MediaConvert
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

授权和访问控制简介

要使用 AWS 服务和资源,您同时需要身份验证访问控制

身份验证 – 要登录到 AWS,您必须使用以下凭证:根用户凭证(不推荐)、IAM 用户凭证或使用 IAM 角色的临时凭证。要了解有关这些实体的更多信息,请参阅什么是身份验证?

访问控制 – AWS 管理员使用策略来控制对 AWS 资源(如 AWS Elemental MediaConvert 作业)的访问。要了解更多信息,请参阅什么是访问控制?什么是策略?

重要

无论谁创建了某个账户中的资源,所有这些资源都归该账户所有。用户必须被授予创建资源的访问权限。但是,仅仅因为用户创建资源并不意味着用户自动获得对该资源的完全访问权限。管理员必须为每个用户要执行的每个操作明确授予权限。该管理员也可以随时撤销这些权限。

媒体文件和 AWS Elemental MediaConvert 作业的所有权

当使用您的 AWS 账户创建 AWS Elemental MediaConvert 作业并为您的输入和输出文件创建 Amazon S3 存储桶时,您的 AWS 账户则是作业以及作业所创建的输出文件的所有者。这具有以下意义:

  • 您账户中具有访问您的 Amazon S3 对象的权限的任何用户均可访问作业的输出文件。

  • 只有您账户上的管理员才能授予访问这些输出文件的权限。

  • 只有您账户中的用户才能接收访问作业对象的权限。

如果您要设置工作流,以使您作业的输出归其他账户所拥有—例如,您客户的其中一个账户—则另一个账户的管理员必须向您授予写入其 Amazon S3 存储桶的跨账户权限。在此设置中,您的 AWS 账户拥有作业资源,而不是作业的输出。有关更多信息,请参阅 IAM 用户指南 中的访问管理

了解 IAM 的基础知识

为帮助您了解 IAM 的基础知识,请查看以下术语:

  • 资源 – AWS 服务(例如 AWS Elemental MediaConvert、Amazon S3 和IAM)由称为资源的对象组成。您可以从该服务创建、管理和删除这些资源。IAM 资源包括用户、组、角色和策略:

    • 用户 – IAM 用户表示使用其凭证与 AWS 交互的人员或应用程序。用户由用于登录到 AWS 管理控制台的名称和密码组成,最多可包含用于 AWS CLI 或 AWS API 的两个访问密钥。

    • Groups (组) – IAM 组是 IAM 用户的集合。您可以使用组为其成员用户指定权限。这使您可以更轻松地管理多个用户的权限。

    • 角色 – IAM 角色没有关联的任何长期凭证(密码或访问密钥)。任何具有适当权限的人都可以代入角色。IAM 用户可担任角色来暂时获得针对特定任务的不同权限。联合身份用户可以通过使用映射到该角色的外部身份提供商来代入角色。有些 AWS 服务可以代入服务角色 来代表您访问 AWS 资源。

    • 策略 – 策略是 JSON 策略文档,用于定义它们所附加到的对象的权限。AWS 支持您附加到身份(用户、组或角色)的基于身份的策略。一些 AWS 服务允许您将基于资源的策略 附加到资源,以控制委托人(人员或应用程序)可以对该资源执行的操作。AWS Elemental MediaConvert 不支持基于资源的策略。

  • Identities (身份) – 身份是您可以为其定义权限的 IAM 资源。其中包括用户、组和角色。

  • Entities (实体) – 实体是您用于进行身份验证的 IAM 资源。其中包括用户和角色。

  • Principals (委托人) – 在 AWS 中,委托人是使用实体登录 AWS 并向之发出请求的人或应用程序。作为委托人,您可以使用 AWS 管理控制台、AWS CLI 或 AWS API 来执行操作(如删除 作业)。这将为该操作创建一个请求。您的请求指定操作资源委托人委托人账户以及有关您的请求的任何其他信息。所有这些信息为 AWS 提供了请求的上下文。AWS 会检查应用于请求上下文的所有策略。AWS 仅在策略允许请求的每个部分时才对该请求进行授权。

要查看身份验证和访问控制过程的图表,请参阅 IAM 用户指南 中的了解 IAM 的工作方式。有关 AWS 如何确定是否允许请求的详细信息,请参阅 IAM 用户指南 中的策略评估逻辑