MediaConvert
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

什么是策略?

您将创建策略并将其附加到 IAM 身份或 AWS 资源,以便控制 AWS 中的访问。

策略是 AWS 中的对象;在与实体或资源相关联时,策略定义了它们的权限。在委托人(如用户)发出请求时,AWS 将评估这些策略。策略中的权限确定是允许还是拒绝请求。大多数策略在 AWS 中存储为 JSON 文档。

IAM 策略定义操作的权限,无论您使用哪种方法执行操作。例如,如果一个策略允许GetUser 操作,则具有该策略的用户可以从 AWS 管理控制台、AWS CLI 或 AWS API 获取用户信息。在创建 IAM 用户时,您可以设置用户以允许控制台或编程访问。IAM 用户可以使用用户名和密码登录到控制台。或者,他们也可以使用访问密钥来使用 CLI 或 API。

按频率顺序列出的以下策略类型可能会影响请求是否已获得授权。有关更多详细信息,请参阅 IAM 用户指南 中的策略类型

  • 基于身份的策略 – 您可以将托管策略和内联策略附加到 IAM 身份(用户、用户所属组和角色)。

  • 基于资源的策略 – 您可以将内联策略附加到一些 AWS 服务中的资源。基于资源的策略的最常见示例是 Amazon S3 存储桶策略和 IAM 角色信任策略。AWS Elemental MediaConvert does not support基于资源的策略。

  • 组织 SCP – 您可以使用 AWS Organizations 服务控制策略 (SCP) 将权限边界应用于 AWS Organizations 组织或组织单元 (OU)。这些权限会应用到成员账户中的所有实体。

  • 访问控制列表 (ACL) – 您可以使用 ACL 来控制哪些委托人可以访问资源。ACL 类似于基于资源的策略,但它们是唯一不使用 JSON 策略文档结构的策略类型。AWS Elemental MediaConvert does not support ACL。

这些策略类型可分类为权限策略权限边界

  • 权限策略 – 您可以将权限策略附加到 AWS 中的资源以定义该对象的权限。在单个账户中,AWS 一起评估所有权限策略。权限策略是最常用的策略。您可以使用以下策略类型作为权限策略:

    • 基于身份的策略 – 将托管策略或内联策略附加到 IAM 用户、组或角色时,策略定义该实体的权限。

    • 基于资源的策略 – 将 JSON 策略文档附加到资源时,定义该资源的权限。服务必须支持基于资源的策略。

    • 访问控制列表 (ACL) – 将 ACL 附加到资源时,定义具有访问该资源的权限的委托人的列表。资源必须支持 ACL。

  • 权限边界 – 您可以使用策略来定义实体(用户或角色)的权限边界。权限边界控制实体可以具有的最大权限。权限边界是一项高级 AWS 功能。当多个权限边界应用于请求时,AWS 会单独评估每个权限边界。您可以在以下情况下应用权限边界:

    • 组织 – 您可以使用 AWS Organizations 服务控制策略 (SCP) 将权限边界应用于 AWS Organizations 组织或组织单元 (OU)。

    • IAM 用户或角色 – 您可以对用户或角色的权限边界使用托管策略。有关更多信息,请参阅 IAM 用户指南中的 IAM 实体的权限边界

基于身份的策略

您可以向 IAM 身份挂载策略。例如,您可以执行以下操作:

  • 将权限策略附加到您账户中的用户或组 – 要向用户授予创建 AWS Elemental MediaConvert 资源(如a job)的权限,您可以将权限策略附加到用户或用户所属的组。

  • 向角色附加权限策略(授予跨账户权限) – 您可以向 IAM 角色附加基于身份的权限策略,以授予跨账户的权限。例如,账户 A 中的管理员可以创建一个角色,以向其他 AWS 账户(如账户 B)或某项 AWS 服务授予跨账户权限,如下所述:

    1. 账户 A 管理员可以创建一个 IAM 角色,然后向该角色附加为其授予访问账户 A 中资源的权限的权限策略。

    2. 账户 A 管理员可以向角色挂载信任策略,将账户 B 标识为能够担任该角色的委托人。

    3. 之后,账户 B 管理员可以委托权限,指派账户 B 中的任何用户代入该角色。这样,账户 B 中的用户就可以在账户 A 中创建或访问资源了。如果您需要授予 AWS 服务权限来代入该角色,则信任策略中的委托人也可以是 AWS 服务委托人。

    有关使用 IAM 委派权限的更多信息,请参阅 IAM 用户指南 中的访问权限管理

有关用户、组、角色和权限的更多信息,请参阅 IAM 用户指南 中的身份(用户、组和角色)

基于资源的策略

基于资源的策略是附加到资源的 JSON 策略文档。这些策略允许您指定,指定的委托人可在何种条件下对该资源执行哪些操作。最常见的基于资源的策略是 Amazon S3 存储桶。基于资源的策略是仅存在于资源上的内联策略。没有基于托管资源的策略。

使用基于资源的策略向其他 AWS 账户的成员授予权限比 IAM 角色具有一些优势。有关更多信息,请参阅 IAM 用户指南 中的 IAM 角色与基于资源的策略有何不同

AWS Elemental MediaConvert 不支持基于资源的策略。

策略访问级别分类

在 IAM 控制台中,使用以下访问级别分类对操作进行分组:

  • List (列表) – 提供权限列出服务内的资源以确定某个对象是否存在。此访问权限级别的操作可以列出对象,但是看不到资源的内容。具有 List (列表) 访问级别的大多数操作都无法在特定资源上执行。使用这些操作创建策略语句时,必须指定 All resources (所有资源) ("*")。

  • Read (读取) – 提供权限读取服务中资源的内容和属性但不对其进行编辑。例如,Amazon S3 操作 GetObjectGetBucketLocation具有 Read (读取) 访问级别。

  • Write (写入) – 提供权限在服务中创建、删除或修改资源。例如,Amazon S3 操作 CreateBucketDeleteBucketPutObject 具有 Write (写入) 访问级别。

  • Permissions management (权限管理) – 提供权限在服务中授予或修改资源权限。例如,大多数 IAM 和 AWS Organizations 策略操作具有 Permissions management (权限管理) 访问级别。

    提示

    要提高您的 AWS 账户的安全性,请限制或定期监控具有 Permissions management (权限管理) 访问级别分类的策略。

  • Tagging (标记) – 提供权限创建、删除或修改附加到服务中的资源的标签。例如,Amazon EC2 CreateTagsDeleteTags 操作具有 Tagging (标记) 访问级别。