# Sécurité Amazon IVS
Chez AWS, la sécurité dans le cloud est notre priorité numéro 1. En tant que client AWS, vous bénéficiez d’un centre de données et d’une architecture réseau conçus pour répondre aux exigences des organisations les plus pointilleuses en termes de sécurité.
La sécurité est une responsabilité partagée entre AWS et vous-même. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est responsable de la protection de l’infrastructure qui exécute des services AWS dans le Cloud AWS. AWS vous fournit également les services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des [programmes de conformité AWS](https://aws.amazon.com/compliance/programs/).
+ **Sécurité dans le cloud** : votre responsabilité est déterminée par le service AWS que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation ainsi que les lois et réglementations applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lorsque vous utilisez Amazon IVS. Les rubriques suivantes vous montrent comment configurer Amazon IVS pour répondre à vos objectifs de sécurité et de conformité.
**Topics**
+ [Protection des données IVS](security-data-protection.md)
+ [Gestion des identités et des accès dans IVS](security-iam.md)
+ [Politiques gérées pour Amazon IVS](security-iam-awsmanpol.md)
+ [Utilisation des rôles liés à un service pour Amazon IVS](security-service-linked-roles.md)
+ [Journalisation et surveillance d’IVS](security-logging-monitoring.md)
+ [Réponse aux incidents IVS](security-incident-response.md)
+ [Résilience IVS](security-resilience.md)
+ [Sécurité de l’infrastructure IVS](security-infrastructure.md)
# Protection des données IVS
Pour les données envoyées à Amazon Interactive Video Service (IVS), les systèmes de protection de données suivants sont en place :
+ Amazon IVS crypte les données en transit via les points de terminaison de l’API HTTPS, l’ingestion de RTMPS et la lecture HTTPS. Aucune configuration n’est requise pour les points de terminaison de l’API.
+ Pour l’ingestion, les diffuseurs peuvent sécuriser leur contenu en utilisant RTMPS. Le protocole est disponible par défaut. Consultez [Mise en route avec le streaming à faible latence IVS](getting-started.md).
+ Les canaux IVS peuvent être configurés pour autoriser l’ingestion RTMP non sécurisée, bien que nous vous recommandons d’utiliser le protocole RTMPS, sauf si vous avez des cas d’utilisation spécifiques et vérifiés nécessitant le protocole RTMP.
+ Pour le transcodage/transmuxage, les données peuvent être transmises de manière non chiffrée sur les réseaux Amazon internes.
+ Pour la lecture, les données sont diffusées via HTTPS.
+ Le contenu vidéo en direct n’est pas stocké et est éphémère. Il se déplace à travers le système et est mis en cache sur les systèmes internes pendant le visionnage.
+ Quant à la fonctionnalité d’enregistrement automatique vers S3, le contenu vidéo est écrit sur Amazon S3. Pour de plus amples informations , consultez [sur la protection des données dans Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html).
+ Toutes les métadonnées stockées et saisies par le client se trouvent dans des services gérés par AWS à l’aide du chiffrement côté serveur.
+ Pour améliorer la qualité du service, Amazon IVS stocke les métadonnées du client, soit l’utilisateur final (par exemple, les taux de tampon pour une région particulière). Ces métadonnées ne peuvent pas être utilisées pour identifier personnellement vos utilisateurs finaux.
+ Les clés de chiffrement publiques que vous gérez peuvent être utilisées avec l’opération d’API `ImportPlaybackKeyPair`. Consultez la [Référence de l’API de streaming à faible latence IVS](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html). *Ne partagez pas ces clés de chiffrement*.
Amazon IVS n'exige pas que vous fournissiez des données client (utilisateur final). Aucun champ dans les canaux, les entrées ou les groupes de sécurité en entrée ne nécessite la fourniture de données clients.
N’indiquez pas d’informations d’identification sensibles telles que vos numéros de compte client (utilisateur final) dans des champs non structurés tels que le champ Nom. Cela vaut lorsque vous travaillez avec la console ou l’API Amazon IVS, l’AWS CLI ou des kits SDK AWS. Toutes les données que vous entrez dans Amazon IVS ou d’autres services peuvent être incluses dans les journaux de diagnostic.
