本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立信任的實體 - 複雜選項
如果您決定應使用[複雜選項](scenarios-for-medialive-role.md)來設定信任的實體,請閱讀本節。
使用複雜選項,您必須執行下列任務:
+ 建立政策和角色,並使用這些政策和角色將 MediaLive 設定為信任的實體。此任務涵蓋在步驟 A、B 和 C 中。
+ 設定具有許可的所有 MediaLive 使用者,讓他們在建立或編輯頻道時,將特定信任政策連接到頻道。此任務在步驟 D 中涵蓋。
**Topics**
+ [識別存取需求](complex-scenario-create-trusted-entity-role-step1.md)
+ [建立政策](complex-scenario-create-trusted-entity-role-step2.md)
+ [建立角色](complex-scenario-create-trusted-entity-role-step3.md)
+ [設定使用者許可](requirements-medialiverole-complex-permissions.md)
+ [受信任實體的存取要求](trusted-entity-requirements.md)
# 識別存取需求
您必須識別 MediaLive 將在部署中與之互動的服務。然後,在每個服務中,您必須識別 MediaLive 需要存取的操作和資源。最後,您必須設計處理這些要求的 IAM 政策。
此需求分析的執行人員,必須是您組織內部了解組織存取資源需求的人員。此人員必須了解是否需要限制 MediaLive 頻道存取其他 AWS 服務中的資源。例如,此人員應該判斷是否應該限制頻道存取 Amazon S3 中的儲存貯體,以便指定的頻道可以存取某些儲存貯體,而不是其他。
**判斷 MediaLive 的存取需求**
1. 如需 MediaLive 通常需要存取之服務[受信任實體的存取要求](trusted-entity-requirements.md)的相關資訊,請參閱 中的表格。判斷您的部署會用到其中哪些服務,以及部署所需的操作。
1. 在服務中,判斷需要建立的政策數量。針對不同的工作流程,您是否需要多種不同的物件和操作組合,而且是否需要基於安全考量,將這些組合彼此分開?
請具體判斷您是否需要存取不同工作流程的不同資源,以及限制對特定資源的存取是否重要。例如,在 AWS Systems Manager 參數存放區中,您可能有屬於不同工作流程的密碼,而且您可能只想要允許特定使用者存取任何指定工作流程的密碼。
如果不同工作流程對物件、操作和資源有不同的需求,則對於該服務而言,每個工作流程都需要單獨的政策。
1. 設計每個政策:找出政策中允許 (或不允許) 的物件、操作和允許 (或不允許) 的資源。
1. 判斷受管政策是否涵蓋您找出的任何政策。
1. 對於每個工作流程,找出工作流程使用的所有服務所需政策。建立政策時,您將能夠在政策中包含多項服務。而不需分別為每個服務建立政策。
1. 找出您需要的角色數量。每個獨特的政策組合都需要一個角色。
1. 指派名稱給您已找出的所有政策和角色。請確定您未在這些名稱中包含敏感的識別資訊 (例如客戶帳戶名稱)。
# 建立政策
遵循[步驟 A](complex-scenario-create-trusted-entity-role-step1.md) 來識別所需的政策之後,您必須在 IAM 主控台上建立這些政策。
請遵循每個政策的此程序。
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。然後選擇 **Create policy** (建立政策)。**建立政策**精靈隨即出現。此精靈會逐步引導您完成這些步驟,包括這些關鍵步驟:
+ 選取服務。
+ 選取該服務的動作。
一般而言 (以及預設),您可以指定要允許的動作。
但您也可以選擇**切換以拒絕許可**按鈕,改為拒絕選擇的動作。我們建議做為安全最佳實務,只有在您想要覆寫另一個陳述式或政策個別允許的許可時,才拒絕許可。我們建議您將拒絕許可數限制為最低,因為它們可能會增加解決許可問題的難度。
+ 為每個動作[指定資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) (如果動作支援)。例如,如果您選擇 MediaLive `DescribeChannel` ARN,您可以指定特定頻道ARNs。
+ 指定條件 (選用)。例如:
+ 您可以指定僅允許使用者在特定時間範圍內執行動作。
+ 您可以指定使用者必須使用多重要素驗證 (MFA) 裝置進行身分驗證。
+ 您可以指定請求必須來自 IP 地址範圍。
如需可在政策條件中使用的所有內容金鑰清單,請參閱*《服務授權參考*》中的 [AWS 服務的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
1. 選擇**建立政策**。
# 建立角色
身為管理員的任何人都可以執行建立角色並將政策連接到該角色的程序。
在 [識別存取需求](complex-scenario-create-trusted-entity-role-step1.md) 中,組織內的某人識別了您需要建立的角色。現在使用 IAM 建立這些角色。
在此步驟中,您會建立角色,其中包含信任政策 (「let MediaLive 呼叫`AssumeRole`動作」) 和一或多個政策 [(您剛建立的政策](complex-scenario-create-trusted-entity-role-step2.md))。透過這種方式,MediaLive 具有擔任角色的許可。擔任角色時,它會取得政策中指定的許可。
請遵循每個角色的此程序。
