本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定使用者的 IAM 許可
本節說明您必須指派給使用者和其他 AWS 身分的許可,以便他們可以使用工作流程所使用的 AWS Elemental MediaLive 和其他 AWS 服務。識別必要的許可後,您將能夠設計和建立相關政策,並將這些政策連接到使用者群組或角色。
本節假設您已執行下列任務:
+ 您已執行中所述的初始設定,[設定 以使用 MediaLive 的初步步驟](setting-up.md)以註冊 MediaLive 並建立管理員。
+ 您已閱讀 中[AWS Elemental MediaLive 的 Identity and Access Management](security-iam.md)有關如何建立管理員、使用者和其他 AWS 身分的建議。
**Topics**
+ [參考:使用者存取摘要](setup-users-step-1-summary.md)
+ [MediaLive](requirements-for-medialive.md)
+ [MediaLive Anywhere](requirements-for-emla.md)
+ [CloudFormation](requirements-for-CFN.md)
+ [CloudFront](requirements-for-CFront.md)
+ [CloudTrail](requirements-for-cloudtrail.md)
+ [CloudWatch - 頻道運作狀態](requirements-for-monitor-channel-health.md)
+ [CloudWatch 和 Amazon SNS - 電子郵件通知](requirements-for-email-notification.md)
+ [CloudWatch Logs - 頻道記錄](requirements-for-console-logging.md)
+ [EC2 — VPC 輸入](requirements-for-vpc-input.md)
+ [EC2 — 透過 VPC 交付](requirements-vpc-delivery.md)
+ [元素推論](requirements-for-inference.md)
+ [連結](requirements-for-link.md)
+ [MediaConnect](requirements-for-media-connect.md)
+ [MediaPackage](requirements-for-mediapackage.md)
+ [資源群組 - 標記](requirements-for-tagging.md)
+ [Amazon S3](requirements-for-s3.md)
+ [Secrets Manager 秘密](requirements-for-secrets.md)
+ [Systems Manager 參數存放區](requirements-for-EC2.md)
# 參考:非管理員使用者存取需求的摘要
下表顯示您可能需要指派給使用者的所有許可類型。資料欄中的每一列都會描述一個活動或一組您可能想要允許使用者執行的相關活動。最後一欄列出控制對這些活動的存取的 IAM 動作。
如果此表格無法提供足夠的資訊,讓您判斷要指派給使用者的許可,請參閱本節後面的服務字母清單。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/medialive/latest/ug/setup-users-step-1-summary.html)
# AWS Elemental MediaLive 功能的需求
您必須授予使用者存取 AWS Elemental MediaLive 功能的許可。MediaLive 的許可可以分為三個類別:
+ 建立 的許可
+ 檢視的許可
+ 執行的許可
您可以選擇提供不同的存取權限給不同類型的使用者。例如,您可能會決定「基本操作人員」不應擁有建立許可。
具體來說,您需要決定是否要限制使用預留項目的能力;您可能會決定僅將此存取權限授予管理員或進階使用者。如需預留項目的詳細資訊,請參閱 [在 MediaLive 中使用保留](reservations.md)。
下表顯示 IAM 中與 MediaLive 存取相關的操作。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/medialive/latest/ug/requirements-for-medialive.html)
# MediaLive Anywhere 的需求
您的組織可能正在部署 MediaLive Anywhere,這可讓您在位於組織資料中心的內部部署硬體上執行 MediaLive 頻道。
您必須授予使用者執行 MediaLive Anywhere 操作的存取權:
+ 執行 MediaLive Anywhere 叢集初始組態,並視需要修改組態的許可。
+ 建立頻道和執行中的工作流程時,使用 MediaLive Anywhere 資源的許可