Les flux ne sont pas chiffrés de bout en bout ; un flux peut être transmis de façon interne et non chiffrée au sein du réseau IVS pour traitement.
# Gestion des identités et des accès dans IVS
AWS Identity and Access Management (IAM) est un service AWS qui permet à un administrateur de comptes de contrôler l’accès aux ressources AWS en toute sécurité. Chaque ressource AWS appartient à un compte AWS et les autorisations de créer des ressources et d’y accéder sont régies par des politiques d’autorisation. Les administrateurs de comptes IAM contrôlent les personnes pouvant être authentifiées (connectées) et autorisées (disposant d’autorisations) à utiliser des ressources Amazon IVS. IAM est une fonctionnalité de votre compte AWS proposée sans frais supplémentaires.
**Important** : pour des informations détaillées, consultez la [page du produit AWS IAM](https://aws.amazon.com/iam/), le [Guide de l’utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/) et la [Signature des requêtes d’API AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html). Tout au long de cette section, nous fournissons également des liens vers des sections spécifiques du *Guide de l’utilisateur IAM*. Vous devez bien connaître ce guide avant de procéder.
## Public ciblé
Votre utilisation d’IAM diffère selon les tâches réalisées dans Amazon IVS :
+ **Utilisateur du service** : si vous utilisez le service Amazon IVS pour effectuer vos tâches, votre administrateur vous fournira les informations d’identification et les autorisations nécessaires. Il est possible que vous ayez besoin d’autorisations supplémentaires si vous utilisez davantage de fonctionnalités Amazon IVS. En comprenant la gestion des accès, vous n’aurez aucun mal à demander les bonnes autorisations à votre administrateur. Si vous ne pouvez pas accéder à une fonctionnalité dans Amazon IVS, consultez [Résolution des problèmes](#security-iam-troubleshooting).
+ **Administrateur du service** : si vous êtes le responsable des ressources Amazon IVS de votre entreprise, vous bénéficiez probablement d’un accès total à ce service. C’est à vous de déterminer les fonctionnalités et les ressources Amazon IVS auxquelles vos employés pourront accéder. Vous devez ensuite soumettre les demandes à votre administrateur IAM pour modifier les autorisations des utilisateurs de votre service. Consultez les informations figurant sur cette page pour comprendre les concepts de base d’IAM. Pour découvrir la façon dont votre entreprise peut utiliser IAM avec Amazon IVS, consultez [Fonctionnement d’Amazon IVS avec IAM](#security-iam-how-ivs-works).
+ **Administrateur IAM** : si vous êtes un administrateur IAM, vous pouvez rédiger des politiques afin de gérer l’accès à Amazon IVS. Pour afficher des exemples de politiques basées sur l’identité Amazon IVS que vous pouvez utiliser dans IAM, consultez [Exemples de politiques basées sur l’identité](#security-iam-policy-examples).
## Fonctionnement d’Amazon IVS avec IAM
Avant de pouvoir effectuer des demandes d’API Amazon IVS, vous devez créer une ou plusieurs *identités* IAM (utilisateurs, groupes et rôles) ainsi que des *politiques* IAM, puis rattacher les politiques aux identités. La propagation des autorisations peut prendre quelques minutes. Jusque-là, les demandes d’API sont rejetées.
Pour une vue d’ensemble du fonctionnement d’Amazon IVS avec IAM, veuillez consulter la rubrique [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Identités
Vous pouvez créer des identités IAM pour fournir une authentification aux personnes et aux processus de votre compte AWS. Les groupes IAM sont des collections d’utilisateurs IAM que vous gérez en tant qu’unité. Consultez la section [Identités (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) du *Guide de l’utilisateur IAM*.
## Politiques
Consultez ces sections dans le *Guide de l’utilisateur IAM* :
+ [Gestion des accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) : tout sur les politiques.
+ [Actions, ressources et clés de condition pour Amazon IVS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservice.html)
+ [Clés de contexte de condition globale AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) : tous les éléments que vous pouvez utiliser dans une politique JSON.
