Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès pour AWS Elemental MediaConnect
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser MediaConnect les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes liés AWS à l' MediaConnect identité et à l'accès Elemental](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment AWS Elemental MediaConnect fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [AWS Exemples de politiques élémentaires basées sur MediaConnect l'identité](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
## En savoir plus
Pour plus d'informations sur la gestion des identités et des accès pour MediaConnect, consultez les pages suivantes :
+ [Comment MediaConnect fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l’identité](security_iam_id-based-policy-examples.md)
+ [Exemples de stratégies basées sur les ressources](security_iam_resource-based-policy-examples.md)
+ [Exemples de politiques relatives aux secrets dans AWS Secrets Manager](iam-policy-examples-asm-secrets.md)
+ [Résolution des problèmes](security_iam_troubleshoot.md)
# Comment AWS Elemental MediaConnect fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à MediaConnect, vous devez comprendre quelles fonctionnalités IAM sont disponibles. MediaConnect Pour obtenir une vue d'ensemble de la façon dont MediaConnect les autres AWS services fonctionnent avec IAM, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur d'*IAM*.
**Topics**
+ [MediaConnect politiques basées sur l'identité](#security_iam_service-with-iam-id-based-policies)
+ [MediaConnect politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les MediaConnect tags](#security_iam_service-with-iam-tags)
+ [MediaConnect Rôles IAM](#security_iam_service-with-iam-roles)
## MediaConnect politiques basées sur l'identité
Avec les politiques basées sur l'identité IAM, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. MediaConnect prend en charge des actions, ressources et clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de politique en MediaConnect cours utilisent le préfixe suivant avant l'action :`mediaconnect:`. Par exemple, pour autoriser quelqu'un à consulter une liste de droits avec l'opération d' MediaConnect`ListEntitlements`API, vous devez inclure l'`mediaconnect:ListEntitlements`action dans sa politique. Les déclarations de politique doivent inclure un `NotAction` élément `Action` ou. MediaConnect définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
```
"Action": [
"mediaconnect:action1",
"mediaconnect:action2"
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `List`, incluez l’action suivante :
```
"Action": "mediaconnect:List*"
```
Pour consulter la liste des MediaConnect actions, consultez la section [Actions définies par AWS Elemental MediaConnect](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awselementalmediaconnect.html#awselementalmediaconnect-actions-as-permissions) dans le guide de l'*utilisateur IAM*.
### Ressources
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
MediaConnect présente les caractéristiques suivantes ARNs :
```
arn:${Partition}:mediaconnect:${Region}:${Account}:entitlement:${resourceID}:${resourceName}
arn:${Partition}:mediaconnect:${Region}:${Account}:flow:${resourceID}:${resourceName}
arn:${Partition}:mediaconnect:${Region}:${Account}:output:${resourceID}:${resourceName}
arn:${Partition}:mediaconnect:${Region}:${Account}:source:${resourceID}:${resourceName}
```
Pour plus d'informations sur le format de ARNs, consultez [Amazon Resource Names (ARNs) et AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Par exemple, pour spécifier le `1-23aBC45dEF67hiJ8-12AbC34DE5fG` flux dans votre instruction, utilisez l'ARN suivant :
```
"Resource": "arn:aws:mediaconnect:us-east-1:111122223333:flow:1-23aBC45dEF67hiJ8-12AbC34DE5fG:BasketballGame"
```
Pour spécifier tous les flux appartenant à un compte spécifique, utilisez le caractère générique (\$1) :
```
"Resource": "arn:aws:mediaconnect:us-east-1:111122223333:flow:*"
```
Certaines MediaConnect actions, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).
```
"Resource": "*"
```
De nombreuses actions d' MediaConnect API impliquent plusieurs ressources. `RemoveFlowOutput`Supprime par exemple une sortie d'un flux particulier, de sorte qu'un utilisateur IAM doit disposer d'autorisations pour le flux et la sortie. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
```
"Resource": [
"resource1",
"resource2"
```
Pour consulter la liste des types de MediaConnect ressources et leurs caractéristiques ARNs, consultez la section [Ressources définies par AWS Elemental MediaConnect](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#list_awselementalmediaconnect.html#awselementalmediaconnect-resources-for-iam-policies) dans le guide de l'*utilisateur IAM*. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, voir [Actions définies par AWS Elemental MediaConnect](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awselementalmediaconnect.html#awselementalmediaconnect-actions-as-permissions).
### Clés de condition
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
### Exemples
Pour consulter des exemples de politiques MediaConnect basées sur l'identité, consultez. [AWS Exemples de politiques élémentaires basées sur MediaConnect l'identité](security_iam_id-based-policy-examples.md)
## MediaConnect politiques basées sur les ressources
AWS Elemental MediaConnect ne prend pas en charge les politiques basées sur les ressources.
## Autorisation basée sur les MediaConnect tags
AWS Elemental MediaConnect ne prend pas en charge le balisage des ressources ni le contrôle de l'accès en fonction des balises.
## MediaConnect Rôles IAM
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité de votre AWS compte qui possède des autorisations spécifiques.
### Utilisation d'informations d'identification temporaires avec MediaConnect
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
MediaConnect prend en charge l'utilisation d'informations d'identification temporaires.
### Rôles liés à un service
Les [rôles liés aux](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
MediaConnect ne prend pas en charge les rôles liés à un service.