## 組態動作
組織中的某些使用者會將內部部署節點的叢集設定為使用 MediaLive。這些使用者需要下列許可。我們建議您為 MediaLive 許可和 Amazon Elastic Container Service 許可建立單獨的政策。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 建立、修改和刪除網路、叢集、節點和 SDI 來源。 | MediaLive | CreateNetwork`CreateCluster``CreateNode``CreateSdiSource``DeleteNetwork``DeleteCluster``DeleteNode`DeleteSdiSource`UpdateNetwork``UpdateCluster``UpdateNode``UpdateSdiSource` |
| 建立 叢集 | Amazon Elastic Container Service | 除了 之外CreateCluster,使用者還需要存取 Amazon Elastic Container Service 中的動作。如需詳細資訊,請參閱[建立特殊 FAS 政策](emla-deploy-users-ecs-permissions.md)。 |
| 檢視網路、叢集、節點和 SDI 來源 | MediaLive | `ListNetworks` `ListClusters` `ListNodes` `ListSdiSources` `DescribeNetwork` `DescribeCluster` `DescribeNode` `DescribeSdiSource` |
## 執行時間動作
組織中的某些使用者將為來自內部部署網路的來源建立推送輸入和 SDI 輸入。這些使用者需要下列許可。這些許可是 中列出的許可以外的其他許可[AWS Elemental MediaLive 功能的需求](requirements-for-medialive.md)。
| 許可 | IAM 中的服務名稱 | 使用者可執行的特定活動 | 動作 |
| --- | --- | --- | --- |
| 為在 MediaLive Anywhere 上執行的頻道建立推送輸入 | MediaLive | 在推送輸入上指定靜態 IP 地址的網路。(選用使用靜態 IP 地址。) | `ListNetworks` |
| 為在 MediaLive Anywhere 上執行的頻道建立推送輸入 | MediaLive | 選擇性地指定推送輸入上靜態 IP 地址的路由。(選用使用靜態 IP 地址。) | `ListNetworks` |
| 為在 MediaLive Anywhere 上執行的頻道建立 SDI 輸入 | MediaLive | 選取 SDI 輸入的來源 | `ListSdiSources` |
# 的要求 CloudFormation
MediaLive 包含工作流程精靈。建立工作流程一律包含自動建立 CloudFormation 堆疊。因此,若要使用工作流程精靈,使用者需要 中的許可 CloudFormation。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 使用工作流程精靈 | CloudFormation | `ListStacks` `DescribeStacks` `DescribeStackResources` `CreateStack` `DeleteStack` |
# Amazon CloudFront 的需求
MediaLive 包含工作流程精靈。精靈中的其中一個選項是將輸出交付至 Amazon CloudFront AWS Elemental MediaPackage 或從中交付至 Amazon CloudFront。 Amazon CloudFront 因此,若要讓使用者建立交付至 MediaPackage 的工作流程,使用者需要 CloudFront 中的許可。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 如果您的組織支援 MediaPackage 作為輸出目的地,請使用工作流程精靈來建立與 MediaPackage 頻道相關聯的 CloudFront 分佈。使用工作流程精靈刪除包含 CloudFront 分佈的工作流程。 | CloudFront | `ListDistributions` `DescribeDistribution` `CreateDistribution` `DeleteDistribution` |
如果您的組織支援 MediaPackage 作為輸出目的地,CloudFrontCreate和刪除 CloudFront 分佈。
請注意,此處所需的許可與許可有何差異,因為工作流程精靈實際上會建立分佈。
# 的要求 AWS CloudTrail
MediaLive 已與 服務整合 AWS CloudTrail,此服務提供由使用者、角色或 MediaLive 中的 AWS 服務所採取之動作的記錄。
使用者不需要特殊許可 AWS CloudTrail。
