# Étape 3 : configurer des autorisations IAM
<a name="getting-started-iam-permissions"></a>

Ensuite, vous devez créer une politique AWS Identity and Access Management (IAM) qui donne aux utilisateurs un ensemble d'autorisations de base (par exemple, pour créer un canal Amazon IVS, obtenir des informations sur la diffusion et l'enregistrement automatique vers S3) et affecter cette politique aux utilisateurs. Vous pouvez soit attribuer les autorisations lors de la création d'un [nouvel utilisateur](#iam-permissions-new-user), soit ajouter des autorisations à un [utilisateur existant](#iam-permissions-existing-user). Les deux procédures sont données ci-dessous.

Pour plus d’informations (par exemple, pour en savoir plus sur les utilisateurs et les politiques IAM, comment attacher une politique à un utilisateur et comment limiter les actions des utilisateurs sur Amazon IVS), consultez :
+ [Création d’un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#Using_CreateUser_console) dans le *Guide de l’utilisateur IAM*
+ Les informations dans [Sécurité Amazon IVS](security.md) concernent l’IAM et les « politiques gérées pour IVS ». 
+ Pour la fonctionnalité record-to-S3 : [Utilisation des rôles liés à un service](security-service-linked-roles.md) et [Enregistrement automatique vers Amazon S3](record-to-s3.md) dans le *Guide de l’utilisateur Amazon IVS*

Vous pouvez utiliser une politique gérée par AWS existante pour Amazon IVS ou créer une politique qui personnalise les autorisations que vous souhaitez accorder à un ensemble d’utilisateurs, de groupes ou de rôles. Les deux approches sont décrites ci-dessous.

## Utiliser une politique existante pour les autorisations IVS
<a name="iam-permissions-existing-policy"></a>

Dans la plupart des cas, vous souhaiterez utiliser une politique gérée par AWS pour Amazon IVS. Elles sont décrites en détail dans la section [Managed Policies for IVS](security-iam-awsmanpol.md) de *Sécurité IVS*.
+ Utilisez la politique gérée par AWS `IVSReadOnlyAccess` pour permettre à vos développeurs d’applications d’accéder à toutes les opérations des API IVS Get et List (pour la diffusion à faible latence et en temps réel).
+ Utilisez la politique gérée par AWS `IVSFullAccess` pour permettre à vos développeurs d’applications d’accéder à toutes les opérations des API IVS (pour la diffusion à faible latence et en temps réel).

## Facultatif : créer une politique personnalisée pour les autorisations Amazon IVS
<a name="iam-permissions-new-policy"></a>

Procédez comme suit :

1. Connectez-vous à la console de gestion AWS et ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, sélectionnez **Politicies** (Politiques), puis **Create policy** (Créer une politique). La fenêtre **Spécifier les autorisations** s’ouvre.

1. Dans la fenêtre **Spécifier les autorisations**, choisissez l’onglet **JSON** et copiez/collez la politique IVS suivante dans la zone de texte de l’**Éditeur de politique**. (La politique n’inclut pas toutes les actions Amazon IVS. Vous pouvez ajouter/supprimer (Autoriser/Refuser) des autorisations d’accès aux opérations selon vos besoins. Consultez [Référence de l’API de diffusion à faible latence IVS](https://docs.aws.amazon.com//ivs/latest/LowLatencyAPIReference/Welcome.html) pour en savoir plus sur les opérations IVS.)

