示例策略 - MediaConvert
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

示例策略

使用这些示例 IAM 策略授予对您的资源的访问权限,或者修改它们以满足您的使用案例。有关如何将策略附加到 IAM 用户的信息,请参阅在“JSON”选项卡上创建策略中的IAM 用户指南.

示例策略:基本 MediaConvert 用户策略

以下示例策略授予用户要操作 AWS Elemental MediaConvert 所需的基本权限。在此示例中,账号是111122223333角色名称为媒体 Convertrole. 如果您使用的是加密,或者您的 Amazon S3 存储桶已启用默认加密,则需要其他权限。有关更多信息,请参阅 使用 AWS Elemental MediaConvert 使用加密和 DRM 保护您的媒体资产

{ "Version": "2012-10-17", "Statement": [ { "Sid": "mediaconvertActions", "Effect": "Allow", "Action": "mediaconvert:*", "Resource": "*" }, { "Sid": "iamListRoles", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::111122223333:role/MediaConvertRole" }, { "Sid": "s3Actions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "*" } ] }

示例策略:资源级访问控制

以下示例策略向特定 AWS Elemental 授予权限: MediaConvert 您的账户中的资源。在此示例中,账号是 012345678910。它在任何分区和区域中允许以下操作:

  • 一次查看账户中所有队列的详细信息。

  • 一次查看已提交到队列“myQueue”的所有作业。

  • 创建一个作业并将其提交到队列“myQueue”,引用名称以“allow”开头的任何预设并引用任何作业模板。

  • 创建一个作业模板,同时引用队列“myQueue”和名称以“allow”开头的任何预设。

注意

您无法向 AWS Elemental 授予跨账户权限 MediaConvert 资源,如队列、输出预设和作业。您可以授予存储在 Amazon S3 中的输入和输出媒体文件的跨账户权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowListQueues", "Effect": "Allow", "Action": "mediaconvert:ListQueues", "Resource": "*" }, { "Sid": "AllowListJobsInQueue", "Effect": "Allow", "Action": "mediaconvert:ListJobs", "Resource": "arn:*:mediaconvert:*:012345678910:queues/myQueue" }, { "Sid": "AllowCreateLimitedJobs", "Effect": "Allow", "Action": [ "mediaconvert:CreateJob", "mediaconvert:CreateJobTemplate" ], "Resource": [ "arn:*:mediaconvert:*:012345678910:queues/myQueue", "arn:*:mediaconvert:*:012345678910:presets/allow*", "arn:*:mediaconvert:*:012345678910:jobTemplates/*" ] } ] }

示例策略:基于标签的访问控制

以下策略向用户授予对账户中的所有 MediaConvert 资源的所有操作的访问权限,除非在DenyMediaConvertWithResourceTag用钥匙进行标记access并且有价值denied或者以字符串开头的值”deny“。

注意

此策略演示了 IAM 原则,在用户策略同时允许和拒绝对资源的操作的情况下,拒绝操作优先。因此,具有此附加策略的用户无法执行拒绝的操作,即使他们具有不同的策略,允许对所有人进行管理权限。 MediaConvert 资源的费用。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowMediaConvert", "Effect": "Allow", "Action": "mediaconvert:*", "Resource": "*" }, { "Sid": "DenyMediaConvertWithResourceTag", "Effect": "Deny", "Action": [ "mediaconvert:DeleteJobTemplate", "mediaconvert:GetQueue", "mediaconvert:UpdateQueue", "mediaconvert:DeleteQueue", "mediaconvert:GetPreset", "mediaconvert:ListTagsForResource", "mediaconvert:GetJobTemplate", "mediaconvert:UntagResource", "mediaconvert:UpdateJobTemplate", "mediaconvert:DeletePreset", "mediaconvert:TagResource", "mediaconvert:UpdatePreset" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/access": [ "deny*", "denied" ] } } } ] }