### Rôles du service
Cette fonction permet à un service d’endosser une [fonction du service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service s’affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
MediaConnect ne prend pas en charge les rôles de service.
# AWS Exemples de politiques élémentaires basées sur MediaConnect l'identité
Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou modifier les ressources MediaConnect . Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.
Pour savoir comment créer une stratégie IAM basée sur l'identité à l'aide de ces exemples de documents de stratégie JSON, veuillez consulter [Création de stratégies dans l'onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l'utilisateur IAM*.
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer MediaConnect des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par le AWS client spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la MediaConnect console
Pour accéder à la MediaConnect console AWS Elemental, vous devez disposer d'un minimum d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les informations relatives MediaConnect aux ressources de votre AWS compte. Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs et rôles IAM) tributaires de cette politique.
Pour garantir que ces entités peuvent toujours utiliser la MediaConnect console, associez également la politique AWS gérée suivante aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"mediaconnect:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "mediaconnect.amazonaws.com"
}
}
}
]
}
```
------
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS Exemples de politiques basées MediaConnect sur les ressources élémentaires
Pour accéder à la AWS Elemental MediaConnect console, vous devez disposer d'un ensemble minimal d'autorisations vous permettant de répertorier et d'afficher les détails MediaConnect des ressources de votre AWS compte. Les politiques IAM de cette section présentent des exemples de politiques qui autorisent des actions spécifiques sur les ressources dans AWS Elemental MediaConnect.
## Autoriser l'accès en lecture à toutes les ressources dans AWS Elemental MediaConnect
Pour accéder à la AWS Elemental MediaConnect console, vous devez disposer d'une politique qui définit les actions que vous êtes autorisé à effectuer sur les MediaConnect ressources de votre AWS compte. La politique IAM ci-dessous fournit les autorisations suivantes :
+ La section consacrée aux `mediaconnect:Describe*` actions `mediaconnect:List*` et permet d'accéder en lecture seule à toutes les ressources que vous créez dans. AWS Elemental MediaConnect
+ La section consacrée à l'`ec2:DescribeAvailabilityZones`action permet au service d'obtenir des informations sur la zone de disponibilité dans laquelle se trouve le flux. Cette partie de la politique est obligatoire.
+ La section consacrée à l'`cloudwatch:GetMetricData`action permet au service d'obtenir des métriques auprès d'Amazon CloudWatch. Cette partie de la politique est obligatoire.
+ La section consacrée à l'`iam:PassRole`action permet à IAM de *transmettre* un rôle AWS Elemental MediaConnect au service afin de communiquer avec IAM afin d'assumer un rôle au nom du service. Cela autorise le service à assumer ultérieurement le rôle et à effectuer des actions en votre nom. Cette partie de la politique est obligatoire.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"mediaconnect:List*",
"mediaconnect:Describe*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAvailabilityZones"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "mediaconnect.amazonaws.com"
}
}
}
]
}
```
------
## Autoriser toutes les actions sur toutes les AWS Elemental MediaConnect ressources
Chaque utilisateur de AWS Elemental MediaConnect doit disposer d'une politique qui définit les autorisations sur les AWS Elemental MediaConnect ressources. La politique IAM ci-dessous fournit les autorisations suivantes :
+ La section consacrée à l'`mediaconnect:*`action autorise toutes les actions sur toutes les ressources que vous créez dans AWS Elemental MediaConnect.
+ La section consacrée à l'`ec2:DescribeAvailabilityZones`action permet au service d'obtenir des informations sur la zone de disponibilité dans laquelle se trouve le flux. Cette partie de la politique est obligatoire.
+ La section consacrée à l'`cloudwatch:GetMetricData`action permet au service d'obtenir des métriques auprès d'Amazon CloudWatch. Cette partie de la politique est obligatoire.
+ La section consacrée à l'`iam:PassRole`action permet à IAM de *transmettre* un rôle AWS Elemental MediaConnect au service afin de communiquer avec IAM afin d'assumer un rôle au nom du service. Cela autorise le service à assumer ultérieurement le rôle et à effectuer des actions en votre nom. Cette partie de la politique est obligatoire.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"mediaconnect:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAvailabilityZones"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "mediaconnect.amazonaws.com"
}
}
}
]
}
```
------
## AWS Elemental MediaConnect Permettre de créer et de gérer des interfaces réseau dans votre VPC
Cet exemple de politique IAM permet à AWS MediaConnect Elemental de créer et de gérer des interfaces réseau dans votre VPC afin que le contenu puisse circuler de votre VPC vers. MediaConnect Si vous souhaitez connecter votre VPC à votre flux, vous devez configurer cette politique.
+ La section consacrée aux `ec2:` actions permet de MediaConnect créer, de lire, de mettre à jour et de supprimer des interfaces réseau dans votre VPC. Cette partie de la politique est obligatoire.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# Exemples de politiques d'accès aux clés de MediaConnect chiffrement dans Secrets Manager
Vous pouvez créer des politiques IAM qui permettent AWS Elemental MediaConnect de lire les clés de chiffrement stockées sous forme de secrets dans AWS Secrets Manager.
