# Amazon IVS 安全性
雲端安全是 AWS 最重視的一環。身為 AWS 的客戶,您將能從資料中心和網路架構中獲益,這些都是專為最重視安全的組織而設計的。
安全是 AWS 與您共同肩負的責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/) 將此描述為雲端*的*安全和雲端*內*的安全:
+ **雲端本身的安全**:AWS 負責保護在 AWS Cloud 中執行 AWS 服務的基礎設施。AWS 也提供您可安全使用的服務。在 [AWS 合規計畫](https://aws.amazon.com/compliance/programs/)中,第三方稽核員會定期測試並驗證我們的安全功效。
+ **雲端內部的安全**:您的責任取決於所使用的 AWS 服務。您也必須對資料敏感度、組織要求,以及適用法律和法規等其他因素負責。
本文件有助於您了解如何在使用 Amazon IVS 時套用共同責任模型。下列各主題將說明如何配置 Amazon IVS,以達成您的安全性與合規目標。
**Topics**
+ [IVS 資料保護](security-data-protection.md)
+ [IVS 中的 Identity and Access Management](security-iam.md)
+ [Amazon IVS 的受管政策](security-iam-awsmanpol.md)
+ [使用 Amazon IVS 的服務連結角色](security-service-linked-roles.md)
+ [IVS 記錄和監控](security-logging-monitoring.md)
+ [IVS 事件回應](security-incident-response.md)
+ [IVS 恢復能力](security-resilience.md)
+ [IVS 基礎設施安全](security-infrastructure.md)
# IVS 資料保護
對於傳送至 Amazon Interactive Video Service (IVS) 的資料,有下列資料保護措施:
+ Amazon IVS 會透過 HTTPS API 端點、RTMPS 擷取和 HTTPS 播放來加密傳輸中的資料。API 端點不需要任何設定。
+ 對於擷取,串流器可以使用 RTMPS 來保護其內容的安全。預設為可用。請參閱[開始使用 IVS 低延遲串流](getting-started.md)。
+ IVS 頻道可以設為允許不安全的 RTMP 擷取,不過我們建議您使用 RTMPS,除非您有特定且經過驗證的使用案例需要使用 RTMP。
+ 對於轉碼/轉碼复用,資料可能會在內部 Amazon 網路上以未加密的方式傳輸。
+ 對於播放,資料會透過 HTTPS 提供。
+ 即時影片不會儲存,而且是暫時性的。它只是在系統中傳播,並在被檢視時進行快取 (在內部系統中)。
+ 對於「自動錄製到 S3」功能,影片內容會寫入 Amazon S3。如需詳細資訊,請參閱 [Amazon S3 中的資料保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)。
+ 所有儲存的客戶輸入的中繼資料均在使用伺服器端加密的 AWS 管理服務中。
+ 為了改善服務品質,Amazon IVS 會儲存客戶 (最終使用者) 中繼資料 (例如,特定區域的緩衝速率)。此中繼資料無法用來識別您的使用者。
+ (您所管理的) 公有加密金鑰可以搭配 `ImportPlaybackKeyPair` API 操作使用。請參閱 [IVS 低延遲串流 API 參考](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html)。*請勿分享這些加密金鑰*。
Amazon IVS 不需要您提供任何客戶 (最終使用者) 資料。在頻道、輸入或輸入安全群組中沒有需要您提供客戶 (最終使用者) 資料的欄位。
請勿將客戶 (最終使用者) 帳號等敏感識別資訊填入 Name (名稱) 等自由格式欄位。這包括當您使用 Amazon IVS 主控台或 API、AWS CLI 或 AWS SDK 時。您輸入到 Amazon IVS 的任何資料都可能包含在診斷日誌中。
串流並非端對端加密;串流可能會在 IVS 網路內部以未加密的方式傳輸,以供處理。
# IVS 中的 Identity and Access Management
AWS Identity and Access Management (IAM) 是一種 AWS 服務,可協助帳戶管理員安全地控制對 AWS 資源的存取。每項 AWS 資源均由某個 AWS 帳戶所持有,而建立或存取資源的許可則由許可政策管理。IAM 帳戶管理員可以控制經過身分驗證 (已登入) 和得到授權 (具有許可) 來使用 Amazon IVS 資源的人員。IAM 是 AWS 帳戶可享的一項功能,無須額外付費。
**重要事項**:如需完整資訊,請參閱 [AWS IAM 產品頁面](https://aws.amazon.com/iam/)、《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)》和[簽署 AWS API 請求](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html)。在本節中,我們還會提供 *IAM 使用者指南*特定章節的連結。在繼續之前,您應該熟悉此材料。
## 目標對象
根據您在 Amazon IVS 中所進行的工作而定,IAM 的使用方式會不同。
