Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Crear políticas y roles no administrativos
<a name="setting-up-create-non-admin-iam"></a>

De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de MediaPackage. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.

Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las acciones y los tipos de recursos definidos por ellos MediaPackage, incluido el formato de los ARN para cada uno de los tipos de recursos, consulte [las claves de condición, recursos y acciones de la Referencia AWS Elemental MediaPackage](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediapackage.html) de *autorización de servicios*.

En esta sección se describe cómo crear políticas y funciones no administrativas para que los usuarios puedan crear o modificar MediaPackage recursos. En esta sección también se describe cómo sus usuarios pueden asumir ese rol para obtener credenciales seguras y temporales.

**Topics**
+ [(Opcional) Paso 1: Crear una política de IAM para Amazon CloudFront](#setting-up-create-non-admin-iam-cf)
+ [(Opcional) Paso 2: Crear una política de IAM para VOD MediaPackage](#setting-up-create-non-admin-iam-vod)
+ [Paso 3: Crear un rol en la consola de IAM](#setting-up-create-role)
+ [Paso 4: asume el rol desde la consola de IAM o AWS CLI](#setting-up-create-nonadmin-roles-assume-role)

## (Opcional) Paso 1: Crear una política de IAM para Amazon CloudFront
<a name="setting-up-create-non-admin-iam-cf"></a>

Si usted o sus usuarios van a crear CloudFront distribuciones de Amazon desde la consola AWS Elemental MediaPackage en vivo, creen una política de IAM que permita el acceso a. CloudFront

Para obtener más información sobre su uso CloudFront con MediaPackage, consulte. [Trabajando con CDNs](cdns.md)

**Utilización del editor de política de JSON para la creación de una política**

1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la izquierda, elija **Políticas**. 

   Si es la primera vez que elige **Políticas**, aparecerá la página **Welcome to Managed Policies** (Bienvenido a políticas administradas). Elija **Comenzar**.

1. En la parte superior de la página, seleccione **Crear política**.

1. En la sección **Editor de políticas**, seleccione la opción **JSON**.

1. Ingrese el siguiente documento de política JSON:

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "cloudfront:GetDistribution",
                   "cloudfront:CreateDistributionWithTags",
                   "cloudfront:UpdateDistribution",
                   "cloudfront:CreateDistribution",
                   "cloudfront:TagResource",
                   "tag:GetResources"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

1. Elija **Siguiente**.
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) en la *Guía del usuario de IAM*.

1. En la página **Revisar y crear**, introduzca el **Nombre de la política** y la **Descripción** (opcional) para la política que está creando. Revise los **Permisos definidos en esta política** para ver los permisos que concede la política.

1. Elija **Crear política** para guardar la nueva política.

## (Opcional) Paso 2: Crear una política de IAM para VOD MediaPackage
<a name="setting-up-create-non-admin-iam-vod"></a>

Si usted o sus usuarios van a utilizar la funcionalidad de vídeo bajo demanda (VOD) MediaPackage, cree una política de IAM que permita el acceso a los recursos del servicio. `mediapackage-vod`

En las secciones siguientes se describe cómo crear una política que permita todas las acciones y otra que permita derechos de solo lectura. Puede personalizar las políticas añadiendo o eliminando acciones que se ajusten a sus flujos de trabajo.

### Política de acceso completo a VOD
<a name="non-admin-iam-vod-all"></a>

Esta política permite al usuario realizar todas las acciones en todos los recursos de VOD.

**Utilización del editor de política de JSON para la creación de una política**

1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. En el panel de navegación de la izquierda, elija **Políticas**. 

   Si es la primera vez que elige **Políticas**, aparecerá la página **Welcome to Managed Policies** (Bienvenido a políticas administradas). Elija **Comenzar**.