Lorsque vous configurez le chiffrement par clé statique à l'aide de MediaConnect, [vous créez une politique IAM](encryption-static-key-set-up.md#encryption-static-key-set-up-create-iam-policy) à MediaConnect laquelle vous attribuez. Cette politique permet MediaConnect de lire les secrets que vous avez enregistrés dans Secrets Manager. Les paramètres de cette stratégie sont à votre entière discrétion. La politique peut aller de la plus restrictive (autoriser l'accès à des secrets spécifiques uniquement) à la moins restrictive (autoriser l'accès à tout secret que vous créez à l'aide de votre Compte AWS). Nous vous recommandons d'utiliser la stratégie la plus restrictive à titre de bonne pratique. Toutefois, les exemples suivants vous montrent comment configurer des politiques avec différents niveaux de restriction. Étant donné MediaConnect que seul un accès en lecture aux secrets est nécessaire, tous les exemples montrent uniquement les actions nécessaires pour lire les valeurs que vous stockez.
**Note**
Bien que les exemples de politiques IAM suivants pour Secrets Manager soient largement applicables à divers Services AWS, cette page montre spécifiquement leur utilisation dans le contexte de MediaConnect. Pour plus d'informations sur Secrets Manager, consultez la [AWS Secrets Manager documentation](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html).
**Topics**
+ [Autoriser l'accès en lecture à des secrets spécifiques dans Secrets Manager](#iam-policy-examples-asm-specific-secrets)
+ [Autoriser l'accès en lecture à tous les secrets créés dans un domaine spécifique Région AWS dans Secrets Manager](#iam-policy-examples-asm-secrets-in-a-region)
+ [Autoriser l'accès en lecture à toutes les ressources dans Secrets Manager](#iam-policy-examples-asm-secrets-all)
## Autoriser l'accès en lecture à des secrets spécifiques dans Secrets Manager
L'exemple de politique IAM suivant autorise l'accès en lecture à des ressources spécifiques (secrets) que vous créez dans Secrets Manager.
Remplacez le *placeholder text* dans le ARNs par vos propres informations. Le ARNs doit représenter les secrets qui stockent les clés de chiffrement que vous souhaitez utiliser MediaConnect.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:us-west-2:111122223333:secret:aes128-1a2b3c",
"arn:aws:secretsmanager:us-west-2:111122223333:secret:aes192-4D5e6F",
"arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
]
},
{
"Effect": "Allow",
"Action": "secretsmanager:ListSecrets",
"Resource": "*"
}
]
}
```
------
## Autoriser l'accès en lecture à tous les secrets créés dans un domaine spécifique Région AWS dans Secrets Manager
La politique IAM suivante autorise l'accès en lecture à tous les secrets que vous créez dans un environnement spécifique Région AWS dans Secrets Manager, y compris les clés de MediaConnect chiffrement utilisées. Cette stratégie s'applique aux ressources que vous avez déjà créées et à toutes les ressources que vous créez à l'avenir dans la région spécifiée. Cela peut être utile lors de la gestion de plusieurs MediaConnect flux chiffrés au sein d'une même région.
Remplacez le *placeholder text* dans le ARNs par vos propres informations. La région et le numéro de compte doivent indiquer l'endroit où sont stockés vos secrets.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:*"
},
{
"Effect": "Allow",
"Action": "secretsmanager:ListSecrets",
"Resource": "*"
}
]
}
```
------
## Autoriser l'accès en lecture à toutes les ressources dans Secrets Manager
La politique IAM suivante autorise l'accès en lecture à toutes les ressources que vous créez dans Secrets Manager, y compris les clés de MediaConnect chiffrement utilisées. Cette stratégie s'applique aux ressources que vous avez déjà créées et à toutes les ressources que vous créerez à l'avenir. Cet accès élargi peut être nécessaire lors de la gestion de MediaConnect flux chiffrés dans plusieurs régions.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds",
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
]
}
]
}
```
------
Pour plus d'informations sur la configuration du chiffrement de vos MediaConnect flux, consultez la section [Protection des données](https://docs.aws.amazon.com/mediaconnect/latest/ug/data-protection.html) de ce guide. Pour obtenir des informations générales sur l'utilisation de Secrets Manager, reportez-vous au [guide de AWS Secrets Manager l'utilisateur](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html).
# AWS politiques gérées pour AWS Elemental MediaConnect
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AWSElemental MediaConnectReadOnlyAccess
Vous pouvez associer `AWSElementalMediaConnectReadOnlyAccess` à vos utilisateurs, groupes et rôles.
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de visualiser toutes les ressources dans. MediaConnect
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `mediaconnect:DescribeBridge`— Permet aux principaux d'afficher des informations détaillées sur un pont spécifique dans MediaConnect. Cela est nécessaire pour que vous puissiez inspecter la configuration et l'état du pont.
+ `mediaconnect:DescribeFlow`— Permet aux principaux d'afficher des informations détaillées sur un flux spécifique dans MediaConnect. Cela est nécessaire pour que vous puissiez inspecter la configuration et l'état du flux.
+ `mediaconnect:DescribeFlowSourceMetadata`— Permet aux principaux d'afficher les métadonnées relatives à la source d'un flux dans MediaConnect. Cela est nécessaire pour que vous puissiez voir les détails techniques du flux d'entrée.
+ `mediaconnect:DescribeFlowSourceThumbnail`— Permet aux principaux d'afficher les détails de l'image miniature de la source d'un flux dans. MediaConnect Cela est nécessaire pour que vous puissiez voir des aperçus visuels de vos flux vidéo.