+ **服務使用者** – 若您使用 Amazon IVS 來執行您的任務,您的管理員可以提供您需要的登入資料和許可。隨著您為了執行作業而使用的 Amazon IVS 功能數量變多,您可能會需要額外的許可。了解存取的管理方式可協助您向管理員請求正確的許可。如果您無法存取 Amazon IVS 中的功能,請參閱 [疑難排解](#security-iam-troubleshooting)。
+ **服務管理員** – 若您在公司負責管理 Amazon IVS 資源,您可能擁有 Amazon IVS 的完整存取權。您的任務是要判斷員工應存取哪些 Amazon IVS 功能和資源。您接著必須將請求提交給您的 IAM 管理員,來變更您服務使用者的許可。檢閱此頁面上的資訊,了解基本 IAM 概念。若要進一步了解貴公司可搭配 Amazon IVS 使用 IAM 的方式,請參閱 [Amazon IVS 如何與 IAM 搭配運作](#security-iam-how-ivs-works)。
+ **IAM 管理員** – 如果您是 IAM 管理員,您可寫入政策以管理 Amazon IVS 存取權。若要檢視您可以在 IAM 中使用的基於 Amazon IVS 身分的政策範例,請參閱[基於身分的政策範例](#security-iam-policy-examples)。
## Amazon IVS 如何與 IAM 搭配運作
在您發出 Amazon IVS API 請求之前,您必須先建立一個或多個 IAM 身分*身分* (使用者、群組和角色) 和 IAM *政策*,然後將政策連接至身分。傳播許可最多需要幾分鐘的時間;在此之前,API 請求會遭到拒絕。
若要更好地了解 Amazon IVS 如何與 IAM 搭配運作,請參閱 *IAM 使用者指南*中的[與 IAM 搭配運作的 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 身分
您可建立的 IAM 身分,以便為 AWS 帳戶中的人員和程序提供身分驗證。IAM 群組是 IAM 使用者集合,您可將它們視為單位進行管理。請參閱 *IAM 使用者指南*中的身分[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
## 政策
請參閱 *IAM 使用者指南*中的以下章節:
+ [存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) — 全部關於政策。
+ [Amazon IVS 的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservice.html)
+ [AWS 全域條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) — 您可以在 JSON 政策中使用的所有元素。
預設情況下,IAM 使用者和角色沒有建立或修改 Amazon IVS 資源 (甚至變更他們自己的密碼) 的許可。他們也無法使用 AWS 主控台、AWS CLI 或 AWS API 執行任務。IAM 管理員必須建立 IAM 政策,授予使用者和角色在指定資源上執行特定 API 操作的所需許可。
IAM 政策定義該動作的許可,無論使用何種方法來執行操作。例如,假設您有一個允許 `iam:GetRole` 動作的政策。具備該政策的使用者便可以從 AWS 管理主控台、AWS CLI 或 AWS API 取得角色資訊。
政策是由*元素*組成的 JSON 許可政策文件。Amazon IVS 支援三種元素:
+ **動作** — Amazon IVS 政策動作在動作之前使用 `ivs` 字首。例如,若要授予某人使用 Amazon IVS `CreateChannel` API 方法建立 Amazon IVS 頻道的許可,請在該人員的政策中包括 `ivs:CreateChannel` 動作。政策陳述式必須包含 `Action` 或 `NotAction` 元素。
+ **資源** — Amazon IVS 頻道資源具有以下 [ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 格式:
```
arn:aws:ivs:${Region}:${Account}:channel/${channelId}
```
例如,若要在陳述式中指定 `VgNkEJgOVX9N` 頻道,請使用此 ARN:
```
"Resource": "arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N"
```
有些 Amazon IVS 動作無法對特定資源執行,例如用來建立資源的動作。在那些情況下,您必須使用萬用字元 (`*`):
```
"Resource":"*"
```
+ **條件** — Amazon IVS 支援某些全域條件金鑰:`aws:RequestTag`、`aws:TagKeys` 和 `aws:ResourceTag`。
您可以在政策中使用變數做為預留位置。例如,您可以只在使用者使用其 IAM 使用者名稱標記時,將存取資源的許可授予該 IAM 使用者。請參閱 *IAM 使用者指南*中的[變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。
