创建实例角色 - MediaLive
步骤 1:创建 策略第 2 步:创建角色

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建实例角色

要使用 MediaLive Anywhere,必须创建可信实体配置,以便在 MediaLive 运行的本地节点硬件上 AWS Systems Manager 执行操作。您必须创建角色,附加一些包含特定内容的策略,并指定 AWS Systems Manager (Systems Manager)作为该角色的可信实体。

在此图中,角色位于粉色方框中,每个策略位于黄色方框中,每个可信实体位于蓝色方框中。

Instance Role connected to three policies and a trust relationship with AWS Systems Manager.

创建此角色后,部署 MediaLive Anywhere 的 MediaLive 用户会将此角色附加到他们创建的每个集群。他们为每个集群附加相同的角色。此角色及其可信实体声明如下:

“对于此群集中的任何节点,允许 Systems Manager 担任此角色,以便对附加到该角色的策略中指定的资源执行操作。”

创建策略

您必须创建 MediaLiveAnywhereAccess 策略。这是图中最上面的黄色方框。(您无需创建其他两个策略,因为它们是 IAM 中已存在的托管策略。)

  1. 登录 AWS Management Console 并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择策略。然后选择创建策略。在显示的页面上,选择 JSON 视图(而不是视觉视图)。

  3. 删除示例的所有内容并复制以下文本。编辑文本,将的两个实例都更改111122223333为您的 AWS 账号。将修改后的文本粘贴到策略编辑器中。

    在第一条语句中,“Resource”行标识任何 AWS 区域中指定账户的任何集群(由账户前面的 * 通配符指定)。

    在第二条语句中,资源行用于标识任何 AWS 区域中指定账户中的(请注意,不需要通配符)。MediaLiveAccessRole

    {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"medialive:SubmitAnywhereStateChange",
				"medialive:PollAnywhere"
			],
			"Resource": "arn:aws:medialive:*:111122223333:cluster:*"
		},
		{
			"Effect": "Allow",
			"Action": "iam:PassRole",
			"Resource": "arn:aws:iam::111122223333:role/MediaLiveAccessRole",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"medialive.amazonaws.com"
					]
				}
			}
		}
	]
}

  4. 选择下一步。为策略命名。我们推荐输入名称 MediaLiveAnywhereAccess

  5. 选择创建策略

创建 角色

您必须创建实例角色。这是图中的粉色方框。

  1. 在 IAM 控制台的左侧导航窗格中,选择角色,然后选择创建角色。此时系统会显示创建角色向导。此向导将引导您设置可信实体和添加权限(通过添加策略)。

  2. 选择可信实体页面上,选择自定义信任策略卡片。自定义信任策略部分会显示,其中包含示例语句。

  3. 删除示例的所有内容,复制以下文本,然后将文本粘贴到自定义信任策略部分。选择下一步

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": ["medialive.amazonaws.com", "ssm.amazonaws.com"]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  4. 添加权限页面上,找到以下策略并选中每个策略对应的复选框:

    • 您创建的策略。如果您遵循了建议,则此策略的名称为)MediaLiveAnywhereAccess

    • AmazonEC2ContainerServiceforEC2Role 策略

    • AmazonSSMManagedInstanceCore 策略

    在控制台上,权限策略标题旁边的计数器显示 3/xxx,表示您选择了三种策略。

  5. 选择下一步

  6. 在审核页面上,输入角色的名称。我们推荐输入名称 MediaLiveAnywhereInstanceRole

  7. 选择创建角色

  8. 在角色的摘要页面,记下角色 ARN 中的值。它类似于以下内容:

    arn:aws:iam::111122223333:role/MediaLiveAnywhereInstanceRole

    在示例中,111122223333是您的 AWS 账号。