+ `mediaconnect:DescribeGateway`— Permet aux principaux d'afficher des informations détaillées sur une passerelle spécifique dans MediaConnect. Cela est nécessaire pour que vous puissiez inspecter la configuration et l'état de la passerelle.
+ `mediaconnect:DescribeGatewayInstance`— Permet aux principaux d'afficher des informations détaillées sur une instance de passerelle spécifique dans MediaConnect. Cela est nécessaire pour que vous puissiez inspecter la configuration et l'état de l'instance de passerelle.
+ `mediaconnect:DescribeOffering`— Permet aux donneurs d'ordre de consulter des informations détaillées sur une offre de service spécifique dans MediaConnect. Cela est nécessaire pour que vous puissiez voir les options d'engagement de bande passante et les taux de réduction associés.
+ `mediaconnect:DescribeReservation`— Permet aux principaux d'afficher des informations détaillées sur une réservation spécifique dans MediaConnect. Cela est nécessaire pour que vous puissiez voir les détails de votre engagement en matière de bande passante et de la réduction associée.
+ `mediaconnect:ListBridges`— Permet aux principaux de consulter la liste des ponts entrants. MediaConnect Cela est nécessaire pour que vous puissiez voir toutes les ressources de pont disponibles dans votre compte.
+ `mediaconnect:ListEntitlements`— Permet aux principaux de consulter la liste des droits dans. MediaConnect Cela est nécessaire pour que vous puissiez voir toutes les autorisations accordées à d'autres personnes Comptes AWS pour accéder à vos flux de transport.
+ `mediaconnect:ListFlows`— Permet aux principaux de consulter la liste des flux entrants. MediaConnect Cela est nécessaire pour que vous puissiez voir toutes les ressources de flux disponibles dans votre compte.
+ `mediaconnect:ListGatewayInstances`— Permet aux principaux de consulter la liste des instances de passerelle dans MediaConnect. Cela est nécessaire pour que vous puissiez voir toutes les ressources de calcul de la passerelle en cours d'exécution dans votre compte.
+ `mediaconnect:ListGateways`— Permet aux principaux de consulter la liste des passerelles entrées. MediaConnect Cela est nécessaire pour que vous puissiez voir toutes les ressources de passerelle disponibles dans votre compte.
+ `mediaconnect:ListOfferings`— Permet aux donneurs d'ordre de consulter une liste des offres de services dans MediaConnect. Cela est nécessaire pour que vous puissiez voir les options de discount de bande passante disponibles qui nécessitent un engagement. Les offres affichées peuvent varier en fonction de vos besoins Région AWS.
+ `mediaconnect:ListReservations`— Permet aux principaux de consulter la liste des réservations dans MediaConnect. Cela est nécessaire pour que vous puissiez consulter vos engagements de bande passante actifs et les remises associées.
+ `mediaconnect:ListTagsForResource`— Permet aux principaux d'afficher les balises associées aux MediaConnect ressources. Cela est nécessaire pour que vous puissiez voir l'organisation des ressources et les métadonnées de classification.
Pour consulter les autorisations associées à cette politique, consultez le [AWSElementalMediaConnectReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElementalMediaConnectReadOnlyAccess.html)document *AWS Managed Policy Reference*.
## AWS politique gérée : AWSElemental MediaConnectFullAccess
Vous pouvez associer `AWSElementalMediaConnectFullAccess` à vos utilisateurs, groupes et rôles.
Cette politique accorde des autorisations administratives qui autorisent l'utilisateur à créer, lire, mettre à jour et supprimer MediaConnect des ressources.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `mediaconnect:*`— Permet aux directeurs d'effectuer toutes les actions dans MediaConnect. Cela est nécessaire pour que les administrateurs et les autres utilisateurs puissent créer, lire, mettre à jour et supprimer MediaConnect des ressources et gérer tous les aspects des flux de travail de transport vidéo. L'autorisation générique (\$1) inclut toutes les MediaConnect actions possibles, telles que la création et la suppression de flux, la gestion des droits et des sorties, et la configuration des flux de travail de transport vidéo.
Pour consulter les autorisations associées à cette politique, consultez le [AWSElementalMediaConnectFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElementalMediaConnectFullAccess.html)document *AWS Managed Policy Reference*.
## AWS politique gérée : MediaConnectGatewayInstanceRolePolicy
Vous pouvez associer la politique `MediaConnectGatewayInstanceRolePolicy` à vos identités IAM.
Cette politique accorde l'autorisation d'enregistrer des instances de MediaConnect passerelle auprès d'une MediaConnect passerelle. Cette politique sera associée à un rôle. L'entité assumant le rôle pourra enregistrer des instances auprès de la passerelle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `mediaconnect:DiscoverGatewayPollEndpoint`— Permet aux principaux de localiser les points de terminaison du sondage de passerelle pour la passerelle spécifiée.
+ `mediaconnect:PollGateway`— Permet aux principaux d'interroger régulièrement la passerelle. MediaConnect Cela est nécessaire pour que les instances de MediaConnect passerelle puissent vérifier et recevoir les mises à jour, les configurations et les instructions du service de passerelle.
+ `mediaconnect:SubmitGatewayStateChange`— Permet aux directeurs de signaler les mises à jour de statut dans MediaConnect. Cela est nécessaire pour que les instances de MediaConnect passerelle puissent informer le service de passerelle des modifications de leur état de fonctionnement, de leur état de santé et de leur état de configuration.