Par défaut, les utilisateurs et les rôles IAM n’ont pas l’autorisation de créer ou de modifier des ressources Amazon IVS (même s’il s’agit de modifier leurs propres mots de passe). Ils ne peuvent pas non plus exécuter de tâches à l’aide de la console AWS, de l’AWS CLI ou de l’API AWS. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d’API spécifiques sur les ressources spécifiées dont ils ont besoin.
Les politiques IAM définissent les autorisations d’une action, quelle que soit la méthode que vous utilisez pour exécuter l’opération. Par exemple, supposons que vous disposiez d'une politique qui autorise l'action `iam:GetRole`. Un utilisateur disposant de cette stratégie peut obtenir des informations de rôle à partir de la console de gestion AWS, de l’AWS CLI ou de l’API AWS.
Les politiques sont des documents de politique d’autorisation JSON composés d’*éléments*. Amazon IVS prend en charge trois éléments :
+ **Actions** : les actions de politique pour Amazon IVS utilisent le préfixe `ivs` avant l’action. Par exemple, pour donner l’autorisation à une personne de créer un canal Amazon IVS avec la méthode d’API Amazon IVS `CreateChannel`, vous devez inclure l’action `ivs:CreateChannel` dans la politique destinée à cette personne. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`.
+ **Ressources** : la ressource de canal Amazon IVS possède le format d’[ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) suivant :
```
arn:aws:ivs:${Region}:${Account}:channel/${channelId}
```
Par exemple, pour spécifier le canal `VgNkEJgOVX9N` dans votre instruction, utilisez l’ARN suivant :
```
"Resource": "arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N"
```
Certaines actions Amazon IVS, comme celles destinées à la création de ressources, ne peuvent pas être exécutées sur une ressource spécifique. Dans ce cas, vous devez utiliser le caractère générique () : (`*`):
```
"Resource":"*"
```
+ **Conditions** : Amazon IVS prend en charge certaines clés de condition globales, soit `aws:RequestTag`, `aws:TagKeys` et `aws:ResourceTag`.
Vous pouvez utiliser des variables pour créer des espaces réservés dans une politique. Par exemple, vous pouvez accorder à un utilisateur IAM l’autorisation d’accéder à une ressource uniquement si elle est balisée avec son nom d’utilisateur IAM. Consultez la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de l’utilisateur IAM*.
Amazon IVS propose des politiques gérées par AWS qui peuvent être utilisées pour accorder un ensemble préconfiguré d’autorisations aux identités (lecture seule ou accès complet). Vous pouvez choisir d’utiliser des politiques gérées au lieu des politiques basées sur l’identité présentées ci-dessous. Pour plus de détails, consultez [Managed Policies for Amazon IVS.](security-iam-awsmanpol.md)
## Autorisation basée sur les balises Amazon IVS
Vous pouvez rattacher des balises aux ressources Amazon IVS ou transmettre des balises dans une demande à Amazon IVS. Pour contrôler l’accès basé sur des balises, vous devez fournir les informations des balises dans l’élément de condition d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d’informations sur le balisage des ressources Amazon IVS, consultez la section « Balisage » dans la [Référence de l’API de streaming à faible latence IVS](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html), dans la [Référence de l’API de streaming en temps réel IVS](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html), et dans la [Référence de l’API IVS Chat](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html).
Pour obtenir un exemple, consultez [Afficher les canaux Amazon IVS en fonction des balises](#security-iam-policy-examples-tags).
## Rôles
Consultez les sections [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) et [Informations d’identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) du *Guide de l’utilisateur IAM*.
Un *rôle IAM* est une entité au sein de votre compte AWS qui dispose d’autorisations spécifiques.
Amazon IVS est compatible avec l’utilisation des *informations d’identification de sécurité temporaires*. Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d’identification de sécurité temporaires en appelant les opérations d’API [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) telles que `AssumeRole` ou `GetFederationToken`.
## Accès privilégié et non privilégié
Les ressources API ont un accès privilégié. L’accès à la lecture non privilégié peut être configuré via des canaux privés ; consultez [Configurer des canaux privés](private-channels.md).