# Amazon CloudWatch 的需求 - 監控頻道運作狀態
AWS Elemental MediaLive 主控台包含一個頁面 (**頻道詳細資訊**),可收集有關頻道運作狀態的 CloudWatch 指標資訊,並直接顯示在 MediaLive 主控台上。
您需要決定授予部分或所有使用者在主控台上檢視指標的許可。
若要讓使用者在 MediaLive 主控台上檢視此資訊,該使用者必須具有 Amazon CloudWatch 中指標操作的檢視許可。當使用者擁有這些許可時,也可以透過 CloudWatch 主控台 AWS CLI或 REST API 檢視資訊。
下表顯示 IAM 中與監控頻道運作狀態存取相關的動作。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 檢視 指標 | CloudWatch | ListMetrics`GetMetricData``GetMetricStatistics` |
# CloudWatch 和 Amazon SNS 的需求 - 設定電子郵件通知
MediaLive 會在頻道執行時提供頻道的相關資訊。它會將此資訊作為事件傳送至 Amazon CloudWatch。您可以選擇將這些事件的詳細資訊分發給一或多個使用者;必須有人設定此分發。(如需了解設定程序,請參閱 [使用 Amazon CloudWatch Events 監控頻道或多工](monitoring-via-cloudwatch.md)。)
您需要決定授予部分或所有使用者這些許可。您可選擇允許每個使用者執行自己的分發設定程序。或者,您可以決定讓管理員負責在啟動時為適用的使用者執行設定程序,並在每次新增使用者時再次設定。
下表顯示 IAM 中與設定電子郵件通知之存取權相關的動作。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 寫入 | CloudWatch Events | 所有動作 |
| 寫入 | SNS | 所有動作 |
# Amazon CloudWatch Logs 的需求 - 設定頻道記錄
MediaLive 會產生傳送至 CloudWatch Logs 的頻道日誌,使用者可以在其中檢視這些日誌。如需頻道日誌的詳細資訊,請參閱 [使用 Amazon CloudWatch Logs 監控頻道](monitoring-with-logs.md)。
您必須決定是否要授予部分或全部使用者在 CloudWatch Logs 中檢視日誌的許可。
此外,您也需要決定授予部分或所有使用者設定日誌保留政策的許可。如果您決定不將此存取權限授予任何使用者,就必須由管理員負責設定該政策。
使用者不需要特殊許可,即可從 MediaLive 中啟用記錄。
下表顯示 IAM 中與設定頻道日誌之存取相關的動作。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 檢視 日誌 | CloudWatch Logs | FilterLogEvents`GetLogEvents` |
| 設定保留政策 | CloudWatch Logs | DeleteRetentionPolicy`PutRetentionPolicy` |
# Amazon Elastic Compute Cloud — VPC 輸入的需求
您的部署可能包括從您使用 Amazon VPC 建立的 VPC 連線至 MediaLive 的推送輸入。
當使用者在 MediaLive 主控台上建立這種類型的輸入時,可以選擇從下拉式清單中選擇子網路和安全群組。若要讓下拉式清單填入 Amazon VPC 中的資源,使用者必須擁有適當的許可。如需 Amazon VPC 輸入的詳細資訊,請參閱 [建立輸入](create-input.md)。
下表顯示 IAM 中與填入下拉式清單之存取權相關的動作。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 在 MediaLive 主控台上檢視 VPC 子網路和 VPC 安全群組 | EC2 | DescribeSubnets`DescribeSecurityGroups` |
# Amazon Elastic Compute Cloud 的需求 - 透過 VPC 交付
您的部署可能包括設定一些頻道,以交付至 Amazon Virtual Private Cloud (Amazon VPC) 中的輸出端點。
當使用者在 MediaLive 主控台上設定此功能時,可以選擇從下拉式清單中選擇子網路、安全群組和 EIPs。若要讓下拉式清單填入 Amazon VPC 中的資源,使用者必須擁有適當的許可。如需此功能的詳細資訊,請參閱 [透過 VPC 交付輸出](delivery-out-vpc.md)。
下表顯示 IAM 中與填入下拉式清單之存取權相關的動作。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 在 MediaLive 主控台上檢視 VPC 子網路和 VPC 安全群組。 | EC2 | DescribeSubnets`DescribeSecurityGroups` |
