# 步驟 3：設定 IAM 許可
<a name="getting-started-iam-permissions"></a>

接下來，您必須建立 AWS Identity and Access Management (IAM) 政策，為使用者提供一組基本許可 (例如，用於建立 Amazon IVS 頻道、取得串流資訊以及自動錄製到 S3 的許可)，並將該政策指派給使用者。您可以在建立[新使用者](#iam-permissions-new-user)時指派許可，也可以為[現有的使用者](#iam-permissions-existing-user)新增許可。兩種程序如下所示。

如需詳細資訊 (例如，若要了解 IAM 使用者和政策、如何將政策附加到使用者、以及如何限制使用者可以使用 Amazon IVS 執行的動作)，請參閱：
+ 《IAM 使用者指南》**中的[建立 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#Using_CreateUser_console)
+ [Amazon IVS 安全性](security.md) 中有關 IAM 和「IVS 的受管政策」的資訊。
+ 對於錄製到 S3 功能：[使用服務連結角色](security-service-linked-roles.md)和《Amazon IVS 使用者指南》**中的 [自動錄製至 Amazon S3](record-to-s3.md)

您可以對 Amazon IVS 使用現有的 AWS 受管政策，也可以建立新政策來自訂要授予一組使用者、群組或角色的許可。兩種方法皆在下面有所描述。

## 對 IVS 許可使用現有的政策
<a name="iam-permissions-existing-policy"></a>

在大多數情況下，您會想要對 Amazon IVS 使用 AWS 受管政策。*IVS 安全性*的 [IVS 的受管政策](security-iam-awsmanpol.md)章節對它們進行了完整描述。
+ 使用 `IVSReadOnlyAccess` AWS 受管政策可讓應用程式開發人員存取所有 IVS Get 和 List API 操作 (同時適用於低延遲和即時串流)。
+ 使用 `IVSFullAccess` AWS 受管政策可讓應用程式開發人員存取所有 IVS API 操作 (同時適用於低延遲和即時串流)。

## 選用：為 Amazon IVS 許可建立自訂政策
<a name="iam-permissions-new-policy"></a>

請遵循下列步驟：

1. 登入 AWS 管理主控台，然後前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**政策**，然後選擇**建立政策**。**Specify permissions** (指定許可) 視窗隨即開啟。

1. 在**指定許可**視窗中，選擇 **JSON** 標籤，將以下 IVS 政策複製並貼上至**政策編輯器**文字區域。(此政策不包括所有 Amazon IVS 動作。您可以視需要新增/刪除 (允許/拒絕) 操作存取許可。如需有關 IVS 操作的詳細資訊，請參閱《[IVS 低延遲串流 API 參考](https://docs.aws.amazon.com//ivs/latest/LowLatencyAPIReference/Welcome.html)》。)