## Bonnes pratiques pour l’utilisation des politiques
Consultez les [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité sont très puissantes. Elles déterminent si une personne peut créer, consulter ou supprimer des ressources Amazon IVS sur votre compte. Ces actions peuvent entraîner des frais pour votre compte AWS. Suivez ces recommandations :
+ **Accorder le privilège le plus faible** : lorsque vous créez des politiques personnalisées, accordez uniquement les autorisations nécessaires à l’exécution d’une tâche. Commencez avec un minimum d’autorisations et accordez-en d’autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives et d’essayer de les restreindre plus tard. Plus précisément, réservez `ivs:*` à l’accès administrateur ; ne l’utilisez pas dans les applications.
+ **Activer la MFA pour les opérations confidentielles** — Pour plus de sécurité, demandez aux utilisateurs IAM d’utiliser la Multi-Factor Authentication (MFA) pour accéder à des ressources ou à des opérations d’API confidentielles.
+ **Utiliser des conditions de politique pour davantage de sécurité** : définissez les conditions dans lesquelles vos politiques basées sur l’identité autorisent l’accès à une ressource, dans la mesure où cela reste pratique. Par exemple, vous pouvez rédiger les conditions pour spécifier une plage d’adresses IP autorisées d’où peut provenir une demande. Vous pouvez également écrire des conditions pour autoriser les requêtes uniquement à une date ou dans une plage de temps spécifiée, ou pour imposer l’utilisation de SSL ou de MFA.
## Exemples de politiques basées sur l’identité
### Utiliser la console Amazon IVS
Pour accéder à la console Amazon IVS, vous devez disposer d’un ensemble minimum d’autorisations qui vous permet de répertorier et d’afficher les détails des ressources Amazon IVS sur votre compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités tributaires de cette politique. Pour garantir l’accès à la console Amazon IVS, rattachez la politique suivante aux identités (consultez la section [Ajout et suppression d’autorisations IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) du *Guide de l’utilisateur IAM*).
Les quatre parties de la politique suivante donnent accès à :
+ Toutes les opérations d’API Amazon IVS
+ Vos [Service Quotas](service-quotas.md) Amazon IVS
+ Points de terminaison Amazon S3 nécessaires pour la fonctionnalité d’enregistrement automatique vers S3 d’IVS (streaming à faible latence) et la fonctionnalité d’enregistrement composite d’IVS (streaming en temps réel).
+ Création d’un rôle lié à un service pour l’enregistrement automatique vers S3
+ Amazon Cloudwatch pour obtenir des métriques pour votre session en direct
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ivs:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"servicequotas:ListServiceQuotas"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:CreateBucket",
"s3:DeleteBucketPolicy",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListAllMyBuckets",
"s3:PutBucketPolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:AttachRolePolicy",
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"lambda:AddPermission",
"lambda:ListFunctions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### Autoriser les utilisateurs à afficher leurs propres autorisations
Cet exemple montre une politique permettant aux utilisateurs IAM d’afficher les politiques en ligne et gérées qui sont rattachées à leur identité d’utilisateur. Cette stratégie inclut les autorisations nécessaires pour réaliser cette action sur la console AWS ou par programmation à l’aide de l’AWS CLI ou de l’API AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam:*:*:user/${aws:username}"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
### Accéder à un canal Amazon IVS
Vous souhaitez accorder à un utilisateur IAM de votre compte AWS l’accès à l’un de vos canaux Amazon IVS, `VgNkEJgOVX9N`. Vous souhaitez également autoriser l’utilisateur à arrêter le flux (`ivs:StopStream`), ajouter des métadonnées (`ivs:PutMetadata`) et mettre à jour le canal (`ivs:UpdateChannel`). Cette politique accorde également les autorisations requises par la console Amazon IVS : `ivs:ListChannels`, `ivs:ListStreams`, `ivs:GetChannel` et `ivs:GetStream`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListChannelsInConsole",
"Effect":"Allow",
"Action":[
"ivs:ListChannels",
"ivs:ListStreams"
],
"Resource":"arn:aws:ivs:*:*:channel/*"