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
         {
            "Effect": "Allow",
            "Action": [
               "ivs:CreateChannel",
               "ivs:CreateRecordingConfiguration",
               "ivs:GetChannel",
               "ivs:GetRecordingConfiguration",
               "ivs:GetStream",
               "ivs:GetStreamKey",
               "ivs:GetStreamSession",
               "ivs:ListChannels",
               "ivs:ListRecordingConfigurations",
               "ivs:ListStreamKeys",
               "ivs:ListStreams",
               "ivs:ListStreamSessions"
             ],
             "Resource": "*"
         },
         {
            "Effect": "Allow",
            "Action": [
               "cloudwatch:DescribeAlarms",
               "cloudwatch:GetMetricData",
               "s3:CreateBucket",
               "s3:GetBucketLocation",
               "s3:ListAllMyBuckets",
               "servicequotas:ListAWSDefaultServiceQuotas",
               "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
               "servicequotas:ListServiceQuotas",
               "servicequotas:ListServices",
               "servicequotas:ListTagsForResource"
            ],
            "Resource": "*"
         },
         {
            "Effect": "Allow",
            "Action": [
               "iam:AttachRolePolicy",
               "iam:CreateServiceLinkedRole",
               "iam:PutRolePolicy"
            ],
            "Resource": 
   "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
         }
      ]
   }
   ```

------

1. Toujours dans la fenêtre **Spécifier les autorisations**, choisissez **Suivant** (faites défiler la fenêtre vers le bas pour voir ceci). Une fenêtre **Vérifier et créer** s’ouvre. 

1. Dans la fenêtre **Vérifier et créer**, saisissez un **Nom de politique** et ajoutez éventuellement une **Description**. Notez le nom de la politique, car vous en aurez besoin lors de la création des utilisateurs (ci-dessous). En bas de la fenêtre, choisissez **Create policy** (Créer la politique).

1. Vous êtes renvoyé à la fenêtre de la console IAM, où vous devriez voir une bannière confirmant que votre nouvelle politique a été créée.

## Créer un nouvel utilisateur et ajouter des autorisations
<a name="iam-permissions-new-user"></a>

### Clés d’accès utilisateur IAM
<a name="iam-permissions-new-user-access-keys"></a>

Les clés d'accès IAM sont constituées d'un ID de clé d'accès et d'une clé d'accès secrète. Elles permettent de signer les demandes de manière programmatique auprès des services AWS. Si vous n’avez pas de clés d’accès, vous pouvez en créer à l’aide de la console de gestion AWS. En guise de bonnes pratiques, ne créez pas de clés d’accès pour l’utilisateur root.

*La seule fois où vous pouvez visualiser ou télécharger une clé d’accès secrète est lors de sa création. Vous ne pouvez pas la récupérer par la suite.* Toutefois, pour créer des clés d’accès, vous devez disposer des autorisations permettant d’effectuer les opérations IAM nécessaires.

Conservez toujours les clés d’accès en lieu sûr. Ne les partagez jamais avec des tiers (même si une demande semble provenir d’Amazon). Pour de plus amples informations, veuillez consulter [Gestion des clés d’accès pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) dans le *Guide de l’utilisateur IAM*.

### Procédure
<a name="iam-permissions-new-user-procedure"></a>

Procédez comme suit :

1. Dans le panneau de navigation, choisissez **Utilisateurs**, puis **Créer un utilisateur**. Une fenêtre **Spécifier les détails de l’utilisateur** s’ouvre. 

1. Dans la fenêtre **Spécifier les détails de l’utilisateur** :

   1. Sous **Détails de l’utilisateur**, saisissez le nouveau **Nom d’utilisateur** à créer.

   1. Cochez **Fournir un accès utilisateur à l’AWS Management Console**.

   1. Lorsque vous y êtes invité, sélectionnez **Je souhaite créer un utilisateur IAM**.

   1. Sous **Mot de passe de la console**, sélectionnez **Mot de passe généré automatiquement**.

   1. Cochez **Les utilisateurs doivent créer un nouveau mot de passe lors de la prochaine connexion**.

   1. Choisissez **Suivant**. Une fenêtre **Définir les autorisations** s’ouvre.

1. Pour **Définir les autorisations**, sélectionnez **Attacher directement les politiques**. Une fenêtre **Politiques d’autorisations** s’ouvre.

1. Dans le champ de recherche, entrez le nom d’une politique IVS (soit une politique gérée par AWS, soit une politique personnalisée que vous avez créée précédemment). Lorsqu’elle est trouvée, cochez la case pour sélectionner la politique.

1. Choisissez **Suivant** (en bas de la fenêtre). Une fenêtre **Vérifier et créer** s’ouvre.

1. Dans la fenêtre **Vérifier et créer**, vérifiez que toutes les informations utilisateur sont correctes, puis choisissez **Créer un utilisateur** (en bas de la fenêtre).

1. La fenêtre **Récupérer le mot de passe** s’ouvre et contient les **Informations de connexion à la console**. *Enregistrez ces informations de manière sécurisée pour pouvoir vous y référer ultérieurement*. Une fois que vous avez termin, choisissez **Retourner à la liste des utilisateurs**.

## Ajouter des autorisations à un utilisateur existant
<a name="iam-permissions-existing-user"></a>

Procédez comme suit :

1. Connectez-vous à la console de gestion AWS et ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez**Users** (Utilisateurs), puis choisissez un nom d’utilisateur existant à mettre à jour. (Choisissez le nom en cliquant dessus ; ne cochez pas la case de sélection.)

1. Sur la page **Récapitulatif**, dans l’onglet **Autorisations**, choisissez **Ajouter des autorisations**. La fenêtre **Ajouter des autorisations** s’ouvre.

1. Sélectionnez **Attach existing policies directly (Attacher directement les politiques existantes)**. Une fenêtre **Politiques d’autorisations** s’ouvre.

1. Dans le champ de recherche, entrez le nom d’une politique IVS (soit une politique gérée par AWS, soit une politique personnalisée que vous avez créée précédemment). Lorsque la politique est trouvée, cochez la case pour la sélectionner.

1. Choisissez **Suivant** (en bas de la fenêtre). Une fenêtre **Vérifier** s’ouvre.

1. Dans la fenêtre **Vérifier**, sélectionnez **Ajouter des autorisations** (en bas de la fenêtre).

1. Sur la page **Summary** (Récapitulatif), confirmez que la politique IVS a été ajoutée.