1. 在 IAM 主控台的左側導覽窗格中,選擇**角色**,然後選擇**建立角色**。**建立角色**精靈隨即出現。此精靈會逐步引導您設定信任的實體,以及新增許可 (透過新增政策)。
1. 在**選取信任實體**頁面上,選擇**自訂信任政策**卡。隨即出現**自訂信任政策**區段,其中包含範例政策。
1. 清除範例、複製下列文字,然後將文字貼到**自訂信任政策**區段中。**自訂信任政策**區段現在如下所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "medialive.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 選擇**下一步**。
1. 在**新增許可**頁面上,尋找您建立的政策 (例如,`MedialiveForCurlingEvents`),並選取每個政策的核取方塊。然後選擇**下一步**。
1. 在檢閱頁面上,輸入角色的名稱。我們建議您不要使用名稱 `MediaLiveAccessRole`,因為該名稱已保留給[簡易選項](scenarios-for-medialive-role.md#about-simple-scenario)。
反之,使用包括 `Medialive` 並描述此角色用途的名稱。例如 `MedialiveAccessRoleForSports`。
1. 選擇建**立角色**。
1. 在角色的**摘要**頁面上,記下**角色 ARN** 中的值。看起來如下:
`arn:aws:iam::111122223333:role/medialiveWorkflow15`
在此範例中, `111122223333`是 AWS 您的帳戶號碼。
1. 建立所有角色之後,請建立角色 ARNs的清單。在每個項目中包含下列資訊:
+ 角色 ARN。
+ ARN 套用的工作流程描述。
+ 可使用此工作流程的使用者,因此需要將此信任政策連接至其建立和編輯的頻道。
當您為使用者[設定信任實體存取](requirements-medialiverole-complex-permissions.md)時,將需要此清單。
# 設定使用者許可
使用複雜選項時,MediaLive 使用者必須具有使用信任實體精靈的許可。此精靈位於**頻道和輸入詳細資訊**窗格的 **IAM 角色**區段中:
![\[IAM role configuration options for AWS Elemental MediaLive channel access permissions.\]](http://docs.aws.amazon.com/zh_tw/medialive/latest/ug/images/medialiveaccessrole_withUpdateButton.png)
主題
## 設定精靈許可
您必須設定具有使用精靈在精靈中輸入信任實體角色之許可的所有 MediaLive 使用者。使用者將參考您將提供給他們的角色清單。
您必須為所有使用者提供下表所述的存取權。動作位於 IAM 服務中。在您為使用者建立的政策 (或其中一個政策) 中包含此動作。
| 精靈中的欄位 | Description | 動作 |
| --- | --- | --- |
| 使用現有角色 | 使用者必須無法檢視隨附於使用現有角色欄位的選擇欄位中的清單。該清單顯示在 AWS 帳戶中建立的所有角色。使用者必須無法從此清單中選取 。使用者會在**指定自訂角色 ARN 欄位中輸入角色,而不是選取現有角色**。 | 無 |
| **從範本選項建立角色** | 使用者必須無法選取從範本建立角色欄位。使用者不會建立角色。只有管理員才能建立角色。 | 無 |
| 指定自訂角色 ARN | 使用者必須能夠在 指定自訂角色 ARN 欄位 隨附的項目欄位中輸入角色。然後,他們必須能夠將該角色傳遞給 MediaLive。 | iam:PassRole |
| 更新 | 使用者不需要能夠選擇更新按鈕,因為此按鈕只會出現在使用 的實作中MediaLiveAccessRole。複雜選項不會使用此角色;因此,此按鈕絕不會出現。 | 無 |
## 使用者需要的資訊
當使用者建立頻道時,他們會將角色傳遞給 MediaLive,以使用正確的信任政策設定 MediaLive。您在[設定信任的實體](setup-trusted-entity-complex.md)時建立這些政策。具體而言,當您[建立信任的實體角色](complex-scenario-create-trusted-entity-role-step3.md)時,您會記下您建立的所有角色ARNs。
您必須為每個使用者提供一個角色清單 (由 ARN 識別),他們必須搭配其使用的每個工作流程 (頻道) 使用。
+ 請務必為每個使用者提供他們負責的工作流程的正確角色。每個角色都會讓 MediaLive 存取適用於特定工作流程的資源。
+ 每個使用者可能都有不同的角色清單。
當使用者選取**指定自訂角色 ARN** 時,使用者將查閱其清單,以尋找頻道套用的工作流程和因此套用的角色 ARN。
# 受信任實體的存取要求
下表顯示 MediaLive 信任實體可能需要的所有許可類型。當您[識別 MediaLive 信任實體的存取需求時,](complex-scenario-create-trusted-entity-role-step1.md)請參閱此表格。
資料欄中的每一列描述了 MediaLive 受信任實體可能需要為使用者執行的任務或相關任務集。第三欄說明受信任實體執行該任務所需的存取類型。最後一欄列出控制該存取的 IAM 動作或政策。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/medialive/latest/ug/trusted-entity-requirements.html)