登录控制台
MediaConvert
用户指南
AWS 文档 » MediaConvert » 用户指南 » AWS Elemental MediaConvert 中的安全性 » AWS Elemental MediaConvert 的身份验证和访问控制 » 所需权限
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

所需权限

要使用 AWS Elemental MediaConvert 或者管理自己或他人的授权和访问控制,您必须具有正确的权限。

使用 AWS Elemental MediaConvert 控制台所需的权限

要访问 AWS Elemental MediaConvert 控制台,您必须具有一组最小权限,以允许您列出和查看有关 AWS 账户中 AWS Elemental MediaConvert 资源的详细信息。如果创建比必需的最低权限更为严格的基于身份的权限策略,对于附加了该策略的实体,控制台将无法按预期正常运行。

以下示例策略授予 IAM 用户对 MediaConvert 资源(如作业、队列和输出预设)执行所有 AWS Elemental MediaConvert 操作(如 ListJobsCreateJob 等)的权限。它还授予用户要指定服务角色(MediaConvert 将代入该角色以运行作业)所需的 IAM 操作的权限。它还授予允许用户使用 Browse (浏览) 按钮以选择输入和输出位置的 Amazon S3 操作的权限。运行作业无需 Amazon S3 权限;相反,没有这些权限,用户可以指定存储桶的 URL。您可以将此策略附加到用户,如 IAM 用户指南在“JSON”选项卡上创建策略主题中所述。 


{
  "Version": "2012-10-17",
  "Statement": [{
      "Sid": "mediaconvertActions",
      "Effect": "Allow",
      "Action": [
        "mediaconvert:*",
      ],
      "Resource": "arn:aws:mediaconvert:*:*:*"
    },
    {
      "Sid": "iamActions",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole",
        "iam:ListRoles"
      ],
      "Resource": [
        "arn:aws:iam::*:role/*"
      ]
    },
    {
      "Sid": "s3Actions",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    }
  ]
}

授权管理所需的权限

要管理自己的凭证(例如密码、访问密钥和多重验证 (MFA) 设备),管理员必须授予您所需的权限。

作为 AWS 管理员,您需要 IAM 的完全访问权限,以便您可以在 IAM 中创建和管理用户、组、角色和策略。您应使用 AdministratorAccess AWS 托管策略,其中包含所有 AWS 的完全访问权限。此策略不提供对 AWS Billing and Cost Management控制台的访问权限,也不允许需要根用户凭证的任务。有关更多信息,请参阅 AWS General Reference 中的需要 AWS 账户根用户凭证的 AWS 任务

警告

只有管理员用户才应具有 AWS 的完全访问权限。除了修改您的 AWS 账户中的每个资源之外,拥有此策略的任何人都有权完全管理身份验证和访问控制。

访问控制所需的权限

如果管理员为您提供了 IAM 用户凭证,则它们会将策略附加到您的 IAM 用户身份,以控制您可以访问的资源。要在 AWS 管理控制台中查看附加到您的用户身份的策略,您必须具有以下权限:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": [
                "arn:aws-cn:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "ListUsersViewGroupsAndPolicies",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

如果您需要其他权限,请要求管理员更新策略以允许您访问所需的操作。