，並將其 CIDR 規則套用至頻道的輸出。
+ 您最多可以將一個頻道安全群組連接到頻道。
+ 多個頻道可以參考與其頻道安全群組相同的輸入安全群組。
+ 當您更新輸入安全群組中的 CIDR 規則時，這些變更會自動套用至將其參考為其頻道安全群組的所有頻道。

# 何時使用頻道安全群組
<a name="channel-security-groups-use-cases"></a>

在下列情況中，需要頻道安全群組：
+ **接聽程式模式的 SRT 輸出** – 當您在接聽程式模式中設定 SRT 輸出時，必須將頻道安全群組連接至頻道。頻道安全群組會定義哪些下游系統 (SRT 發起人） 允許連接到 MediaLive 接聽程式端點。

在下列情況中，不會使用頻道安全群組：
+ **SRT 呼叫者輸出** – 當 MediaLive 做為呼叫者 （啟動與下游接聽程式的連線） 時，不需要頻道安全群組，因為 MediaLive 正在進行傳出連線。
+ **其他輸出類型** – 頻道安全群組不適用於其他輸出類型，例如 HLS、MediaPackage、 Archive 或 UDP 輸出。
+ **MediaLive Anywhere 頻道** – 頻道安全群組無法與 AWS Elemental MediaLive Anywhere 頻道搭配使用。MediaLive Anywhere 頻道使用不同的安全機制。

# 頻道安全群組的運作方式
<a name="channel-security-groups-how-it-works"></a>

當您將頻道安全群組連接到頻道時，MediaLive 會執行下列動作：

1. MediaLive 會從您選取的輸入安全群組擷取 CIDR 允許清單規則。

1. MediaLive 會建立或更新安全群組規則，以控制對頻道輸出的存取。

1. 這些規則允許從指定的 CIDR 區塊到 SRT 輸出中設定且處於接聽程式模式的連接埠的傳入流量。

**與輸入安全群組的關係**

頻道安全群組和輸入安全群組有類似的用途，但適用於頻道的不同部分：
+ **輸入安全群組** – 控制通道輸入的傳入流量。它們定義哪些上游系統可以將內容推送到 MediaLive。
+ **頻道安全群組** – 控制頻道輸出的傳入流量。它們定義哪些下游系統可以連接到 MediaLive 來提取內容。

兩者都使用相同的基礎機制：CIDR 允許儲存在輸入安全群組中的清單。此設計可讓您重複使用現有的輸入安全群組以實現通道安全，簡化管理。

# 規則和限制條件
<a name="channel-security-groups-rules"></a>

下列規則適用於頻道安全群組：
+ **每個頻道最多一個** – 您最多可以將一個頻道安全群組連接到頻道。
+ 在**接聽程式模式中的 SRT 輸出需要** – 如果您的頻道包含至少一個在接聽程式模式中設定的 SRT 輸出，您必須將頻道安全群組連接到頻道。
+ **不允許在接聽程式模式中沒有 SRT 輸出** – 您無法將頻道安全群組連接到未在接聽程式模式中設定 SRT 輸出的頻道。
+ **MediaLive Anywhere 不支援** – 頻道安全群組無法與 AWS Elemental MediaLive Anywhere 頻道搭配使用。
+ **VPC 頻道不支援** – 頻道安全群組無法與已設定 VPC 輸出交付的頻道搭配使用。
+ **無法在執行中的頻道上變更** – 您只能在頻道停止時新增、變更或移除頻道安全群組。
+ **輸入安全群組必須存在** – 您選擇的輸入安全群組必須已存在於您的帳戶中，才能將其用作頻道安全群組。
+ **自動更新** – 當您更新輸入安全群組中的 CIDR 規則時，這些變更會自動套用到使用該輸入安全群組做為頻道安全群組的所有頻道。您不需要重新啟動頻道。
+ **無法刪除使用中的輸入安全群組** – 如果輸入安全群組正由任何頻道用作頻道安全群組，則無法刪除該群組。您必須先從所有頻道移除頻道安全群組，或刪除這些頻道。

