MediaConvert
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

了解 AWS Elemental MediaConvert 如何与 IAM 协同工作

AWS 服务可以通过多种方式使用 IAM。AWS Elemental MediaConvert 支持以下方式:

  • 操作 – AWS Elemental MediaConvert 支持在一个策略中使用多个操作。这允许管理员控制实体是否可以在 MediaConvert 中完成操作。例如,要允许某个实体通过执行 UpdateJobTemplate AWS API 操作来更新作业模板,管理员必须附加允许 iam:UpdateJobTemplate 操作的策略。

  • 资源级权限 – AWS Elemental MediaConvert 支持资源级权限。资源级权限允许您在策略中指定各个资源。例如,您可以向用户授予仅将作业提交到某个特定队列或仅使用在其名称中具有某个特定 ID 的作业模板的权限。

    有关授予资源级权限的示例 IAM 策略,请参阅示例策略:资源级访问控制

    有关限制资源级访问的更多信息,请参阅 IAM 用户指南 中的控制对资源的访问

  • 根据标签进行授权 – AWS Elemental MediaConvert 支持根据标签进行授权。此功能允许您在策略条件中使用资源标签

    例如,您可能创建一个策略,该策略允许用户访问对账户中的所有 MediaConvert 资源的所有操作,除非资源标记有标签键 access 和值 denied 或以字符串 deny 开头。您可以使用条件键 aws:RequestTag/<tag-key> 完成此操作。

    有关授予这些权限的示例 IAM 策略,请参阅示例策略:使用资源标签的基于标签的访问控制

    有关在您的 AWS Elemental MediaConvert 资源上放置标签的信息,请参阅标记 AWS Elemental MediaConvert 队列、作业模板和输出预设

    有关使用标签限制对您的资源的访问的更多信息,请参阅 IAM 用户指南 中的使用标签控制访问

  • 临时凭证 – AWS Elemental MediaConvert 支持临时凭证。此功能允许您使用联合身份验证登录、代入 IAM 角色或者代入跨账户角色。您可以通过调用 AWS STS API 操作(如 AssumeRoleGetFederationToken)获得临时安全凭证。

  • 服务角色 – AWS Elemental MediaConvert 支持服务角色。此功能允许服务代表您代入服务角色。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的 IAM 账户中,并由该账户拥有。这意味着 IAM 管理员可以更改此角色的权限。但是,这可能会中断服务的功能。有关创建此角色的信息,请参阅本指南的入门 章节中的步骤 3:设置 IAM 权限

AWS Elemental MediaConvert 不支持采用以下方式与 IAM 交互:

  • 基于资源的策略 – AWS Elemental MediaConvert 不支持基于资源的策略。基于资源的策略允许您将策略附加到该服务中的资源。基于资源的策略包含 Principal 元素,用于指定可以访问此资源的 IAM 身份。

  • 服务相关角色 – AWS Elemental MediaConvert 不支持服务相关角色。此功能允许服务代表您代入服务相关角色。此角色允许服务访问其他服务中的资源以代表您完成操作。服务相关角色显示在您的 IAM 账户中,并由该服务拥有。IAM 管理员可以查看但不能编辑服务相关角色的权限。

AWS Elemental MediaConvert 资源和操作

在 AWS Elemental MediaConvert 中,主要资源为 作业。在策略中,您可以使用 Amazon 资源名称 (ARN) 标识策略应用到的资源。

下表中的资源具有关联的唯一 ARN。

MediaConvert 控制台中的名称 ARN 格式
任务 arn:partition:mediaconvert:region:account:jobs/JobId
队列 arn:partition:mediaconvert:region:account:queues/QueueName
输出预设 arn:partition:mediaconvert:region:account:presets/PresetName
作业模板 arn:partition:mediaconvert:region:account:jobTemplates/JobTemplateName

AWS Elemental MediaConvert 提供一组操作来处理 MediaConvert 资源。有关每个资源的可用操作列表,请遵循上表中指向 AWS Elemental MediaConvert API 参考的链接。

要允许或拒绝对 AWS Elemental MediaConvert 资源子集的访问,请在策略的 Resource 中包含资源的 ARN。MediaConvert 的 ARN 具有以下格式:

arn:partition:mediaconvert:account:resource/ID

partitionaccountresourceID 变量替换为有效值。有效值如下:

  • partition:您的 AWS 区域的分区。对于大多数区域,分区是“aws.”

  • account:您的 AWS 账户的 ID。此账户必须与您用于创建 IAM 用户以登录 AWS Elemental MediaConvert 的账户相同。

  • resource:AWS Elemental MediaConvert 资源的类型。

  • ID:AWS Elemental MediaConvert 资源的 ID。

对于任何这些变量,您可以选择使用一个通配符 (*) 来指示指定类型的所有资源。例如,以下 ARN 指定账户 111122223333 的所有输出预设:

arn:aws-cn:mediaconvert::111122223333:presets/*