| 在主控台上檢視彈性 IP 地址。主控台會尋找已配置供您在 AWS 帳戶中使用的彈性 IP 地址。 | EC2 | DescribeAddresses |
# 元素推論的要求
您的組織可能會在頻道中實作 [AWS Elemental Inference 功能](elemental-inference.md)。設定頻道以使用這些功能的使用者需要許可才能使用摘要。
+ 使用者需要許可才能使用摘要。即使使用者使用 MediaLive 主控台或 API 來設定摘要,並將頻道與摘要建立關聯,仍需要這些許可。
+ 建立或修改頻道後,使用者需要許可,讓 MediaLive 對摘要執行設定。設定涉及將頻道與饋送建立關聯。MediaLive 使用 IAM 轉送存取工作階段 (FAS) 來傳送和擷取。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 設定頻道時,讓 MediaLive 可以使用 Elemental Inference 饋送。 | 元素推論 | CreateFeed`DeleteFeed``GetFeed``ListFeeds``UpdateFeed` |
| 設定頻道後,MediaLive 可以使用 FAS 將頻道與元素推論饋送建立關聯。 | 元素推論 | `AssociateFeed` `DisassociateFeed` `GetFeed` |
# 的需求 AWS Elemental Link
您的組織可能會以下列其中一種或兩種方式部署 AWS Elemental Link 硬體裝置:
+ 做為您連接至 AWS Elemental MediaLive 頻道之輸入的視訊來源。
+ 作為 AWS Elemental MediaConnect 流程的視訊來源。
本節說明您 (IAM 管理員) 必須指派給使用者和其他 AWS 身分的許可,以便他們可以設定 AWS Elemental Link 裝置以使用 MediaLive 輸入或 MediaConnect 流程。如需這些裝置的詳細資訊,請參閱 [設定 AWS Elemental Link](setup-devices.md)。
請閱讀此資訊,如下所示:
+ 如果您的組織有同時部署裝置和搭配 MediaLive 使用這些裝置的使用者,請閱讀此資訊。
+ 您的組織可能也有只會使用 MediaLive 來部署裝置並設定為用作來源的使用者,而且您可能想要遵循這些使用者*的最低許可*規則。如果是這種情況,請參閱 [設定具有 IAM 許可的使用者](device-iam-for-user.md)。
您必須為數個 服務中的動作指派許可,如下表所述。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 部署、設定和檢視 AWS Elemental Link 裝置 | MediaLive | `DescribeInputDevice` `DescribeInputDeviceThumbnail` `ListInputDevices` `RebootInputDevice` `StartInputDeviceMaintenanceWindow` `StartInputDevice` `StopInputDevice` `UpdateInputDevice` |
| 處理 AWS Elemental Link 裝置的傳輸 | MediaLive | `AcceptInputDeviceTransfer` `CancelInputDeviceTransfer` `ClaimDevice` `ListInputDeviceTransfers` `RejectInputDeviceTransfer` `TransferInputDevice` |
| 在 MediaLive 主控台上,檢視下拉式清單中的 MediaConnect 流程。此下拉式清單會出現在**裝置詳細資訊**頁面上**附件**標籤的流程 **ARN** 欄位中。 | MediaConnect | ListFlows |
| 在 MediaLive 主控台上,檢視下拉式清單中的 IAM 角色。此下拉式清單會出現在**裝置詳細資訊**頁面上**附件**索引標籤**的角色 ARN** 欄位中。 | IAM | ListRoles |
| 在 MediaLive 主控台上,檢視下拉式清單中的 Secrets Manager 秘密。此下拉式清單會出現在**裝置詳細資訊**頁面上**附件**索引標籤的**機密 ARN** 欄位中。 | Secrets Manager | ListSecrets |
# 的要求 AWS Elemental MediaConnect
您的部署可能包括使用來自 的流程 AWS Elemental MediaConnect 做為 的輸入 AWS Elemental MediaLive。
