本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立政策和非管理角色
根據預設,使用者和角色沒有建立或修改 MediaPackage 資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 MediaPackage 定義的動作和資源類型的詳細資訊,包括每種資源類型的 ARNs 格式,請參閱*《服務授權參考*》中的[適用於 的動作、資源和條件索引鍵 AWS Elemental MediaPackage](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediapackage.html)。
本節說明如何建立政策並建立非管理角色,讓使用者可以建立或修改 MediaPackage 資源。本節也說明您的使用者如何擔任該角色,以授予安全且暫時的登入資料。
**Topics**
+ [(選用) 步驟 1:建立 Amazon CloudFront 的 IAM 政策](#setting-up-create-non-admin-iam-cf)
+ [(選用) 步驟 2:建立 MediaPackage VOD 的 IAM 政策](#setting-up-create-non-admin-iam-vod)
+ [步驟 3:在 IAM 主控台中建立角色](#setting-up-create-role)
+ [步驟 4:從 IAM 主控台或 擔任角色 AWS CLI](#setting-up-create-nonadmin-roles-assume-role)
## (選用) 步驟 1:建立 Amazon CloudFront 的 IAM 政策
如果您或您的使用者將從即時主控台建立 Amazon CloudFront AWS Elemental MediaPackage 分佈,請建立允許存取 CloudFront 的 IAM 政策。
如需搭配 MediaPackage 使用 CloudFront 的詳細資訊,請參閱 [使用 CDN](cdns.md)。
**若要使用 JSON 政策編輯器來建立政策**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
如果這是您第一次選擇 **Policies (政策)**,將會顯示 **Welcome to Managed Policies (歡迎使用受管政策)** 頁面。選擇 **Get Started (開始使用)**。
1. 在頁面頂端,選擇 **Create policy (建立政策)**。
1. 在**政策編輯器**中,選擇 **JSON** 選項。
1. 輸入下列 JSON 政策文件:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution",
"cloudfront:CreateDistributionWithTags",
"cloudfront:UpdateDistribution",
"cloudfront:CreateDistribution",
"cloudfront:TagResource",
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
1. 選擇**下一步**。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[調整政策結構](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**檢視與建立**頁面上,為您正在建立的政策輸入**政策名稱**與**描述** (選用)。檢視**此政策中定義的許可**,來查看您的政策所授予的許可。
1. 選擇 **Create policy** (建立政策) 儲存您的新政策。
## (選用) 步驟 2:建立 MediaPackage VOD 的 IAM 政策
如果您或您的使用者將在 MediaPackage 中使用隨需視訊 (VOD) 功能,請建立允許存取`mediapackage-vod`服務資源的 IAM 政策。
以下章節說明如何建立允許所有動作的政策,以及允許唯讀權限的政策。透過新增或移除符合您的工作流程的動作,政策就能進行自訂。
### 完整 VOD 存取的政策
此政策允許使用者對所有 VOD 資源執行所有動作。
**若要使用 JSON 政策編輯器來建立政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
如果這是您第一次選擇 **Policies (政策)**,將會顯示 **Welcome to Managed Policies (歡迎使用受管政策)** 頁面。選擇 **Get Started (開始使用)**。
1. 在頁面頂端,選擇 **Create policy (建立政策)**。
1. 在**政策編輯器**中,選擇 **JSON** 選項。
1. 輸入下列 JSON 政策文件:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "mediapackage-vod:*",
"Resource": "*"
}
]
}
```
1. 選擇**下一步**。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[調整政策結構](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**檢視與建立**頁面上,為您正在建立的政策輸入**政策名稱**與**描述** (選用)。檢視**此政策中定義的許可**,來查看您的政策所授予的許可。
1. 選擇 **Create policy** (建立政策) 儲存您的新政策。
### 唯讀 VOD 存取的政策
此政策允許使用者檢視所有 VOD 資源。
**若要使用 JSON 政策編輯器來建立政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
如果這是您第一次選擇 **Policies (政策)**,將會顯示 **Welcome to Managed Policies (歡迎使用受管政策)** 頁面。選擇 **Get Started (開始使用)**。
1. 在頁面頂端,選擇 **Create policy (建立政策)**。
1. 在**政策編輯器**中,選擇 **JSON** 選項。
1. 輸入下列 JSON 政策文件:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mediapackage-vod:List*",
"mediapackage-vod:Describe*"
],
"Resource": "*"
}
]
}
```