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
         {
            "Effect": "Allow",
            "Action": [
               "ivs:CreateChannel",
               "ivs:CreateRecordingConfiguration",
               "ivs:GetChannel",
               "ivs:GetRecordingConfiguration",
               "ivs:GetStream",
               "ivs:GetStreamKey",
               "ivs:GetStreamSession",
               "ivs:ListChannels",
               "ivs:ListRecordingConfigurations",
               "ivs:ListStreamKeys",
               "ivs:ListStreams",
               "ivs:ListStreamSessions"
             ],
             "Resource": "*"
         },
         {
            "Effect": "Allow",
            "Action": [
               "cloudwatch:DescribeAlarms",
               "cloudwatch:GetMetricData",
               "s3:CreateBucket",
               "s3:GetBucketLocation",
               "s3:ListAllMyBuckets",
               "servicequotas:ListAWSDefaultServiceQuotas",
               "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
               "servicequotas:ListServiceQuotas",
               "servicequotas:ListServices",
               "servicequotas:ListTagsForResource"
            ],
            "Resource": "*"
         },
         {
            "Effect": "Allow",
            "Action": [
               "iam:AttachRolePolicy",
               "iam:CreateServiceLinkedRole",
               "iam:PutRolePolicy"
            ],
            "Resource": 
   "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
         }
      ]
   }
   ```

------

1. 仍在**指定許可**視窗中，選擇**下一步** (捲動至視窗底部即可看到此選項)。**Review and create** (審查並建立) 視窗隨即開啟。

1. 在**審查並建立**視窗中，輸入**政策名稱**，並選擇性地新增**描述**。請記下政策名稱，因為您在建立使用者時要用到此資料 (如下)。選擇 **Create policy** (建立政策) (位於視窗底部)。

1. 您會返回 IAM 主控台視窗，在其中看到一個橫幅，確認您的新政策已建立。

## 建立新使用者並新增許可
<a name="iam-permissions-new-user"></a>

### IAM 使用者存取金鑰
<a name="iam-permissions-new-user-access-keys"></a>

IAM 存取金鑰由存取金鑰 ID 和私密存取金鑰組成。這些金鑰用於簽署您對 AWS 提出的程式設計請求。如果您沒有存取金鑰，可以使用 AWS 管理主控台來建立。根據最佳實務，請勿建立根使用者存取金鑰。

*您只能在建立存取金鑰時，檢視或下載私密存取金鑰。稍後您便無法復原。*不過，您可以隨時建立新的存取金鑰；您必須具有執行必要 IAM 動作的許可。

請務必安全地儲存存取金鑰。切勿與第三方分享 (即使查詢似乎來自 Amazon)。如需詳細資訊，請參閱《IAM 使用者指南》**中的[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。

### 程序
<a name="iam-permissions-new-user-procedure"></a>

請遵循下列步驟：

1. 在導覽窗格中，選擇 **Users** (使用者)，然後選擇 **Create user** (建立使用者)。**Specify user details** (指定使用者詳細資訊) 視窗隨即開啟。

1. 在**指定使用者詳細資訊**視窗：

   1. 在 **User details** (使用者詳細資訊)，輸入要建立的新 **User name** (使用者名稱)。

   1. 勾選**提供使用者對 AWS 管理主控台的存取權**。

   1. 出現提示時，選取**我要建立 IAM 使用者**。

   1. 在**主控台密碼**下選取**自動產生的密碼**。

   1. 選取**使用者必須在下次登入時建立新密碼**。

   1. 選擇**下一步**。**Set permissions** (設定許可) 視窗隨即開啟。

1. 在**設定許可**下，選取**直接連接政策**。**Permissions policies** (許可策略) 視窗隨即開啟。

1. 在搜尋方塊中，輸入 IVS 政策名稱 (AWS 受管政策或之前建立的自訂政策)。找到後，勾選方塊以選取政策。

1. 選擇 **Next** (下一步) (位於視窗底部)。**Review and create** (審查並建立) 視窗隨即開啟。

1. 在 **Review and create** (審查並建立) 視窗中，確認所有使用者詳細資訊都正確無誤，然後選擇 **Create user** (建立使用者) (位於視窗底部)。

1. **Retrieve password** (擷取密碼) 視窗隨即開啟，其中包含您的**主控台登入詳細資訊**。*安全地儲存此資訊以供日後參考*。當您完成時，請選擇 **Return to users list** (返回使用者清單)。

## 為現有的使用者新增許可
<a name="iam-permissions-existing-user"></a>

請遵循下列步驟：

1. 登入 AWS 管理主控台，然後前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**使用者**，然後選擇要更新的現有使用者名稱。(按一下名稱來選擇名稱；請勿勾選選取方塊。)

1. 在 **Summary** (摘要) 頁面的 **Permissions** (許可) 索引標籤中，選擇 **Add permissions** (新增許可)。**Add permissions** (新增許可) 視窗隨即開啟。

1. 選取**直接連接現有政策**。**Permissions policies** (許可策略) 視窗隨即開啟。

1. 在搜尋方塊中，輸入 IVS 政策名稱 (AWS 受管政策或之前建立的自訂政策)。找到政策後，勾選方塊以選取政策。

1. 選擇 **Next** (下一步) (位於視窗底部)。**Review** (審查) 視窗隨即開啟。

1. 在**檢閱**視窗上，選取**新增許可** (位於視窗底部)。

1. 在**摘要**頁面上，確認已新增 IVS 政策。