1. En la parte superior de la página, seleccione **Crear política**.

1. En la sección **Editor de políticas**, seleccione la opción **JSON**.

1. Ingrese el siguiente documento de política JSON:

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "mediapackage-vod:*",
               "Resource": "*"
           }
       ]
   }
   ```

1. Elija **Siguiente**.
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) en la *Guía del usuario de IAM*.

1. En la página **Revisar y crear**, introduzca el **Nombre de la política** y la **Descripción** (opcional) para la política que está creando. Revise los **Permisos definidos en esta política** para ver los permisos que concede la política.

1. Elija **Crear política** para guardar la nueva política.

### Política de acceso a VOD de solo lectura
<a name="non-admin-iam-vod-read"></a>

Esta política permite al usuario ver todos los recursos de VOD.

**Utilización del editor de política de JSON para la creación de una política**

1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. En el panel de navegación de la izquierda, elija **Políticas**. 

   Si es la primera vez que elige **Políticas**, aparecerá la página **Welcome to Managed Policies** (Bienvenido a políticas administradas). Elija **Comenzar**.

1. En la parte superior de la página, seleccione **Crear política**.

1. En la sección **Editor de políticas**, seleccione la opción **JSON**.

1. Ingrese el siguiente documento de política JSON:

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "mediapackage-vod:List*",
                   "mediapackage-vod:Describe*"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

1. Elija **Siguiente**.
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) en la *Guía del usuario de IAM*.

1. En la página **Revisar y crear**, introduzca el **Nombre de la política** y la **Descripción** (opcional) para la política que está creando. Revise los **Permisos definidos en esta política** para ver los permisos que concede la política.

1. Elija **Crear política** para guardar la nueva política.

## Paso 3: Crear un rol en la consola de IAM
<a name="setting-up-create-role"></a>

Cree un rol en la consola de IAM para cada política que cree. Esto permite que los usuarios asuman un rol en lugar de asociar políticas individuales a cada usuario.

**Crear un rol en la consola de IAM**

1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.

1. En **Seleccionar entidad de confianza**, elija **Cuenta de AWS **.

1. En **Una AWS cuenta**, seleccione la cuenta con los usuarios que asumirán esta función.
   + Si un tercero va a acceder a este rol, se recomienda seleccionar **Requerir un identificador externo**. Para obtener más información sobre los identificadores externos, consulte [Uso de un identificador externo para el acceso de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) en la *Guía del usuario de IAM*.
   + Se recomienda exigir la multi-factor authentication (MFA, autenticación multifactor). Puede seleccionar la casilla situada junto a **Requerir MFA**. *Para obtener más información sobre la MFA, consulte la [Multi-factorautenticación (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) en la Guía del usuario de IAM.*

1. Elija **Siguiente**.

1. En **Políticas de permisos**, busque y añada la política con el nivel de permisos adecuado MediaPackage .
   + Para acceder a las funciones en directo, elija una de las siguientes opciones:
     + Se utiliza **AWSElementalMediaPackageFullAccess**para permitir al usuario realizar todas las acciones en todos los recursos activos de MediaPackage.
     + Se utiliza **AWSElementalMediaPackageReadOnly**para proporcionar al usuario derechos de solo lectura para todos los recursos activos de. MediaPackage
   + Para obtener acceso a la funcionalidad de vídeo bajo demanda (VOD), utilice la política que creó en [(Opcional) Paso 2: Crear una política de IAM para VOD MediaPackage](#setting-up-create-non-admin-iam-vod).

1. Añade políticas que permitan a la MediaPackage consola realizar llamadas a Amazon CloudWatch en nombre del usuario. Sin estas políticas, el usuario solo puede utilizar la API del servicio (no la consola). Elija una de las siguientes opciones:
   + **ReadOnlyAccess** MediaPackage Utilízala para permitir al usuario comunicarse con CloudWatch todos los AWS servicios de tu cuenta y proporcionarles acceso de solo lectura a ellos.
   + Utilice **CloudWatchReadOnlyAccess**y **CloudWatchLogsReadOnlyAccess**permita MediaPackage la comunicación con CloudWatch el usuario y limite el acceso de solo lectura a ellos. **CloudWatchEventsReadOnlyAccess** CloudWatch

1. (Opcional) Si este usuario va a crear CloudFront distribuciones de Amazon desde la MediaPackage consola, adjunta la política en [(Opcional) Paso 1: Crear una política de IAM para Amazon CloudFront](#setting-up-create-non-admin-iam-cf) la que creaste.

1. (Opcional) Configure un [límite de permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios. 

   1. Amplíe la sección **Límite de permisos** y seleccione **Usar un límite de permisos para controlar los permisos máximos de la función**. IAM incluye una lista de las políticas AWS gestionadas y gestionadas por los clientes en tu cuenta.

   1. Seleccione la política que desea utilizar para el límite de permisos o elija **Crear política** para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) en la *Guía del usuario de IAM*.

   1. Una vez creada la política, cierre la pestaña y vuelva a la pestaña original para seleccionar la política que va a utilizar para el límite de permisos.

1. Compruebe que se han agregado las políticas correctas a este grupo y, a continuación, elija **Siguiente**.

1. De ser posible, escriba un nombre o sufijo de nombre para el rol, que pueda ayudarle a identificar su finalidad. Los nombres de rol deben ser únicos en su Cuenta de AWS. No se distingue por caso. Por ejemplo, no puede crear funciones denominado tanto **PRODROLE** como **prodrole**. Dado que varias entidades pueden hacer referencia al rol, no puede editar el nombre del rol después de crearlo.

1. (Opcional) En **Descripción**, ingrese una descripción para el nuevo rol.

1. Seleccione **Editar** en las secciones **Paso 1: seleccionar entidades de confianza** o **Paso 2: seleccionar permisos** para editar los casos de uso y los permisos del rol. 

1. (Opcional) Asocie etiquetas como pares de clave-valor para agregar metadatos al rol. Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetado de recursos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía de usuario de IAM* .

1. Revise el rol y, a continuación, seleccione **Crear rol**.

## Paso 4: asume el rol desde la consola de IAM o AWS CLI
<a name="setting-up-create-nonadmin-roles-assume-role"></a>

Consulte los siguientes recursos para aprender a conceder permisos a los usuarios para que asuman el rol y cómo los usuarios pueden cambiar al rol desde la consola o la AWS CLI de IAM.
+ Para obtener más información sobre cómo conceder permisos para cambiar de rol, consulte [Otorgar permisos a un usuario para cambiar de rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html) en la *Guía del usuario de IAM*. 
+ Para obtener más información acerca del cambio de roles (consola), consulte [Cambio a un rol (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) en la *Guía del usuario de IAM*. 
+ Para obtener más información acerca del cambio de roles (AWS CLI), consulte [Cambio a un rol de IAM (CLI de AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html) en la *Guía del usuario de IAM*.