使用者在使用 MediaLive 工作流程精靈時,需要在 MediaConnect 中執行動作的許可。 MediaLive 當使用者使用一般 MediaLive 主控台在輸入或頻道中指定 MediaConnect 流程時,不需要特殊許可。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 如果您的組織支援來自 MediaConnect 的來源,請使用工作流程精靈來建立 MediaConnect 流程。使用工作流程精靈從 MediaConnect 刪除包含來源的工作流程。 | MediaConnect | List\$1`Describe*``Create*``Delete*` |
# 的要求 AWS Elemental MediaPackage
您的部署可能會 AWS Elemental MediaPackage透過建立 [HLS 輸出群組或建立 MediaPackage 輸出群組,將](hls-choosing-hls-vs-emp.md)輸出傳送至 。(請注意,MediaLive 和 MediaPackage 都有「頻道」;不過,它們是不同的物件。)
使用者在使用 MediaLive 主控台和使用 MediaLive 工作流程精靈時,需要許可才能在 MediaPackage 中執行動作。 MediaLive
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 在 MediaLive 主控台上,在 MediaLive 頻道的下拉式清單中檢視 MediaPackage 頻道。 MediaLive | MediaPackage | Describe\$1 |
| 如果您的組織支援 MediaPackage 做為輸出目的地,請使用工作流程精靈來建立 MediaPackage 頻道。使用工作流程精靈刪除包含 MediaPackage 輸出的工作流程。 | MediaPackage | List\$1`Describe*``Create*``Delete*` |
# 的要求 AWS Resource Groups- 標記
當使用者建立頻道、輸入或輸入安全群組時,可以選擇在建立期間將標籤連接到資源。一般而言,您的組織會制定建立標籤或省略標籤的政策。在兩種不同情況下,有兩個服務能夠控制標記的許可:
+ 在建立頻道期間建立標籤的功能是由 AWS Elemental MediaLive內的動作所控制。請參閱 [AWS Elemental MediaLive 功能的需求](requirements-for-medialive.md)。
+ 修改現有資源中標籤的功能是由資源群組標記內的動作所控制。請參閱 [入門 AWS 管理主控台](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html)中的[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
# Amazon S3 的需求
您的部署可能包含使用 Amazon S3 儲存貯體中的檔案。例如,部署可能會以下列方式使用檔案:
+ 做為 HLS 輸入的來源
+ 做為存檔輸出群組的目的地
+ 做為 HLS 輸出群組的目的地
使用者不需要特殊許可,即可在 MediaLive 主控台的 欄位中指定 Amazon S3 儲存貯體。
# Secrets Manager 秘密的需求
您的部署可能包含下列資源:
+ 上游系統加密之 SRT 內容的 SRT 輸入。
當使用者建立這種類型的輸入時,他們必須輸入或選取秘密的 ARN,該秘密包含用於解密內容的複雜密碼。
+ SRT 呼叫者輸出。MediaLive 一律加密此類輸出
當使用者建立此類型的輸出時,他們必須輸入或選取秘密的 ARN,該秘密會保留用於加密內容的密碼短語。
+ AWS Elemental Link 在 MediaLive 或 MediaConnect 中使用的硬體裝置。如需此使用案例許可的詳細資訊,請參閱 [的需求 AWS Elemental Link](requirements-for-link.md)。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| 在 MediaLive 主控台上,建立 SRT 來電者輸入時,檢視下拉式清單中的秘密。在 MediaLive 主控台上,建立 SRT 來電者輸出時,檢視下拉式清單中的秘密。 | Secrets Manager | ListSecrets |
## 所需的許可
**建立 ARN 的許可**
具有 Secrets Manager 許可的使用者必須將密碼短語設定為秘密,然後向 MediaLive 使用者提供該秘密的 ARN。
**選取複雜密碼的許可**
若要讓 ARNs 清單顯示在主控台的下拉式清單中,主控台使用者必須在 Secrets Manager `ListSecrets`中具有 。然後,使用者可以從清單中選擇 ARN。
**輸入 ARN 的許可**
在 AWS Elemental MediaLive 主控台上輸入密碼短語不需要特殊許可。
# AWS Systems Manager 密碼參數的要求
AWS Elemental MediaLive 主控台包含一項功能,可讓使用者在 參數存放區中建立密碼 AWS Systems Manager 參數。這項功能是 **Create Channel (建立頻道)** 頁面的一部分,CLI AWS 或 REST API 中不存在此功能。