},
{
"Sid":"ViewSpecificChannelInfo",
"Effect":"Allow",
"Action":[
"ivs:GetChannel",
"ivs:GetStream"
],
"Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
},
{
"Sid":"ManageChannel",
"Effect":"Allow",
"Action":[
"ivs:StopStream",
"ivs:PutMetadata",
"ivs:UpdateChannel"
],
"Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
}
]
}
```
------
### Afficher les canaux Amazon IVS en fonction des balises
Vous pouvez utiliser des conditions dans votre politique basée sur l’identité pour contrôler l’accès aux ressources Amazon IVS en fonction des balises. Cet exemple montre une politique permettant d’afficher un canal. Cette politique accorde également les autorisations nécessaires pour réaliser cette action sur la console Amazon IVS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListWidgetsInConsole",
"Effect": "Allow",
"Action": "ivs:ListChannels",
"Resource": "arn:aws:ivs:*:*:channel/*"
},
{
"Sid": "ViewChannelIfOwner",
"Effect": "Allow",
"Action": "ivs:GetChannel",
"Resource": "arn:aws:ivs:*:*:channel/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Vous pouvez rattacher cette politique aux utilisateurs IAM de votre compte. Cependant, l’autorisation n’est accordée que si le nom d’utilisateur est considéré comme propriétaire du canal. Si un utilisateur nommé richard-roe tente d’afficher un canal Amazon IVS, il doit contenir une balise `Owner=richard-roe` ou `owner=richard-roe`. Sinon, l’utilisateur se voit refuser l’accès. La clé de condition de balise `Owner` correspond à la fois à `Owner` et à `owner`, car les noms de clé de condition ne sont pas sensibles à la casse.
## Résolution des problèmes
Utilisez les informations suivantes pour identifier et résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon IVS et IAM.
+ **Je ne suis pas autorisé à effectuer une action sur Amazon IVS.**
L’exemple d’erreur suivant se produit lorsque l’utilisateur IAM mateojackson tente d’utiliser la console AWS pour afficher des détails sur un canaI, mais ne dispose pas de l’autorisation `ivs:GetChannel`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ivs:GetChannel on resource: arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N
```
Le cas échéant, Mateo doit demander à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N` à l’aide de l’action `ivs:GetChannel`.
+ **Je veux afficher mes clés d’accès**.
Une fois les clés d’accès utilisateur IAM créées, vous pouvez afficher votre ID de clé d’accès à tout moment. Toutefois, vous ne pouvez pas revoir votre clé d’accès secrète. Si vous perdez votre clé d’accès secrète, vous devez créer une nouvelle paire de clés. Les clés d’accès se composent de deux parties :
+ Un ID de clé d’accès (ex : `AKIAIOSFODNN7EXAMPLE`)
+ Une clé d’accès secrète (ex : `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)
À l’instar d’un nom d’utilisateur et d’un mot de passe, vous devez utiliser à la fois l’ID de clé d’accès et la clé d’accès secrète pour authentifier vos demandes. Faites attention à vos clés d’accès au même titre que votre nom d’utilisateur et votre mot de passe.
***Important : ne communiquez pas vos clés d’accès à un tiers, même pour qu’il vous aide [à trouver votre d’ID utilisateur canonique](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindingCanonicalId). En effet, vous lui accorderiez ainsi un accès permanent à votre compte.***
Lorsque vous créez une paire de clés d’accès, enregistrez l’ID de clé d’accès et la clé d’accès secrète dans un emplacement sécurisé. La clé d’accès secrète est accessible uniquement au moment de sa création. Si vous perdez votre clé d’accès secrète, vous devez générer de nouvelles clés d’accès pour votre utilisateur IAM.
Vous pouvez avoir deux clés d’accès maximum. Si vous en avez déjà deux, vous devez supprimer une paire de clés avant d’en créer une nouvelle. Consultez la section [Gestion des clés d’accès pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) du *Guide de l’utilisateur IAM*.
+ **Je suis un administrateur et je veux autoriser d’autres utilisateurs à accéder à Amazon IVS.**
Pour permettre à d’autres utilisateurs d’accéder à Amazon IVS, vous devez créer une entité IAM (utilisateur ou rôle) pour la personne ou l’application nécessitant un accès. La personne ou l’application utiliseront les informations d’identification de cette entité pour accéder à AWS. Vous devez ensuite rattacher une politique à l’entité qui va lui accorder les autorisations nécessaires dans Amazon IVS.