Pour consulter les autorisations associées à cette politique, consultez le [MediaConnectGatewayInstanceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/MediaConnectGatewayInstanceRolePolicy.html)document *AWS Managed Policy Reference*.
## AWS politique gérée : AWS MediaConnectServicePolicy
Vous ne pouvez pas vous associer AWS MediaConnectServicePolicy à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet d' MediaConnect effectuer des actions en votre nom. Pour plus d'informations, consultez [l'article Utiliser des rôles liés à un service](using-service-linked-roles.md).
Cette politique est attachée au rôle lié à un service **AWS ServiceRoleForMediaConnect**.
Cette politique permet au rôle lié au service de gérer les ressources Amazon ECS en votre nom. AWS Elemental MediaConnect Gateway utilise Amazon ECS comme base pour la mise en œuvre sur site d'AWS Elemental Gateway. MediaConnect Par conséquent, MediaConnect il doit être en mesure de créer, de mettre à jour et de supprimer des ressources Amazon ECS selon les besoins.
La politique permet également au rôle lié au service de gérer les ressources Amazon EC2 en votre nom. Le MediaConnect routeur nécessite des fonctionnalités réseau EC2 pour le routage audio et vidéo. Par conséquent, MediaConnect il doit être en mesure de créer, de mettre à jour et de supprimer des ressources Amazon EC2 selon les besoins, ainsi que de consulter les détails de configuration du réseau. Lorsque vous MediaConnect effectuez des actions sur des ressources EC2 à l'aide de ce rôle lié à un service, nous les balisons avec. `aws:ResourceTag/created-for-service: MediaConnect` Cela vous permet de faire facilement la distinction entre les ressources EC2 qui MediaConnect créent et celles que vous créez vous-même.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ **Autorisations Amazon ECS**
**Note**
Ces autorisations sont limitées aux clusters ECS dont les noms commencent `MediaConnectGateway` par le bloc de conditions.
+ `ecs:CreateCluster`- Permet aux principaux de créer de nouveaux clusters ECS. Cela est nécessaire pour établir les MediaConnect nouveaux clusters nécessaires aux opérations de passerelle.
+ `ecs:CreateService`— Permet aux donneurs d'ordre d'établir de nouveaux services ECS. Cela est nécessaire pour MediaConnect pouvoir configurer de nouveaux composants de service pour la mise en œuvre de la passerelle.
+ `ecs:DeleteAttributes`— Permet aux principaux de supprimer des attributs des ressources ECS. Cela est nécessaire pour MediaConnect pouvoir nettoyer les métadonnées lorsqu'elles ne sont plus nécessaires.
+ `ecs:DeleteService`— Permet aux principaux de supprimer les services ECS. Cela est nécessaire pour MediaConnect pouvoir nettoyer les services lorsqu'ils ne sont plus nécessaires.
+ `ecs:DescribeClusters`— Permet aux principaux d'afficher les détails relatifs aux clusters ECS. Cela est nécessaire pour MediaConnect pouvoir surveiller l'état et la configuration des clusters Gateway.
+ `ecs:DescribeContainerInstances`— Permet aux principaux d'afficher les détails relatifs aux instances de conteneur ECS. Cela est nécessaire pour MediaConnect pouvoir surveiller l'état et l'état des composants de la passerelle.
+ `ecs:DeregisterContainerInstance`- Permet aux principaux de supprimer des instances de conteneur d'un cluster ECS. Cela est nécessaire pour MediaConnect pouvoir supprimer les composants de passerelle du cluster lorsqu'ils ne sont plus nécessaires.
+ `ecs:DescribeServices`— Permet aux principaux de consulter les détails des services ECS. Cela est nécessaire pour MediaConnect pouvoir surveiller et gérer l'état de ses services.
+ `ecs:DescribeTasks`— Permet aux directeurs d'accéder aux détails des tâches ECS. Cela est nécessaire pour MediaConnect pouvoir surveiller l'état des tâches en cours d'exécution.
+ `ecs:ListAttributes`— Permet aux principaux de récupérer les attributs des ressources ECS. Cela est nécessaire pour MediaConnect pouvoir surveiller et gérer les métadonnées des composants de la passerelle.
+ `ecs:ListContainerInstances`- Permet aux principaux de récupérer une liste d'instances de conteneur dans un cluster. Cela est nécessaire pour MediaConnect suivre tous les composants de la passerelle exécutés dans le cluster.
+ `ecs:ListTasks`— Permet aux directeurs d'afficher toutes les tâches dans ECS. Cela est nécessaire pour MediaConnect pouvoir surveiller et gérer les tâches en cours d'exécution.
+ `ecs:PutAttributes`— Permet aux principaux d'ajouter des attributs aux ressources ECS. Cela est nécessaire pour MediaConnect configurer les ressources en appliquant les métadonnées nécessaires.
+ `ecs:RegisterTaskDefinition`- Permet aux principaux d'enregistrer de nouvelles définitions de tâches. Cela est nécessaire pour MediaConnect pouvoir définir les spécifications des nouveaux composants de la passerelle.
+ `ecs:RunTask`— Permet aux directeurs de démarrer de nouvelles tâches dans ECS. Cela est nécessaire pour MediaConnect pouvoir lancer de nouveaux composants de passerelle selon les besoins.
