MediaConvert
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

步骤 3:设置 IAM 权限

要使用 MediaConvert 运行转码作业,请先设置一个 AWS Identity and Access Management (IAM) 角色以允许 MediaConvert 访问输入文件以及存储输出文件的位置。如果您使用 DRM,您的 IAM 权限还允许 MediaConvert 通过 API 网关 访问您的加密密钥。

在 IAM 中设置您的 MediaConvert 角色

  1. 登录 AWS 管理控制台,并通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在 IAM 控制台的导航窗格中,选择 Roles,然后选择 Create role

  3. 选择 AWS 服务角色类型,然后选择 MediaConvert 服务。

  4. 为您的服务选择 MediaConvert 使用案例。然后选择 Next: Permissions。该服务已定义角色使用的权限。这些权限为 MediaConvert 授予以下权限:

    • 针对您的 Amazon S3 资源的完全访问权限

    • API 网关 调用完全访问权限

    可以代入此角色的唯一实体是 MediaConvert 服务。

  5. 选择 Next: Review

  6. 对于角色名称,请键入描述该角色用途的名称。您可能希望名称以“MediaConvert”开头,以便在创建作业时轻松找到该角色。

    角色名称在您的 AWS 账户内必须是唯一的。您最多可以使用 64 个字符,其中包含字母、数字或以下任何字符:+ = , . @ - _

    由于多个单位可能引用该角色,角色创建完毕后无法编辑角色名称。

  7. (可选) 对于角色描述,请编辑新服务角色的描述。

  8. 检查该角色,然后选择创建角色

注意

当您启用 Amazon S3 默认加密时,Amazon S3 会在您上传对象时自动加密这些对象。您可以选择使用 AWS Key Management Service (KMS) 来管理主密钥。这称为 SSE-KMS 加密。

如果您在包含 AWS Elemental MediaConvert 输入或输出文件的存储桶上启用 SSE-KMS 默认加密,则还必须向此 MediaConvert 角色添加内联策略。否则,MediaConvert 将无法读取您的输入文件或写入您的输出文件。授予这些权限:

  • 如果您的输入存储桶具有 SSE-KMS 默认加密,请授予 kms:Decrypt

  • 如果您的输出存储桶具有 SSE-KMS 默认加密,请授予 kms:GenerateDataKey

示例内联策略授予这两项权限。