1. 選擇**下一步**。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[調整政策結構](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**檢視與建立**頁面上,為您正在建立的政策輸入**政策名稱**與**描述** (選用)。檢視**此政策中定義的許可**,來查看您的政策所授予的許可。
1. 選擇 **Create policy** (建立政策) 儲存您的新政策。
## 步驟 3:在 IAM 主控台中建立角色
在 IAM 主控台中為您建立的每個政策建立角色。這允許使用者擔任角色,而不是將個別政策連接到每個使用者。
**在 IAM 主控台中建立角色**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 IAM 主控台的導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 在**選取信任的實體**下,選擇**AWS 帳戶**。
1. **在 AWS 帳戶**下,選取具有將擔任此角色之使用者的帳戶。
+ 如果第三方將存取此角色,最佳實務是選取**需要外部 ID**。如需外部 IDs的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用外部 ID 進行第三方存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)。
+ 最佳實務是要求多重要素驗證 (MFA)。您可以選取**需要 MFA** 旁的核取方塊。如需 MFA 的詳細資訊,請參閱《*IAM 使用者指南*》中的[多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
1. 選擇**下一步**。
1. 在**許可政策**下,搜尋並新增具有適當 MediaPackage 許可層級的政策。
+ 若要存取即時功能,請選擇下列其中一個選項:
+ 使用 **AWSElementalMediaPackageFullAccess** 允許使用者對 MediaPackage 中的所有即時資源執行所有動作。
+ 使用 **AWSElementalMediaPackageReadOnly** 為 MediaPackage 中的所有即時資源提供使用者唯讀權限。
+ 如需存取隨選視訊 (VOD) 功能,請使用您在[(選用) 步驟 2:建立 MediaPackage VOD 的 IAM 政策](#setting-up-create-non-admin-iam-vod)步驟中所建立的政策。
1. 新增政策以允許 MediaPackage 主控台代表使用者呼叫 Amazon CloudWatch。沒有這些政策時,使用者僅可以使用該服務的 API (非主控台)。請選擇下列其中一個選項:
+ 使用 **ReadOnlyAccess** 來允許 MediaPackage 與 CloudWatch 通訊,並提供使用者對您帳戶上所有 AWS 服務的唯讀存取權。
+ 使用 **CloudWatchReadOnlyAccess**、**CloudWatchEventsReadOnlyAccess** 和 **CloudWatchLogsReadOnlyAccess** 來允許 MediaPackage 與 CloudWatch 通訊,並限制使用者的 CloudWatch 唯讀存取權。
1. (選用) 如果此使用者將從 MediaPackage 主控台建立 Amazon CloudFront 分佈,請連接您在 中建立的政策[(選用) 步驟 1:建立 Amazon CloudFront 的 IAM 政策](#setting-up-create-non-admin-iam-cf)。
1. (選用) 設定[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。這是進階功能,可用於服務角色,而不是服務連結的角色。
1. 展開 **Permissions boundary** (許可界限) 區段,並選擇 **Use a permissions boundary to control the maximum role permissions** (使用許可界限來控制角色許可上限)。IAM 包含您帳戶中 AWS 受管和客戶受管政策的清單。
1. 選取用於許可界限的政策,或者選擇 **Create policy** (建立政策) 以開啟新的瀏覽器標籤,並從頭建立新的政策。如需詳細資訊,請參閱《IAM 使用者指南》**中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start)。
1. 建立政策後,請關閉該標籤並返回原始標籤,以選取要用於許可界限的政策。
1. 確認已將正確的政策新增至此群組,然後選擇**下一步**。
1. 如果可能,請輸入角色名稱或角色名稱後綴,以協助您識別此角色的用途。角色名稱在您的 AWS 帳戶內必須是獨一無二的。它們無法透過大小寫進行區分。例如,您無法建立名為 **PRODROLE** 和 **prodrole** 的角色。因為有各種實體可能會參照角色,所以您無法在建立角色之後編輯角色名稱。
1. (選用) 在 **Description** (說明) 中,輸入新角色的說明。
1. 在 **Step 1: Select trusted entities** (步驟 1:選取受信任的實體) 或者 **Step 2: Select permissions** (步驟 2:選取許可) 區段中選擇 **Edit** (編輯),可編輯角色的使用案例和許可。
1. (選用) 藉由連接標籤作為鍵值對,將中繼資料新增至使用者。如需有關在 IAM 中使用標籤的詳細資訊,請參閱《IAM 使用者指南》**中的[標記 IAM 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 檢閱角色,然後選擇**建立角色**。
## 步驟 4:從 IAM 主控台或 擔任角色 AWS CLI
檢視下列資源,以了解如何授予使用者擔任角色的許可,以及使用者如何從 IAM 主控台或 切換到角色 AWS CLI。
+ 如需授予使用者切換角色許可的詳細資訊,請參閱《*IAM 使用者指南*》中的[授予使用者切換角色的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)。
+ 如需切換角色 (主控台) 的詳細資訊,請參閱[《IAM 使用者指南》中的切換到角色 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)。 **
+ 如需切換角色 (AWS CLI) 的詳細資訊[,請參閱《IAM 使用者指南》中的切換到 IAM 角色 (AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html)。 **