Amazon IVS 提供 AWS 受管政策,可用於向身分授予一組預先設定的許可 (唯讀或完整存取權)。您可以選擇使用受管政策,而非下面所示的身分型政策。如需詳細資訊,請參閱 [Amazon IVS 的受管政策](security-iam-awsmanpol.md)。
## 以 Amazon IVS 標籤為基礎的授權
您可以將標籤連接至 Amazon IVS 資源,或是在請求中將標籤傳遞至 Amazon IVS。若要根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件金鑰,在政策的條件元素中,提供標籤資訊。如需標記 Amazon IVS 資源的詳細資訊,請參閱 [IVS 低延遲串流 API 參考](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html)、[IVS 即時串流 API 參考](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html),以及 [IVS 聊天功能 API 參考](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html)中的「標記」。
如需範例,請參閱 [根據標籤檢視 Amazon IVS 頻道](#security-iam-policy-examples-tags)。
## 角色
請參閱 *IAM 使用者指南*中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)和[臨時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)。
*IAM 角色*是您 AWS 帳戶中具備特定許可的實體。
Amazon IVS 支援使用*臨時安全登入資料*。您可以搭配聯合使用暫時登入資料登入、擔任 IAM 角色,或是擔任跨帳戶角色。您取得暫時安全登入資料的方式是透過呼叫 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) API 操作 (例如 `AssumeRole` 或 `GetFederationToken`)。
## 特權和非特權存取
API 資源擁有特權存取。可以透過私有頻道設定非特權播放存取;請參閱[設定私有頻道](private-channels.md)。
## 政策的最佳實務
請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)中的 *IAM 最佳實務*。
基於身分的政策相當強大。它們可以判斷您帳戶中的某個人員是否可以建立、存取或刪除 Amazon IVS 資源。這些動作可能會讓您的 AWS 帳戶產生成本。請遵循下列建議:
+ **授予最低權限** – 當您建立自訂政策時,請只授予執行任務所需要的許可。以最小一組許可開始,然後依需要授予額外的許可。如此做比一開始使用太寬鬆的許可更為安全,然後稍後再嘗試將它們限縮。尤其是,保留 `ivs:*` 進行管理員存取;不要在應用程式中使用它。
+ **為敏感操作啟用多重要素驗證 (MFA)** – 為了增加安全,請要求 IAM 使用者使用 MFA 來存取敏感資源或 API 操作。
+ **使用政策條件以增加安全** – 在切實可行的範圍中,請定義允許存取資源的基於身分的政策條件。例如,您可以撰寫條件,來指定必須發出各種請求的可允許 IP 地址範圍。您也可以撰寫條件,只在指定的日期或時間範圍內允許請求,或要求使用 SSL 或 MFA。
## 基於身分的政策範例
### 使用 Amazon IVS 主控台。
若要存取 Amazon IVS 主控台,您必須有一組符合最低限制的許可,讓您可以列出並檢視您的 AWS 帳戶中 Amazon IVS 資源的詳細資訊。如果您建立比最低必要許可更嚴格的基於身分的政策,則對於具有該政策的身分而言,主控台將無法如預期運作。若要確保存取 Amazon IVS 主控台,請將以下政策連接到身分 (請參閱 *IAM 使用者指南*中的[新增和移除 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html))。
使用以下政策的各部分可存取:
+ 所有 Amazon IVS API 操作
+ 您的 Amazon IVS [服務配額](service-quotas.md)
+ IVS 自動錄製到 S3 功能 (低延遲串流) 和 IVS 複合錄製功能 (即時串流) 所需的 Amazon S3 端點。
+ 自動錄製到 S3 服務連結角色建立
+ Amazon CloudWatch 為您的即時串流工作階段取得指標
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ivs:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"servicequotas:ListServiceQuotas"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:CreateBucket",
"s3:DeleteBucketPolicy",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListAllMyBuckets",
"s3:PutBucketPolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:AttachRolePolicy",