+ `ecs:StartTask`— Permet aux directeurs d'exécuter des tâches spécifiques dans ECS. Cela est nécessaire pour MediaConnect pouvoir lancer des composants de passerelle spécifiques.
+ `ecs:StopTask`— Permet aux principaux de mettre fin à l'exécution de tâches dans ECS. Cela est nécessaire pour MediaConnect pouvoir arrêter les composants de la passerelle en cas de besoin.
+ `ecs:UpdateContainerInstancesState`— Permet aux principaux de modifier l'état des instances de conteneur. Cela est nécessaire pour MediaConnect pouvoir gérer le cycle de vie des instances de conteneur.
+ `ecs:UpdateCluster`- Permet aux principaux de modifier les configurations de clusters ECS existantes. Cela est nécessaire pour MediaConnect pouvoir ajuster les paramètres du cluster selon les besoins pour un fonctionnement optimal de la passerelle.
+ `ecs:UpdateClusterSettings`- Permet aux principaux de modifier les paramètres à l'échelle du cluster. Cela est nécessaire pour mettre à jour les MediaConnect paramètres du cluster afin de répondre aux exigences de la passerelle.
+ `ecs:UpdateService`— Permet aux principaux de modifier les services ECS existants. Cela est nécessaire pour MediaConnect mettre à jour les configurations de service pour les composants de MediaConnect passerelle exécutés sur ECS.
+ **Autorisations Amazon EC2**
+ `ec2:CreateNetworkInterfacePermission`— Permet MediaConnect d'accorder des autorisations pour les interfaces réseau utilisées dans le routeur.
+ `ec2:DeleteNetworkInterface`— Permet MediaConnect de supprimer les interfaces réseau lorsqu'elles ne sont plus nécessaires.
+ `ec2:DeleteNetworkInterfacePermission`— Permet MediaConnect de révoquer les autorisations pour les interfaces réseau utilisées dans le routeur.
+ `ec2:DescribeNetworkInterfaces`— Permet MediaConnect d'afficher les détails des interfaces réseau utilisées dans le routeur.
+ `ec2:DescribeSecurityGroups`— Permet d' MediaConnect afficher les détails des groupes de sécurité utilisés avec l'interface réseau d'un routeur.
+ `ec2:DescribeSubnets`— Permet d' MediaConnect afficher les détails des sous-réseaux utilisés avec l'interface réseau d'un routeur.
Pour consulter les autorisations associées à cette politique, consultez le [AWSMediaConnectServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMediaConnectServicePolicy.html)document *AWS Managed Policy Reference*.
## MediaConnect mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées MediaConnect depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'[historique du MediaConnect document](doc-history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| **AWSMediaConnectServicePolicy** – Mise à jour d’une stratégie existante | MediaConnect a ajouté les autorisations Amazon EC2 suivantes pour prendre en charge la fonctionnalité du routeur : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/mediaconnect/latest/ug/security-iam-awsmanpol.html) Ces autorisations permettent MediaConnect de visualiser et de gérer les interfaces réseau des routeurs selon les besoins du routage audio et vidéo entre régions. | 19 novembre 2025 |
| La politique MediaConnect gérée **AWSElementalMediaConnectReadOnlyAccess**a été ajoutée. | Cette politique fournit un accès en lecture seule aux ressources. MediaConnect | 12 février 2025 |
| La politique MediaConnect gérée **AWSElementalMediaConnectFullAccess**a été ajoutée. | Cette politique fournit un accès complet aux MediaConnect ressources. | 12 février 2025 |
| La politique MediaConnect gérée MediaConnectGatewayInstanceRolePolicya été ajoutée. | Cette politique accorde l'autorisation d'enregistrer des instances de MediaConnect passerelle auprès d'une MediaConnect passerelle. | 12 avril 2023 |
| La politique MediaConnect gérée AWSMediaConnectServicePolicya été ajoutée. | Cette politique est utilisée par un rôle de lien de service et accorde des autorisations pour accéder aux AWS services et aux ressources utilisés par. MediaConnect | 12 avril 2023 |
| MediaConnect a commencé à suivre les modifications | MediaConnect a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 12 avril 2023 |
# Utilisation de rôles liés à un service pour MediaConnect
[AWS Elemental MediaConnect utilise Gestion des identités et des accès AWS (IAM) des rôles liés à un service.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié à. MediaConnect Les rôles liés au service sont prédéfinis par MediaConnect et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration MediaConnect car vous n'avez pas à ajouter manuellement les autorisations nécessaires. MediaConnect définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul MediaConnect peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos MediaConnect ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés aux services, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés aux **services**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
# Autorisations de rôle liées à un service pour MediaConnect
MediaConnect utilise le rôle lié au service nommé. **AWSServiceRoleForMediaConnect** Il s'agit du rôle lié au service par défaut qui permet d'accéder Services AWS aux ressources utilisées ou gérées par. MediaConnect
Le rôle AWSService RoleForMediaConnect lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `MediaConnect`
La politique d'autorisations de rôle nommée MediaConnectServiceRolePolicy MediaConnect permet d'effectuer les actions suivantes sur les ressources spécifiées :
1. **Actions sur toutes les ressources ECS**
+ Actions:
+ `ecs:CreateCluster`
+ `ecs:RegisterTaskDefinition`
+ Ressource : `*`