Pour démarrer, consultez la section [Création de votre premier groupe et utilisateur délégué IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) du *Guide de l’utilisateur IAM*.
+ **Je souhaite autoriser des personnes n’appartenant pas à mon compte AWS à accéder à mes ressources Amazon IVS.**
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation peuvent utiliser pour accéder à vos ressources. Vous pouvez spécifier la personne à qui vous souhaitez confier le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d’accès (ACL), vous pouvez utiliser ces politiques pour donner l’accès à vos ressources. Pour obtenir des informations connexes, consultez ces sections du *Guide de l’utilisateur IAM* :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/ivs/latest/LowLatencyUserGuide/security-iam.html)
# Politiques gérées pour Amazon IVS
Une politique gérée par AWS est une politique autonome créée et administrée par AWS. Les politiques gérées par AWS sont conçues pour fournir des autorisations pour de nombreux cas d’utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
Gardez à l’esprit que les politiques gérées par AWS peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d’utilisation spécifiques, car elles sont disponibles pour tous les clients AWS. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques gérées par AWS. Si AWS met à jour les autorisations définies dans une politique gérée par AWS, la mise à jour affecte toutes les identités de principal (utilisateurs, groupes et rôles) auxquelles la politique est associée. AWS est plus susceptible de mettre à jour une politique gérée par AWS lorsqu’un nouveau Service AWS est lancé ou lorsque de nouvelles opérations API deviennent accessibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## IVSReadOnlyAccess
Utilisez la politique gérée par AWS [IVSReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IVSReadOnlyAccess.html) pour permettre à vos développeurs d’applications d’accéder à toutes les opérations d’API IVS (pour la diffusion à faible latence et en temps réel).
## IVSFullAccess
Utilisez la politique gérée par AWS [IVSFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IVSFullAccess.html) pour permettre à vos utilisateurs d’accéder à toutes les opérations d’API IVS et Chat IVS (pour la diffusion à faible latence et en temps réel). Cette politique inclut des autorisations supplémentaires pour les services dépendants, afin d’autoriser un accès total à la console IVS.
## Mises à jour des politiques
Affichez des détails sur les mises à jour des politiques gérées par AWS pour Amazon IVS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS sur la page [Historique des documents](doc-history.md) de la diffusion à faible latence d’Amazon IVS.
| Modification | Description | Date |
| --- | --- | --- |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess) : modification | IVS a ajouté une nouvelle action pour accorder l’autorisation ListParticipantReplicas afin de prendre en charge la version de diffusion en temps réel de la réplication du participant. | 24 juillet 2025 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess) : modification | IVS a ajouté de nouvelles actions pour accorder les autorisations suivantes afin de prendre en charge deux versions de diffusion en temps réel, à savoir l’ingestion RTMP et la génération de jetons de participant à l’aide d’une paire de clés : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/ivs/latest/LowLatencyUserGuide/security-iam-awsmanpol.html) | 18 septembre 2024 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess) : modification | IVS a ajouté de nouvelles actions pour accorder les autorisations suivantes à l’appui des restrictions relatives au montage côté serveur, à l’enregistrement composite en temps réel et à la lecture sans jeton : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/ivs/latest/LowLatencyUserGuide/security-iam-awsmanpol.html) | 16 février 2024 |
| [IVSFullAccess](#security-iam-awsmanpol-ivsfullaccess) : nouvelle politique | IVS a ajouté une nouvelle politique donnant un accès complet à IVS (pour le streaming à faible latence et en temps réel) et à Chat IVS. | 5 décembre 2023 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess) : nouvelle politique | IVS a ajouté une nouvelle politique donnant un accès en lecture seule à IVS (pour le streaming à faible latence et en temps réel). | 5 décembre 2023 |
| Amazon IVS a commencé à assurer le suivi des modifications | Amazon IVS a commencé à assurer le suivi des modifications apportées à ses politiques gérées par AWS. | 5 décembre 2023 |
# Utilisation des rôles liés à un service pour Amazon IVS
Amazon IVS utilise les [rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) IAM. Un rôle lié à un service est un type unique de rôle IAM directement lié à un service AWS. Les rôles liés à un service sont prédéfinis par Amazon IVS et incluent toutes les autorisations requises par le service pour appeler d'autres services AWS en votre nom.