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"lambda:AddPermission",
"lambda:ListFunctions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### 允許使用者檢視自己的許可
此範例會示範一個政策,它允許 IAM 使用者檢視連接到其使用者身分的內嵌及受管政策。此政策包含在 AWS 主控台上,或是使用 AWS CLI 或 AWS API 透過編寫程式的方式完成此動作的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam:*:*:user/${aws:username}"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
### 存取 Amazon IVS 頻道
在此,您希望授予 AWS 帳戶中的 IAM 使用者存取您的其中一個 Amazon IVS 頻道:`VgNkEJgOVX9N`。您也希望允許使用者停止串流 (`ivs:StopStream`)、新增中繼資料 (`ivs:PutMetadata`),並更新頻道 (`ivs:UpdateChannel`)。該政策也授予 Amazon IVS 主控台所需的許可:`ivs:ListChannels`、`ivs:ListStreams`、`ivs:GetChannel` 和 `ivs:GetStream`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListChannelsInConsole",
"Effect":"Allow",
"Action":[
"ivs:ListChannels",
"ivs:ListStreams"
],
"Resource":"arn:aws:ivs:*:*:channel/*"
},
{
"Sid":"ViewSpecificChannelInfo",
"Effect":"Allow",
"Action":[
"ivs:GetChannel",
"ivs:GetStream"
],
"Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
},
{
"Sid":"ManageChannel",
"Effect":"Allow",
"Action":[
"ivs:StopStream",
"ivs:PutMetadata",
"ivs:UpdateChannel"
],
"Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
}
]
}
```
------
### 根據標籤檢視 Amazon IVS 頻道
您可以在基於身分的政策中使用條件,根據標籤控制 Amazon IVS 的存取權。此範例會示範允許檢視頻道的政策。此政策也會授予在 Amazon IVS 主控台上完成此動作的必要許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListWidgetsInConsole",
"Effect": "Allow",
"Action": "ivs:ListChannels",
"Resource": "arn:aws:ivs:*:*:channel/*"
},
{
"Sid": "ViewChannelIfOwner",
"Effect": "Allow",
"Action": "ivs:GetChannel",
"Resource": "arn:aws:ivs:*:*:channel/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
您可以將此政策連接到您帳戶中的 IAM 使用者。但是,只有在頻道標籤的值是該使用者的使用者名稱時,才會授予許可。如果名為 richard-roe 的使用者嘗試檢視 Amazon IVS 頻道,該頻道必須標記 `Owner=richard-roe` 或 `owner=richard-roe`;否則他便會被拒絕存取。(條件標籤金鑰 `Owner` 符合 `Owner` 和`owner`,因為條件金鑰名稱不區分大小寫。)
## 疑難排解
請使用以下資訊來協助您診斷和修正使用 Amazon IVS 和 IAM 時可能遇到的常見問題。
+ **我未獲授權,不得在 Amazon IVS 中執行動作。**
當 mateojackson IAM 使用者嘗試使用 AWS 主控台來檢視頻道詳細資訊但卻沒有 `ivs:GetChannel` 許可時,會發生以下範例錯誤。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ivs:GetChannel on resource: arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N
```
在此情況下,Mateo 會要求管理員更新他的政策,允許他使用 `ivs:GetChannel` 動作存取 `arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N` 資源。
+ **我想要檢視我的存取金鑰**。
在您建立 IAM 使用者存取金鑰後,您可以隨時檢視您的存取金鑰 ID。但是,您無法再次檢視您的私密存取金鑰。若您遺失了秘密金鑰,您必須建立新的存取金鑰對。存取金鑰有兩部分:
+ 存取金鑰 ID (例如,`AKIAIOSFODNN7EXAMPLE`)
+ 私密存取金鑰 (例如,`wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)
如同使用者名稱和密碼,您必須一起使用存取金鑰 ID 和私密存取金鑰來驗證您的請求。就如對您的使用者名稱和密碼一樣,安全地管理您的存取金鑰。
***重要:勿向第三方提供您的存取金鑰,而甚至讓他人[找到您的正式使用者 ID](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindingCanonicalId)。如果這麼做,就可能會讓他人能夠永久存取您的帳戶。***
建立存取金鑰對時,您會收到提示,要求您將存取金鑰 ID 和私密存取金鑰儲存在安全位置。只有在您建立的時候才可使用私密存取金鑰。若您遺失了私密存取金鑰,您必須將新的存取金鑰新增到您的 IAM 使用者。
您最多可有兩個存取金鑰。若您已有兩個存取金鑰,您必須先刪除其中一個金鑰對,才能建立新的金鑰對。請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)中的*管理 IAM 使用者的存取金鑰*。
+ **我是管理員,想要允許其他人存取 Amazon IVS。**
若要允許其他人存取 Amazon IVS,您必須針對需要存取的人員或應用程式建立 IAM 實體 (使用者或角色)。該人員或應用程式將使用該實體的憑證來存取 AWS。您接著必須將政策連接到實體,在 Amazon IVS 中授予正確的許可。
若要開始使用,請參閱 *IAM 使用者指南*中的[建立您的第一個 IAM 委派使用者及群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html)。
+ **我想允許 AWS 帳戶外的人員存取我的 Amazon IVS 資源。**
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員使用它來存取您的資源。您可以指定要允許哪些信任對象取得該角色。針對支援以資源為基礎的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您資源的權限。如需相關資訊,請參閱 *IAM 使用者指南*中的這些章節:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ivs/latest/LowLatencyUserGuide/security-iam.html)
# Amazon IVS 的受管政策
AWS 受管政策是由 AWS 建立和管理的獨立政策。AWS 受管政策的設計在於為許多常見使用案例提供許可,如此您就可以開始將許可指派給使用者、群組和角色。
請謹記,AWS 受管政策可能不會授予您特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法更改 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,更新會影響政策連接的所有主體身分 (使用者、群組和角色)。在推出新的 AWS 服務 或有新的 API 操作可供現有服務使用時,AWS 很可能會更新 AWS 受管政策。
如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## IVSReadOnlyAccess
使用 [IVSReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IVSReadOnlyAccess.html) AWS 受管政策可讓應用程式開發人員存取所有非變動 IVS API 操作 (同時適用於低延遲和即時串流)。
## IVSFullAccess
使用 [IVSFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IVSFullAccess.html) AWS 受管政策可讓使用者存取所有 IVS 和 IVS 聊天功能 API 操作 (同時適用於低延遲和即時串流)。此政策包括對相依服務的附加許可,以允許對 IVS 主控台的完整存取。
## 政策更新
檢視自此服務開始追蹤 Amazon IVS 的 AWS 受管政策更新以來的變更詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Amazon IVS 低延遲串流功能[文件歷史記錄](doc-history.md)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess)──變更 | IVS 新增了動作來授予 ListParticipantReplicas 許可,以支援參與者複寫功能 (即時串流版本)。 | 2025 年 7 月 24 日 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess)──變更 | 為支援兩個即時串流版本:使用金鑰對的 RTMP 擷取權杖和產生參與者權杖,IVS 新增了動作以授權下列許可: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ivs/latest/LowLatencyUserGuide/security-iam-awsmanpol.html) | 2024 年 9 月 18 日 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess)──變更 | 為支援伺服器端合成、即時複合錄製及無權杖播放限制,IVS 新增了動作以授權下列許可: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ivs/latest/LowLatencyUserGuide/security-iam-awsmanpol.html) | 2024 年 2 月 16 日 |
