As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criação de políticas e de perfis não administrativos
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do MediaPackage. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos por MediaPackage, incluindo o formato dos ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição AWS Elemental MediaPackage na Referência de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediapackage.html) *Autorização de Serviço*.
Esta seção descreve como você pode criar políticas e criar funções não administrativas para que os usuários possam criar ou modificar MediaPackage recursos. Esta seção também descreve como seus usuários podem assumir esse perfil para conceder credenciais seguras e temporárias.
**Topics**
+ [(Opcional) Etapa 1: criar uma política do IAM para a Amazon CloudFront](#setting-up-create-non-admin-iam-cf)
+ [(Opcional) Etapa 2: criar uma política do IAM para MediaPackage VOD](#setting-up-create-non-admin-iam-vod)
+ [Etapa 3: criar um novo perfil no console do IAM](#setting-up-create-role)
+ [Etapa 4: assumir a função no console do IAM ou AWS CLI](#setting-up-create-nonadmin-roles-assume-role)
## (Opcional) Etapa 1: criar uma política do IAM para a Amazon CloudFront
Se você ou seus usuários criarem CloudFront distribuições da Amazon a partir do console AWS Elemental MediaPackage ativo, crie uma política do IAM que permita acesso a. CloudFront
Para obter mais informações sobre como usar CloudFront com MediaPackage, consulte[Trabalhando com CDNs](cdns.md).
**Para usar o editor de políticas JSON para criar uma política**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Políticas**.
Se essa for a primeira vez que você escolhe **Políticas**, a página **Bem-vindo às políticas gerenciadas** será exibida. Escolha **Começar**.
1. Na parte superior da página, escolha **Criar política**.
1. Na seção **Editor de políticas**, escolha a opção **JSON**.
1. Insira o seguinte documento de política JSON:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution",
"cloudfront:CreateDistributionWithTags",
"cloudfront:UpdateDistribution",
"cloudfront:CreateDistribution",
"cloudfront:TagResource",
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
1. Escolha **Próximo**.
**nota**
É possível alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Próximo** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Restruturação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) no *Guia do usuário do IAM*.
1. Na página **Revisar e criar**, insira um **Nome de política** e uma **Descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ver as permissões que são concedidas pela política.
1. Escolha **Criar política** para salvar sua nova política.
## (Opcional) Etapa 2: criar uma política do IAM para MediaPackage VOD
Se você ou seus usuários usarem a funcionalidade de vídeo sob demanda (VOD) MediaPackage, crie uma política de IAM que permita o acesso aos recursos do `mediapackage-vod` serviço.
As seções a seguir descrevem como criar uma política que permita todas as ações e uma que conceda direitos somente leitura. É possível personalizar as políticas adicionando ou removendo ações de acordo com os fluxos de trabalho.
### Política para acesso total ao VOD
Essa política permite que o usuário execute todas as ações em todos os recursos de VOD.
**Para usar o editor de políticas JSON para criar uma política**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Políticas**.
Se essa for a primeira vez que você escolhe **Políticas**, a página **Bem-vindo às políticas gerenciadas** será exibida. Escolha **Começar**.
1. Na parte superior da página, escolha **Criar política**.
1. Na seção **Editor de políticas**, escolha a opção **JSON**.
1. Insira o seguinte documento de política JSON:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "mediapackage-vod:*",
"Resource": "*"
}
]
}
```
1. Escolha **Próximo**.
**nota**
É possível alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Próximo** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Restruturação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) no *Guia do usuário do IAM*.
1. Na página **Revisar e criar**, insira um **Nome de política** e uma **Descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ver as permissões que são concedidas pela política.
1. Escolha **Criar política** para salvar sua nova política.
### Política de acesso somente leitura ao VOD
Essa política permite que o usuário visualize todos os recursos de VOD.
**Para usar o editor de políticas JSON para criar uma política**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Políticas**.
Se essa for a primeira vez que você escolhe **Políticas**, a página **Bem-vindo às políticas gerenciadas** será exibida. Escolha **Começar**.
1. Na parte superior da página, escolha **Criar política**.
1. Na seção **Editor de políticas**, escolha a opção **JSON**.
1. Insira o seguinte documento de política JSON:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mediapackage-vod:List*",
"mediapackage-vod:Describe*"
],
"Resource": "*"
}
]
}
```
1. Escolha **Próximo**.
**nota**
É possível alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Próximo** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Restruturação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) no *Guia do usuário do IAM*.
1. Na página **Revisar e criar**, insira um **Nome de política** e uma **Descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ver as permissões que são concedidas pela política.
1. Escolha **Criar política** para salvar sua nova política.
## Etapa 3: criar um novo perfil no console do IAM
Crie um perfil no console do IAM para cada política que você criar. Isso permite que o usuário assuma um perfil em vez de anexar políticas individuais a cada usuário.