您需要決定授予部分或所有使用者運用這項功能的許可。(如果您未將此存取權限授予任何使用者,就必須由管理員負責建立參數。)
## 關於建立密碼參數的功能
AWS Systems Manager 參數存放區廣泛使用 AWS Elemental MediaLive。您可能會使用到此存放區。存放區會保留 MediaLive 在外部擷取和存放檔案所需的密碼。
以下是使用此存放區來保留密碼的一些 MediaLive 函數:
+ RTMP 提取類型或 HLS 提取類型的輸入 (如果連線安全)。
+ 保存外部檔案 URL 的頻道中欄位 (如果連線安全)。這類欄位的範例為 **Avail blanking image (時段遮蔽影像)**。
+ HLS 輸出群組或 Microsoft Smooth 輸出群組中的目的地 (如果連線是安全的)。
在所有這些情況下,MediaLive 都需要使用者名稱和密碼。密碼一律會以參數存放。因此,主控台會包含 **Username (使用者名稱)** 和 **Password parameter (密碼參數)** 欄位。如需相關欄位的範例,請開啟 MediaLive 主控台,選擇**建立頻道**、**一般設定**、**可用空白**、**可用空白影像**,然後選擇**登入**資料。
## 密碼參數的運作方式
密碼參數功能可確保當使用者建立頻道時, AWS Elemental MediaLive 不會以純文字儲存密碼。其運作方式如下:
+ 首先,使用者或管理員需在 AWS Systems Manager 參數存放區中建立密碼參數。此參數是名稱/值組,其中名稱類似於 **corporateStorageImagesPassword**,而值是實際的密碼。
+ 其次,當使用者在 MediaLive 中建立頻道或輸入且需要輸入密碼時,使用者會指定密碼參數名稱,而非密碼。該名稱存放在 MediaLive 中。實際密碼絕不會儲存在 MediaLive 中。
+ 最後,當頻道正在執行且 MediaLive 需要密碼 (讀取或寫入外部位置) 時,它會將密碼參數名稱傳送至參數存放區,並回傳實際密碼以回應。
## 建立內建於 MediaLive 的功能
當主控台上顯示密碼欄位時, AWS Elemental MediaLive 包含可讓使用者執行下列其中一項操作的功能:
+ 輸入現有密碼參數的名稱。
+ 輸入名稱/值組 (參數名稱和實際密碼) 來建立密碼參數。
## 所需的許可
使用者必須輸入密碼參數的名稱,或是從下拉式清單中選取一個名稱。某些使用者可能需要獲得許可,才能在 AWS Elemental MediaLive內建立密碼參數。
### 輸入名稱的許可
在 AWS Elemental MediaLive 主控台上輸入現有密碼參數的名稱不需要特殊許可。
### 選取名稱的許可
若要讓使用者從下拉式清單中選取一個名稱,該使用者需具備在 AWS Systems Manager中 `GetParameters` 的許可。
### 建立 的許可
若要讓任何使用者在 AWS Elemental MediaLive 主控台上建立密碼參數,該使用者必須具有參數存放區中 AWS Systems Manager 特定操作的許可。(使用此許可,使用者也可以事先在 AWS Systems Manager 主控台上建立這些密碼參數。 使用者可以選擇他們偏好的選項。)
您可以將建立這些密碼參數的存取權限提供給部分或所有使用者。通常,您應該將此存取權限授予能夠託付敏感密碼資料的使用者,而這些使用者可能是您識別為進階使用者的人員:
+ 如果您只將存取權授予進階使用者,這些使用者必須負責在啟動時為適用的資產以及每當 MediaLive 需要新的資產時建立參數。使用者可以在 MediaLive 主控台或 AWS Systems Manager 主控台上執行設定。
+ 如果您不將此存取權授予任何使用者,則每當 MediaLive 需要新的資產時,管理員都必須負責在啟動時為適用的資產建立參數。管理員可能偏好在 AWS Systems Manager 主控台上執行此設定。
### 修改和刪除的許可
若您希望使用者能夠修改和刪除密碼參數 (以及建立這些項目),則可提供修改與刪除操作的存取權限。使用者可以從 AWS Systems Manager 參數存放區修改和刪除 。( AWS Elemental MediaLive 主控台上沒有用於修改和刪除的功能。)
您可以選擇將此存取權限提供給具備建立許可的使用者,或選擇僅授予管理員此存取權限。
下表顯示 IAM 中與參數存放區存取相關的動作。
| 許可 | IAM 中的服務名稱 | 動作 |
| --- | --- | --- |
| Select | Systems Manager | GetParameters |
| 建立 | Systems Manager | PutParameter |
| 修改和刪除 | Systems Manager | DeleteParameter`DeleteParameters``DescribeParameters``GetParameter``GetParameterHistory``GetParameters``GetParametersByPath` |