1. **Actions sur le cluster MediaConnect Gateway ECS**
+ Actions:
+ `ecs:DeregisterContainerInstance`
+ `ecs:DescribeClusters`
+ `ecs:ListAttributes`
+ `ecs:ListContainerInstances`
+ `ecs:UpdateCluster`
+ `ecs:UpdateClusterSettings`
+ Ressource : `arn:aws:ecs:*:*:cluster/MediaConnectGateway`
1. **Actions sur les services et tâches ECS au sein du cluster MediaConnect Gateway**
+ Actions:
+ `ecs:CreateService`
+ `ecs:DeleteAttributes`
+ `ecs:DeleteService`
+ `ecs:DescribeContainerInstances`
+ `ecs:DescribeServices`
+ `ecs:DescribeTasks`
+ `ecs:ListTasks`
+ `ecs:PutAttributes`
+ `ecs:RunTask`
+ `ecs:StartTask`
+ `ecs:StopTask`
+ `ecs:UpdateContainerInstancesState`
+ `ecs:UpdateService`
+ Ressource : `*`
+ État : `ArnLike: {"ecs:cluster": "arn:aws:ecs:*:*:cluster/MediaConnectGateway"}`
1. **Actions sur les interfaces réseau au sein du MediaConnect routeur**
+ Actions:
+ `ec2:DeleteNetworkInterface`
+ `ec2:DeleteNetworkInterfacePermission`
+ `ec2:CreateNetworkInterfacePermission`
+ Ressource : `arn:aws:ec2:*:*:network-interface/*"`
+ État : `aws:ResourceTag/created-for-service": "MediaConnect"`
1. **Actions pour décrire les ressources réseau disponibles**
+ Actions:
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ Ressource : `*`
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
# Création d'un rôle lié à un service pour MediaConnect
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une MediaConnect ressource associée dans le AWS Management Console, le ou l' AWS API AWS CLI, vous MediaConnect créez le rôle lié au service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. De plus, si vous utilisiez le MediaConnect service avant le 1er janvier 2023, date à laquelle il a commencé à prendre en charge les rôles liés au service, vous avez MediaConnect créé le AWSService RoleForMediaConnect rôle dans votre compte. Pour en savoir plus, consultez [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une MediaConnect ressource associée, le rôle lié au service est à nouveau MediaConnect créé pour vous.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le **MediaConnect**cas d'utilisation. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `MediaConnect` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
# Modification d'un rôle lié à un service pour MediaConnect
MediaConnect ne vous permet pas de modifier le rôle AWSService RoleForMediaConnect lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
# Supprimer un rôle lié à un service pour MediaConnect
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le MediaConnect service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer MediaConnect les ressources utilisées par AWSService RoleForMediaConnect**
1. Supprimez tous les ponts de toutes les passerelles.
1. Désenregistrez toutes les instances dans toutes les passerelles.
1. Supprimez toutes les passerelles.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleForMediaConnect service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles MediaConnect liés à un service
MediaConnect prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [MediaConnect Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/mediaconnect.html#mediaconnect_region).
# Configuration d'AWS Elemental en MediaConnect tant que service de confiance
Vous pouvez utiliser Gestion des identités et des accès AWS (IAM) pour contrôler quelles AWS ressources sont accessibles par quels utilisateurs et applications. Cela inclut la configuration d'autorisations permettant à AWS Elemental de MediaConnect communiquer avec d'autres services au nom de votre compte. Pour configurer AWS Elemental en MediaConnect tant qu'entité de confiance, vous devez effectuer les étapes suivantes :
**[Étape 1. ](#security-iam-trusted-entity-create-policy)** — Créez une politique IAM qui régit les actions que vous souhaitez autoriser.
**[Étape 2](#security-iam-trusted-entity-create-role)** — Créez un rôle IAM avec une relation de confiance et associez la politique que vous avez créée à l'étape précédente.
## Étape 1 : créer une politique IAM pour autoriser des actions spécifiques
Au cours de cette étape, vous créez une politique IAM qui régit les actions que vous souhaitez autoriser.
**Pour créer la stratégie IAM**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create policy**, puis sélectionnez l'onglet **JSON**.
1. Entrez une politique qui utilise le format JSON. Pour obtenir des exemples relatifs à , consultez les rubriques suivantes :
+ [ Exemple de stratégie pour la connexion à votre VPC](security_iam_resource-based-policy-examples.md#iam-policy-examples-for-mediaconnect-vpc)
+ [Exemples de politiques relatives aux secrets dans AWS Secrets Manager](iam-policy-examples-asm-secrets.md)
1. Choisissez **Examiner une politique**.
1. Dans **Nom**, entrez le nom de votre politique.
1. Choisissez **Create Policy** (Créer une politique).
## Étape 2 : créer un rôle IAM avec une relation de confiance
À [l'étape 1](#security-iam-trusted-entity-create-policy), vous avez créé une politique IAM qui régit les actions que vous souhaitez autoriser. Au cours de cette étape, vous créez un rôle IAM et attribuez la politique à ce rôle. Vous définissez ensuite AWS Elemental MediaConnect comme une entité de confiance qui peut assumer le rôle.
**Pour créer un rôle avec une relation de confiance**
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.
1. Sur la page **Rôle**, choisissez **Créer un rôle**.
1. Sur la page **Créer un rôle**, dans **Sélectionner le type d'entité approuvée**, choisissez **service AWS ** (la valeur par défaut).