| [IVSFullAccess](#security-iam-awsmanpol-ivsfullaccess) – 新政策 | IVS 新增了一項新政策,允許完整存取 IVS (低延遲和即時串流) 和 IVS 聊天功能。 | 2023 年 12 月 5 日 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess) – 新政策 | IVS 新增了一項新政策,允許唯讀存取 IVS (低延遲和即時串流)。 | 2023 年 12 月 5 日 |
| Amazon IVS 開始追蹤變更 | Amazon IVS 開始追蹤其 AWS 受管政策的變更。 | 2023 年 12 月 5 日 |
# 使用 Amazon IVS 的服務連結角色
Amazon IVS 使用 IAM [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是一種獨特的 IAM 角色類型,可直接連結到 AWS 服務。服務連結角色由 Amazon IVS 預先定義,內含該服務代您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓設定 Amazon IVS 更為簡單,因為您不必手動新增必要的許可。Amazon IVS 定義其服務連結角色的許可,僅有 Amazon IVS 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除相關的 IVS 資源,才能刪除 IVS 服務連結角色。這可避免您意外移除 IVS 存取與服務連結角色相關聯 AWS 資源的許可。
如需支援服務連結角色其他服務的資訊,請參閱[可搭配 IAM 運作的 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示 **Yes** (是) 的服務。選擇具有連結的 **Yes** (是),以檢視該服務的服務連結角色文件。
## Amazon IVS 的服務連結角色許可
Amazon IVS 使用名為 **AWSServiceRoleForIVSRecordToS3** 的服務連結角色,以代表您的 Amazon IVS 頻道存取 Amazon S3 儲存貯體。
AWSServiceRoleForIVSRecordToS3 service-linked 服務連結角色信任下列服務擔任該角色:
+ `ivs.amazonaws.com`
此角色許可政策允許 Amazon IVS 對指定資源完成下列動作:
+ 動作:`your Amazon S3 buckets` 上的 `s3:PutObject`
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Amazon IVS 的服務連結角色
您不需要手動建立 IVS 的服務連結角色。當您在 Amazon IVS 主控台、AWS CLI 或 AWS API 中建立記錄組態資源時,Amazon IVS 會為您建立服務連結角色。該服務連結角色名稱為 AWSServiceRoleForIVSRecordToS3。
**重要**
此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您建立記錄組態資源時,Amazon IVS 會再次為您建立服務連結角色。
## 編輯 Amazon IVS 的服務連結角色
Amazon IVS 不允許您編輯 AWSServiceRoleForIVSRecordToS3 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需更多資訊,請參閱 *IAM 使用者指南*中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Amazon IVS 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
若 Amazon IVS 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**若要刪除 AWSServiceRoleForIVSRecordToS3 服務連結角色使用的 Amazon IVS 資源:**
使用 Amazon IVS 主控台、AWS CLI 或 AWS API,從所有頻道中移除記錄組態關聯,並刪除該區域中的所有記錄組態資源。
**使用 IAM 手動刪除服務連結角色:**
使用 IAM 主控台、AWS CLI 或 AWS API 來刪除 AWSServiceRoleForIVSRecordToS3 服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Amazon IVS 服務連結角色的支援區域
Amazon IVS 在所有提供服務的區域中支援使用服務連結的角色。如需詳細資訊,請參閱 [Amazon IVS 服務端點](https://docs.aws.amazon.com/general/latest/gr/ivs.html)。
