MediaConvert
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

示例策略

使用这些示例 IAM 策略授予对您的资源的访问权限,或者修改它们以满足您的使用案例。有关如何将策略附加到 IAM 用户的信息,请参阅 IAM 用户指南 中的在“JSON”选项卡上创建策略

示例策略:基本 MediaConvert 用户策略

以下示例策略授予用户要操作 AWS Elemental MediaConvert 所需的基本权限。如果您使用的是加密,或者您的 Amazon S3 存储桶已启用默认加密,则需要其他权限。有关更多信息,请参阅AWS Elemental MediaConvert 的数据保护

{ "Version": "2012-10-17", "Statement": [{ "Sid": "mediaconvertActions", "Effect": "Allow", "Action": [ "mediaconvert:*", ], "Resource": "arn:aws:mediaconvert:*:*:*" }, { "Sid": "iamActions", "Effect": "Allow", "Action": [ "iam:PassRole", "iam:ListRoles" ], "Resource": [ "arn:aws:iam::*:role/*" ] }, { "Sid": "s3Actions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ] }

示例策略:资源级访问控制

以下示例策略授予您账户中的特定 AWS Elemental MediaConvert 资源的权限。在此示例中,账号是 012345678910。它在任何分区和区域中允许以下操作:

  • 一次查看账户中所有队列的详细信息。

  • 一次查看已提交到队列“myQueue”的所有作业。

  • 创建一个作业并将其提交到队列“myQueue”,引用名称以“allow”开头的任何预设并引用任何作业模板。

  • 创建一个作业模板,同时引用队列“myQueue”和名称以“allow”开头的任何预设。

注意

您无法授予 AWS Elemental MediaConvert 资源(如队列、输出预设和作业)的跨账户权限。您可以授予存储在 Amazon S3 中的输入和输出媒体文件的跨账户权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowListQueues", "Effect": "Allow", "Action": "mediaconvert:ListQueues", "Resource": "*" }, { "Sid": "AllowListJobsInQueue", "Effect": "Allow", "Action": "mediaconvert:ListJobs", "Resource": "arn:*:mediaconvert:*:012345678910:queues/myQueue" }, { "Sid": "AllowCreateLimitedJobs", "Effect": "Allow", "Action": [ "mediaconvert:CreateJob", "mediaconvert:CreateJobTemplate" ], "Resource": [ "arn:*:mediaconvert:*:012345678910:queues/myQueue", "arn:*:mediaconvert:*:012345678910:presets/allow*", "arn:*:mediaconvert:*:012345678910:jobTemplates/*" ] } ] }

示例策略:使用资源标签的基于标签的访问控制

以下策略向用户授予对账户中的所有 AWS Elemental MediaConvert 资源的所有操作的访问权限,除非资源标记有键 access 和值 denied 或以字符串“deny”开头的值。

注意

此策略演示 IAM 原则,在用户策略同时允许和拒绝对资源的操作的情况下,拒绝操作优先。因此,具有此附加策略的用户无法使用拒绝的资源,即使他们对所有 AWS Elemental MediaConvert 资源均具有常规权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllMediaConvert", "Effect": "Allow", "Action": [ "mediaconvert:*" ], "Resource": "*" }, { "Sid": "DenyUseOfTaggedDeny", "Effect": "Deny", "Action": [ "mediaconvert:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/access": [ "deny*", "denied" ] } } } ] }