1. Sous **Choisir le service qui utilisera ce rôle**, choisissez **EC2**.
Vous choisissez EC2 car il n' MediaConnect est pas inclus dans cette liste actuellement. Le choix d'EC2 vous permet de créer un rôle. Dans une étape ultérieure, vous modifierez ce rôle pour inclure MediaConnect au lieu d'EC2.
1. Choisissez **Suivant : Autorisations**.
1. Pour **Joindre des politiques d'autorisation**, entrez le nom de la politique que vous avez créée à [l'étape 1](#security-iam-trusted-entity-create-policy).
1. Cochez la case à côté du nom de la politique, puis choisissez **Suivant : Tags**.
1. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des identifications dans IAM, consultez [Étiquetage des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l'utilisateur IAM*.
1. Choisissez **Next: Review (Suivant : Vérification)**.
1. Pour **Nom du rôle (Role name)**, saisissez un nom. Le nom `MediaConnectAccessRole` est réservé, vous ne pouvez donc pas l'utiliser. Utilisez plutôt un nom comprenant `MediaConnect`, qui décrit l'objectif de ce rôle.
1. Pour la **description du rôle**, remplacez le texte par défaut par une description qui vous aidera à vous souvenir de l'objectif de ce rôle.
1. Choisissez **Créer un rôle**.
1. Dans le message de confirmation qui apparaît en haut de votre page, choisissez le nom du rôle que vous venez de créer en sélectionnant **Afficher le rôle**.
1. Choisissez l'onglet **Relations de confiance**, puis sélectionnez **Modifier la politique de confiance**.
1. dans la fenêtre **Modifier la politique de confiance**, apportez les modifications suivantes au JSON :
+ Pour le **service**, remplacez `ec2.amazonaws.com` par `mediaconnect.amazonaws.com`
+ Pour plus de sécurité, définissez des conditions spécifiques pour la politique de confiance. Cela se limitera MediaConnect à l'utilisation des seules ressources de votre compte. Pour ce faire, utilisez une condition globale telle que l'**ID de compte**, l'**ARN du flux**, ou les deux. Consultez l'exemple suivant de politique de confiance conditionnelle. Pour plus d'informations sur les avantages en matière de sécurité liés à la situation mondiale, consultez la section [Prévention interservices de la confusion des adjoints](cross-service-confused-deputy-prevention.md).
**Note**
L'exemple suivant utilise à la fois les conditions **d'ID de compte** et **d'ARN du flux**. Votre politique sera différente si vous n'utilisez pas les deux conditions. Si vous ne connaissez pas l'ARN complet du flux ou si vous spécifiez plusieurs flux, utilisez la clé de condition de contexte `aws:SourceArn` global avec des caractères génériques (`*`) pour les parties inconnues de l'ARN. Par exemple, `arn:aws:mediaconnect:*:111122223333:*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:*:flow-name"
}
}
}
]
}
```
------
1. Choisissez **Mettre à jour une politique**.
1. Sur la page **Résumé**, prenez note de la valeur du champ **ARN de rôle**. Il se présente comme suit : `arn:aws:iam::111122223333:role/MediaConnectASM`.
# Prévention du problème de l’adjoint confus entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)de contexte de flux et de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale dans les politiques de ressources afin de limiter les autorisations qu'AWS Elemental MediaConnect accorde à un autre service à la ressource. Utilisez les flux `aws:SourceArn` si vous souhaitez qu'une seule ressource soit associée à l'accès interservices. Utilisez `aws:SourceAccount` si vous souhaitez autoriser une ressource de ce compte à être associée à l’utilisation interservices.
Le moyen le plus efficace de se protéger contre le problème de confusion des adjoints consiste à utiliser la clé de contexte de condition `aws:SourceArn` globale avec l'ARN complet du flux. Si vous ne connaissez pas l'ARN complet du flux ou si vous spécifiez plusieurs flux, utilisez la clé de condition de contexte `aws:SourceArn` global avec des caractères génériques (`*`) pour les parties inconnues de l'ARN. Par exemple, `arn:aws:mediaconnect:*:111122223333:*`.
L'exemple suivant montre comment utiliser les touches de contexte de condition `aws:SourceAccount` globale `aws:SourceArn` et globale MediaConnect pour éviter le problème de confusion des adjoints.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:1-ABCDEFGHJxyzMNoP-a1234bc12345:flow-name"
}
}
}
]
}
```
------
# Résolution des problèmes liés AWS à l' MediaConnect identité et à l'accès Elemental
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec MediaConnect IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans MediaConnect](#security_iam_troubleshoot-no-permissions)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes MediaConnect ressources](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans MediaConnect
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni votre nom d’utilisateur et votre mot de passe.
L'exemple d'erreur suivant se produit lorsque l'`mateojackson`utilisateur essaie d'utiliser la console pour afficher les détails d'un flux mais ne dispose pas des `mediaconnect:DescribeFlow` autorisations nécessaires.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: mediaconnect:DescribeFlow on resource: myExampleFlow
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `myExampleFlow` à l’aide de l’action `mediaconnect:DescribeFlow`.
## Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes MediaConnect ressources
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si ces fonctionnalités sont prises MediaConnect en charge, consultez[Comment AWS Elemental MediaConnect fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.