# 設定頻道安全群組
<a name="channel-security-groups-setup"></a>

若要使用頻道安全群組，您必須先擁有具有適當 CIDR 允許清單規則的輸入安全群組。然後，您可以將該輸入安全群組做為頻道安全群組連接到您的頻道。

**注意**  
本節中的資訊假設您熟悉[建立頻道](creating-channel-scratch.md)和[使用輸入安全群組](working-with-input-security-groups.md)的一般步驟。

# 步驟 1：建立或識別輸入安全群組
<a name="channel-security-groups-create-isg"></a>

在建立頻道之前，您必須有一個輸入安全群組，其中包含下游系統的 CIDR 允許清單規則，這些規則將連接到以接聽程式模式設定的 SRT 輸出。

1. 識別將連接到 MediaLive 頻道的下游系統 (SRT 發起人） IP 地址。這些是將啟動 MediaLive 連線的系統。

1. 如果您還沒有具有這些 IP 地址的輸入安全群組，請建立一個。如需說明，請參閱[建立輸入安全群組](create-input-security-groups.md)。

   如果您已經有具有適當 CIDR 規則的輸入安全群組，則可以重複使用它。相同的輸入安全群組可用於輸入安全和通道安全。

1. 請記下輸入安全群組 ID。建立頻道時，您將需要此項目。

# 步驟 2：將頻道安全群組連接至頻道
<a name="channel-security-groups-attach"></a>

當您以接聽程式模式建立具有 SRT 輸出的頻道時，您必須連接頻道安全群組。

1. 在**建立頻道**頁面上，選擇導覽窗格中的**頻道和輸入詳細資訊**。

1. 在**一般設定**區段中，尋找**頻道安全群組**欄位。

1. 從下拉式清單中，選取要用作頻道安全群組的輸入安全群組。

   下拉式清單會顯示您帳戶中的所有輸入安全群組，以其 ID 和任何標籤識別。

1. 繼續建立頻道，包括在接聽程式模式下設定 SRT 輸出。如需建立 SRT 輸出的資訊，請參閱 [建立 SRT 輸出群組](opg-srt.md)。

**結果**

當您建立頻道時，MediaLive 會從輸入安全群組擷取 CIDR 規則，並套用它們來控制對頻道輸出的存取。允許清單中 IP 地址的下游系統現在可以連接到頻道上的 SRT 接聽程式端點。

# 管理頻道安全群組
<a name="channel-security-groups-manage"></a>

使用頻道安全群組建立頻道之後，您可以檢視、更新或移除頻道安全群組。

# 檢視頻道安全群組詳細資訊
<a name="channel-security-groups-view"></a>

**檢視頻道的頻道安全群組**

1. 開啟 MediaLive 主控台。

1. 在導覽窗格中，選擇 **Channels (頻道)**。

1. 選擇頻道名稱以檢視其詳細資訊。

1. 在**詳細資訊**索引標籤中，尋找**頻道安全群組**欄位。此欄位會顯示用作頻道安全群組的輸入安全群組 ID。

1. 若要檢視輸入安全群組中的 CIDR 規則，請選擇輸入安全群組 ID 連結。這會開啟輸入安全群組詳細資訊頁面。

# 更新或移除頻道安全群組
<a name="channel-security-groups-update"></a>

您可以變更用作頻道安全群組的輸入安全群組，也可以完全移除頻道安全群組。不過，您只能在頻道停止時進行這些變更。

**更新或移除頻道安全群組**

1. 如果頻道正在執行，請停止頻道。

1. 在導覽窗格中，選擇 **Channels (頻道)**。

1. 選取頻道，然後選擇**編輯**。

1. 在導覽窗格中選擇**頻道和輸入詳細資訊**。

1. 在**一般設定**區段中，尋找**頻道安全群組**欄位。

1. 若要變更頻道安全群組，請從下拉式清單中選取不同的輸入安全群組。

   若要移除頻道安全群組，請清除選取項目。請注意，如果您也從頻道移除以接聽程式模式設定的所有 SRT 輸出，則只能移除頻道安全群組。

1. 選擇**更新頻道**。

# 更新 CIDR 規則
<a name="channel-security-groups-update-rules"></a>

若要更新頻道安全群組的 CIDR 允許清單規則，請更新基礎輸入安全群組。變更會自動套用到使用該輸入安全群組做為頻道安全群組的所有頻道。

**更新頻道安全群組的 CIDR 規則**

1. 在導覽窗格中，選擇 **Input security groups (輸入安全群組)**。

1. 選取用作頻道安全群組的輸入安全群組，然後選擇**編輯**。

1. 視需要更新 CIDR 規則。如需說明，請參閱[編輯輸入安全群組](edit-input-security-group.md)。

1. 選擇**更新**。

**結果**

MediaLive 會自動將更新後的 CIDR 規則套用到使用此輸入安全群組做為頻道安全群組的所有頻道。您不需要重新啟動頻道。變更會立即生效。