# IVS 記錄和監控
要記錄效能和/或操作,請使用 Amazon CloudTrail。請參閱[使用 AWS CloudTrail 記錄 Amazon IVS API 呼叫](cloudtrail.md)。
# IVS 事件回應
若要偵測事件或提醒事件,您可以透過 Amazon EventBridge 事件監控串流的運作狀態。請參閱如何搭配 Amazon IVS 使用 Amazon EventBridge:適用於[低延遲串流](eventbridge.md)和[即時串流](https://docs.aws.amazon.com//ivs/latest/RealTimeUserGuide/eventbridge.html)。
使用 [AWS Health 儀板表](https://health.aws.amazon.com/health/status),了解 Amazon IVS 整體運作狀態的資訊 (依區域)。
# IVS 恢復能力
IVS API 使用 AWS 全球基礎設施,並以 AWS 區域與可用區域為中心而建置。AWS區域提供多個可用區域,包括:
+ 物理上分離和隔離。
+ 以低延遲、高輸送量、高備援網路連線相互連結。
+ 與傳統的單一或多資料中心基礎設施相比,可用性、容錯能力和擴充能力更高。
如需有關 API 的詳細資訊,請參閱 [IVS 低延遲串流 API 參考](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html)、[IVS 即時串流 API 參考](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html),以及 [IVS 聊天功能 API 參考](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html)。如需 AWS 區域與可用區域的詳細資訊,請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。
## Amazon IVS 影片資料平面
視訊擷取和分發會透過針對低延遲視訊最佳化的全域內容交付網路 (CDN) 來執行。這使得 Amazon IVS 能夠以最小的延遲向全球觀眾提供端對端、高品質的影片。該影片 CDN 具有全球連接點 (PoPs),允許廣播公司和觀眾在地理位置上分散。
無論您選擇在哪個 AWS 區域設定 Amazon IVS 資源:
+ 串流器會自動將影片擷取到其位置附近的 PoP。
+ 觀眾透過全球影片 CDN 串流影片。
擷取後,會在數個 Amazon IVS 資料中心的其中一個對影片串流進行處理和轉碼。Amazon IVS 不會針對擷取或轉碼失敗提供自動容錯移轉。相反地,串流器應該設定其編碼器或廣播用戶端,以便在任何廣播失敗時自動重新擷取。
# IVS 基礎設施安全
作為一種受管服務,Amazon IVS 受到 AWS 全球網路安全程序的保護。在[安全、身分與合規最佳實務](https://aws.amazon.com/architecture/security-identity-compliance/)中進行了說明。
## API Calls (API 呼叫)
您可使用 AWS 發佈的 API 呼叫,透過網路存取 Amazon IVS。用戶端必須支援 Transport Layer Security (TLS) 1.2 或更新版本。建議使用 TLS 1.3 或更新版本 (由於舊版本存在漏洞)。用戶端也必須支援具備完美轉送私密 (PFS) 的密碼套件,例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統 (如 Java 7 和更新版本) 大多會支援這些模式。
此外,必須使用存取金鑰 ID 和與 IAM 委託人相關聯的私密存取金鑰來簽署 API 請求。或者,您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) 來產生暫時安全憑證以簽署請求。
您可從任何網路位置呼叫這些 API 操作,而 Amazon IVS 確實可支援以資源為基礎的存取政策,以納入依據來源 IP 地址的限制。您也可以使用 Amazon IVS 政策,以便從特定 Amazon Virtual Private Cloud (Amazon VPC) 端點或特定 VPC 中控制存取權。實際上,這只會隔離 AWS 網路內特定 VPC 對 Amazon IVS 資源的網路存取。
此外,所有的 API 請求都是已簽章的 Sigv4。
如需 API 詳細資訊,請參閱 [IVS 低延遲串流 API 參考](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html)、[IVS 即時串流 API 參考](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html),以及 [IVS 聊天功能 API 參考](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html)。
## 串流與播放
透過 HTTPS 從邊緣到觀眾進行播放,而「貢獻邊緣」(擷取端點) 支援 RTMPS (透過 TLS 的 RTMP) (若頻道設為允許不安全的擷取)。Amazon IVS 串流需要 TLS 1.2 或更新版本。串流並非端對端加密;串流可能會在 IVS 網路內部以未加密的方式傳輸,以供處理。