Un rôle lié à un service simplifie la configuration d'Amazon IVS, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. Amazon IVS définit les autorisations de ses rôles liés à un service et seul Amazon IVS peut endosser ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service IVS uniquement après la suppression préalable des ressources IVS connexes. Cela vous évite de supprimer par inadvertance l'autorisation permettant à IVS d'accéder aux ressources AWS associées au rôle lié à un service.
Pour de plus amples informations sur les autres services qui prennent en charge les rôles liés à un service, veuillez consulter [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et rechercher les services qui ont **Yes** (Oui) dans la colonne **Service-Linked Role** (Rôle lié à un service). Sélectionnez un **Yes** (Oui) avec un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.
## Autorisations du rôle lié à un service pour Amazon IVS
Amazon IVS utilise le rôle lié à un service nommé **AWSServiceRoleForIVSRecordToS3** pour accéder aux compartiments Amazon S3 au nom de vos canaux Amazon IVS.
Le rôle lié à un service AWSServiceRoleForIVSRecordToS3 approuve les services suivants pour assumer le rôle :
+ `ivs.amazonaws.com`
La stratégie d'autorisations liée au rôle permet à Amazon IVS de réaliser les actions suivantes sur les ressources spécifiées :
+ Action : `s3:PutObject` sur `your Amazon S3 buckets`
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour de plus amples informations, veuillez consulter [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création d'un rôle lié à un service pour Amazon IVS
Vous n'avez pas besoin de créer manuellement le rôle lié à un service pour IVS. Amazon IVS le crée pour vous lorsque vous créez une ressource de configuration d'enregistrement dans la console Amazon IVS, l'AWS CLI ou l'API AWS. Le rôle lié à un service est intitulé AWSServiceRoleForIVSRecordToS3.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour de plus amples informations, veuillez consulter [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une ressource de configuration d'enregistrement, Amazon IVS crée à nouveau le rôle lié à un service.
## Modification d'un rôle lié à un service pour Amazon IVS
Amazon IVS ne vous permet pas de modifier le rôle lié à au service AWSServiceRoleForIVSRecordToS3. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas modifier le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour de plus amples informations, veuillez consulter [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Suppression d'un rôle lié à un service pour Amazon IVS
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le service Amazon IVS utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources Amazon IVS utilisées par le rôle lié à un service AWSServiceRoleForIVSRecordToS3 :**
Utilisez la console Amazon IVS, la AWS CLI ou l'API AWS pour supprimer l'association enregistrement/configuration de tous les canaux et supprimer toutes les ressources de configuration d'enregistrement dans la région.
**Pour supprimer manuellement le rôle lié à un service à l'aide d'IAM :**
Utilisez la console IAM, la AWS CLI ou l'API AWS pour supprimer le rôle lié au service AWSServiceRoleForIVSRecordToS3. Pour de plus amples informations, veuillez consulter [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour les rôles liés à un service Amazon IVS
Amazon IVS prend en charge l'utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour de plus amples informations, consultez [Points de terminaison de service Amazon IVS.](https://docs.aws.amazon.com/general/latest/gr/ivs.html)
# Journalisation et surveillance d’IVS
Pour enregistrer les performances et/ou les opérations, utilisez Amazon CloudTrail. Consultez [Journalisation des appels d'API Amazon IVS avec AWS CloudTrail](cloudtrail.md).
# Réponse aux incidents IVS
Pour détecter ou alerter les incidents, vous pouvez surveiller l’état de votre flux via les événements Amazon EventBridge. Consultez la section « Utilisation d’Amazon EventBridge avec Amazon IVS » : pour le [streaming à faible latence IVS](eventbridge.md) et pour le [streaming en temps réel IVS](https://docs.aws.amazon.com//ivs/latest/RealTimeUserGuide/eventbridge.html).
Utilisez le [Tableau de bord AWS Health](https://health.aws.amazon.com/health/status) pour obtenir des informations sur l’état de santé général d’Amazon IVS (par région).
