AWS Elemental MediaLive CreateInput IAM 策略不起作用答案

【问题标题】：AWS Elemental MediaLive CreateInput IAM policy not workingAWS Elemental MediaLive CreateInput IAM 策略不起作用
【发布时间】：2020-10-18 23:03:58
【问题描述】：

我正在尝试设置 AWS IAM 策略来创建 MediaLive 输入。

我正在通过模拟器运行它

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "medialive:CreateInput",
            "Resource": [
                "arn:aws:medialive:us-west-2:XXXXXXXXXXXX:input:*"
            ]
        }
    ]
}

我得到Implicitly denied (no matching statements). 错误。

当然，如果我尝试使用以下策略，我会在模拟中成功，但这不是一个好的实现，因为资源范围很广。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "medialive:CreateInput",
            "Resource": "*"
        }
    ]
}

我还尝试在现有资源旁边包含"arn:aws:medialive:us-west-2:XXXXXXXXXXXX:inputSecurityGroup:*" 和"arn:aws:medialive:us-west-2:XXXXXXXXXXXX:channel:*"，但我仍然收到错误消息。

有什么建议吗？

【问题讨论】：

标签： amazon-web-services amazon-iam aws-media-live aws-mediaservices

【解决方案1】：

您需要为 CreateInput 操作指定 input-security-group 资源 ARN，以使模拟成功。

您能否确认您在通过aws IAM Policy simulator进行测试时是否使用了以下语法或类似的语法

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "medialive:CreateInput",
            "Resource": [
                "arn:aws:medialive:us-west-2:XXXXXXX:input:*",
                "arn:aws:medialive:*:XXXXXXXX:inputSecurityGroup:*"
            ]
        }
    ]
}

注意：用于模拟此 IAM 策略的用户需要具有适当的角色/权限才能创建 MediaLive 资源。 MediaLive UserGuide 有详细的创建步骤。

【讨论】：

是的，我确认我尝试了您的建议，但它不起作用。
看起来您用来模拟 IAM 策略的用户没有 MediaLive 访问/权利。
您用于此模拟的用户需要拥有创建 EML 资源的权限。请按照 MediaLive 用户指南根据您的要求创建此策略。 [第11页起]docs.aws.amazon.com/medialive/latest/ug/medialive-ug.pdf