**Para criar um perfil no console do IAM**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do IAM, escolha **Perfis** e, em seguida, **Criar perfil**.
1. Em **Selecionar entidade confiável**, escolha **conta da AWS **.
1. Em **Uma AWS conta**, selecione a conta com os usuários que assumirão essa função.
+ Se houver planos para que um terceiro acesse esse perfil, a prática recomendada é selecionar **Exigir ID externo**. Para obter mais informações sobre IDs externos, consulte [Como usar um ID externo para acesso de terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) no *Guia do usuário do IAM*.
+ A exigência de autenticação multifator (MFA) é uma prática recomendada. Você pode marcar a caixa de seleção ao lado de **Exigir MFA**. *Para obter mais informações sobre a MFA, consulte [Multi-factorautenticação (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) no Guia do usuário do IAM.*
1. Escolha **Próximo**.
1. Em **Políticas de permissões**, pesquise e adicione a política com o nível de MediaPackage permissões apropriado.
+ Para obter acesso à funcionalidade ao vivo, escolha uma das seguintes opções:
+ Use **AWSElementalMediaPackageFullAccess**para permitir que o usuário execute todas as ações em todos os recursos ativos em MediaPackage.
+ Use **AWSElementalMediaPackageReadOnly**para fornecer ao usuário direitos somente de leitura para todos os recursos ativos em. MediaPackage
+ Para acessar a funcionalidade vídeo sob demanda (VOD), use a política criada em [(Opcional) Etapa 2: criar uma política do IAM para MediaPackage VOD](#setting-up-create-non-admin-iam-vod).
1. Adicione políticas para permitir que o MediaPackage console faça chamadas para a Amazon CloudWatch em nome do usuário. Sem essas políticas, o usuário pode usar apenas a API do serviço (e não o console). Escolha uma das seguintes opções:
+ Use **ReadOnlyAccess**para permitir MediaPackage a comunicação e também fornecer ao usuário acesso somente de leitura a todos os AWS serviços da sua conta. CloudWatch
+ Use **CloudWatchReadOnlyAccess**, **CloudWatchEventsReadOnlyAccess**, e **CloudWatchLogsReadOnlyAccess**para permitir MediaPackage a CloudWatch comunicação e limitar o acesso somente de leitura do usuário a. CloudWatch
1. (Opcional) Se esse usuário criar CloudFront distribuições da Amazon a partir do MediaPackage console, anexe a política que você criou. [(Opcional) Etapa 1: criar uma política do IAM para a Amazon CloudFront](#setting-up-create-non-admin-iam-cf)
1. (Opcional) Defina um [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço.
1. Expanda a seção **Limite de permissões** e escolha **Usar um limite de permissões para controlar o número máximo de permissões de funções**. O IAM inclui uma lista das políticas AWS gerenciadas e gerenciadas pelo cliente em sua conta.
1. Selecione a política a ser usada para o limite de permissões ou escolha **Criar política** para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) no *Guia do usuário do IAM*.
1. Depois de criar a política, feche essa guia e retorne à guia original para selecionar a política a ser usada para o limite de permissões.
1. Verifique se as políticas corretas foram adicionadas a esse grupo e escolha **Próximo**.
1. Se possível, insira um nome de função ou sufixo de nome de função para ajudar a identificar o propósito desta função. Os nomes de função devem ser exclusivos em sua Conta da AWS. Eles não são diferenciados por maiúsculas e minúsculas. Por exemplo, não é possível criar perfis denominados **PRODROLE** e **prodrole**. Como várias entidades podem fazer referência à função, não é possível editar o nome da função depois que ela é criada.
1. (Opcional) Em **Descrição da função**, insira uma descrição para a nova função.
1. Selecione **Editar** nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: selecionar permissões** para editar os casos de uso e as permissões para a função.
1. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte [Marcar recursos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.
1. Revise a função e escolha **Criar perfil**.
## Etapa 4: assumir a função no console do IAM ou AWS CLI
Consulte os seguintes recursos para aprender como conceder permissões para que usuários assumam o perfil e como os usuários podem mudar para o perfil no console do IAM ou na AWS CLI.
+ Para obter mais informações sobre como permitir que um usuário alterne perfis, consulte [Concessão de permissões a um usuário para alternar funções](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html) no *Guia do usuário do IAM*.
+ Para obter mais informações sobre como alternar perfis (console), consulte [Alternar para um perfil (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) no *Guia do usuário do IAM*.
+ Para obter mais informações sobre como alternar perfis (AWS CLI), consulte [Alternar para um perfil do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html) no *Guia do usuário do IAM*.