# Résilience IVS
L’API Amazon IVS utilise l’infrastructure mondiale AWS et repose sur des Régions et des zones de disponibilité AWS. AWS Les régions fournissent plusieurs zones de disponibilité, qui sont :
+ Séparées physiquement et isolées
+ Rattachées avec un réseau à latence faible, à débit élevé et à forte redondance
+ Plus disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données
Pour plus d’informations sur les API, consultez la [Référence de l’API de streaming à faible latence IVS](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html), la [Référence de l’API de streaming en temps réel IVS](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html), et la [Référence de l’API IVS Chat](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html). Pour plus d’informations sur les régions et les zones de disponibilité AWS, veuillez consulter la rubrique [Infrastructure mondiale AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
## Plan de données vidéo Amazon IVS
L'ingestion et la distribution de vidéos s’exécutent sur un réseau mondial de diffusion de contenu (CDN) optimisé pour les vidéos à faible latence. Cela permet à Amazon IVS de fournir aux clients une vidéo de haute qualité de bout en bout auprès d’un public mondial avec un délai minimal. Le CDN vidéo dispose de points de présence (PoP) mondiaux, permettant aux diffuseurs et aux utilisateurs d’être géographiquement dispersés.
Quelle que soit la région AWS où vous avez choisi de configurer vos ressources Amazon IVS :
+ Les diffuseurs ingèrent automatiquement la vidéo dans un PoP géographiquement proche de leur emplacement.
+ Les utilisateurs diffusent des vidéos via le CDN vidéo mondial.
Une fois ingérés, les flux vidéo sont traités et transcodés dans l’un des nombreux centres de données Amazon IVS. Amazon IVS ne fournit pas de basculement automatique pour les échecs d’ingestion ou de transcodage. Au lieu de cela, les diffuseurs doivent configurer une réingestion automatique de leurs encodeurs ou de leurs clients de diffusion en cas d’échec de diffusion.
# Sécurité de l’infrastructure IVS
Amazon IVS est un service géré, protégé par les procédures de sécurité du réseau mondial AWS. Elles sont décrites dans la section [Bonnes pratiques en matière de sécurité, d’identité et de conformité](https://aws.amazon.com/architecture/security-identity-compliance/).
## Appels d’API
Vous pouvez utiliser les appels d’API publiés par AWS pour accéder à Amazon IVS via le réseau. Les clients doivent prendre en charge le protocole TLS (Transport Layer Security) 1.2 ou version ultérieure. Au vu de la vulnérabilité des versions précédentes, nous recommandons TLS 1.3 ou une version ultérieure. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
En outre, les demandes d’API doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser le service [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) pour générer les informations d’identification de sécurité temporaires pour signer des demandes.
Vous pouvez appeler ces opérations d’API à partir de n’importe quel emplacement sur le réseau, mais Amazon IVS prend en charge les stratégies d’accès basées sur les ressources, ce qui peut inclure des restrictions en fonction de l’adresse IP source. Vous pouvez également utiliser des politiques Amazon IVS pour contrôler l’accès à partir de points de terminaison Amazon Virtual Private Cloud (Amazon VPC) ou de VPC spécifiques. En effet, cela permet d’isoler l’accès réseau vers une ressource Amazon IVS donnée depuis le VPC spécifique uniquement dans le réseau AWS.
En outre, toutes les requêtes d’API sont signées sigv4.
Pour plus de détails sur l’API, consultez la [Référence de l’API de streaming en temps réel IVS](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html), la [Référence de l’API de streaming en temps réel IVS](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html), et la [Référence de l’API IVS Chat](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html).
## Diffusion et lecture
La lecture s’effectue via HTTPS de la périphérie à l’utilisateur, et la « périphérie de contribution » (point de terminaison d’ingestion) prend en charge RTMPS (RTMP sur TLS) ou RTMP si le canal est configuré pour autoriser l’ingestion non sécurisée. Le service de streaming d’Amazon IVS nécessite TLS 1.2 ou une version ultérieure. Les flux ne sont pas chiffrés de bout en bout ; un flux peut être transmis de façon interne et non chiffrée au sein du réseau IVS pour traitement.