IAM-Policys und -Berechtigungen für Media Flow
Erstellen Sie IAM-Policys, um zu kontrollieren, wer Zugriff auf Media Flow-Ressourcen hat und welche Art von Zugriff die einzelnen Benutzergruppen haben.
Erstellen Sie Policys, damit Benutzer über die erforderlichen Rechte für die Media Flow-Ressourcen verfügen. Die Benutzer in der Gruppe Administrators haben Zugriff auf alle Media Flow-Ressourcen.
Wenn Sie mit IAM-Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys.
Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz und unter Allgemeine Policys.
Um OCI Media Flow zu verwenden, erstellen Sie eine Policy, die den Benutzern oder Gruppen, die entsprechend mit dem Service interagieren, die folgenden Berechtigungen erteilt.
Media Services unterstützt die folgenden Entitäten:
| Berechtigungen |
Dem Benutzer zugewiesene Aktion |
|---|---|
| Medienworkflow | Definiert die Workflows. |
| media-workflow-job | Führt die Workflowjobs zur Verarbeitung von Medien aus. |
| Medien-Asset | Verwaltet die Metadaten des Medienassets. |
| Medien-Workflow-Konfiguration | Verwaltet wiederverwendbare Konfigurationen. |
| Media-Familie | Enthält alle Medienmitgliederressourcen in einer Familie. |
Ressourcentypen und Berechtigungen
Liste der Media Flow-Ressourcentypen und der zugehörigen Berechtigungen.
Um allen OCI Media Services-Ressourcen Berechtigungen zuzuweisen, verwenden Sie den Aggregattyp media-family.
Um Medienworkflows zu erstellen, benötigen Sie die Berechtigung manage media-workflow.
Um Jobs auszuführen, benötigen Sie die Berechtigungen use media-workflow und manage media-workflow-job.
Weitere Informationen finden Sie unter Berechtigungen.
In der folgenden Tabelle werden alle Ressourcen in der media-family aufgeführt:
| Nachname | Weitere Ressourcen |
|---|---|
| Media-Familie |
|
Eine Policy, die <verb> media-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <resource-type>-Anweisung für die einzelnen individuellen Ressourcentypen.
| Resource Type | Berechtigungen |
|---|---|
| Medien-Asset |
|
| Medienworkflow |
|
| Medien-Workflow-Konfiguration |
|
| media-workflow-job |
|
Unterstützte Variablen
Variablen werden beim Hinzufügen von Bedingungen zu einer Policy verwendet.
Media Flow unterstützt die folgenden Variablen:
-
- Entity
- : Oracle Cloud-ID (OCID)
-
- Zeichenfolge
- : Text in beliebigem Format.
-
- Auflisten
- : Liste der Entitys oder Zeichenfolgen.
Siehe Allgemeine Variablen für alle Anforderungen.
Variablen werden kleingeschrieben und durch Bindestriche getrennt. Beispiel: target.tag-namespace.name, target.display-name. Hier muss name eindeutig sein, und display-name ist die Beschreibung.
Erforderliche Variablen werden vom Media Flow-Service für jede Anforderung angegeben. Automatische Variablen werden von der Autorisierungs-Engine bereitgestellt (entweder lokal im Service mit dem SDK für einen Dicke Client oder auf der Identity Data Plane für einen dünnen Client).
| Erforderliche Variablen | Typ | Beschreibung |
|---|---|---|
target.compartment.id |
Entity (OCID) | Die OCID der primären Ressource für die Anforderung. |
request.operation |
Zeichenfolge | Die Vorgangs-ID (z.B. GetUser) für die Anforderung. |
target.resource.kind |
Zeichenfolge | Der Name der Ressourcenart der primären Ressource für die Anforderung. |
| Automatische Variablen | Typ | Beschreibung |
|---|---|---|
request.user.id |
Entity (OCID) | Die OCID des anfordernden Benutzers. |
request.groups.id |
Liste der Entitys (OCIDs) | Die OCIDs der Gruppen, zu denen der anfordernde Benutzer gehört. |
target.compartment.name |
Zeichenfolge | Der Name des Compartments, das in target.compartment.id. angegeben wird |
target.tenant.id |
Entity (OCID) | Die OCID der Zielmandanten-ID. |
| Dynamische Variablen | Typ | Beschreibung |
|---|---|---|
request.principal.group.tag.<tagNS>.<tagKey> |
Zeichenfolge | Der Wert jedes Tags in einer Gruppe, zu der der Principal gehört. |
request.principal.compartment.tag.<tagNS>.<tagKey> |
Zeichenfolge | Der Wert jedes Tags im Compartment, das den Principal enthält. |
target.resource.tag.<tagNS>.<tagKey> |
Zeichenfolge | Der Wert jedes Tags in der Zielressource. (Berechnet basierend auf tagSlug, die vom Service für jede Anforderung bereitgestellt wird.) |
target.resource.compartment.tag.<tagNS>.<tagKey> |
Zeichenfolge | Der Wert jedes Tags im Compartment, das die Zielressource enthält, (Berechnet basierend auf tagSlug, die vom Service für jede Anforderung bereitgestellt wird.) |
Verfügbare Quellen für die Variablen:
- Anforderung: Stammt aus der Anforderungseingabe.
- Abgeleitet: Stammt aus der Anforderung.
- Gespeichert: Stammt aus dem Service, beibehaltene Eingabe.
- Berechnet: Wird aus Servicedaten berechnet.
Details zu Kombinationen aus Verb + Ressourcentyp
Identifizieren Sie die Berechtigungen und API-Vorgänge, die von jedem Verb für Media Flow-Ressourcen abgedeckt werden.
Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur vorherigen Zelle an.
Informationen zum Erteilen von Zugriffsberechtigungen finden Sie unter Berechtigungen.
In dieser Tabelle werden die Berechtigungen und APIs aufgeführt, die von den Berechtigungen für die Ressource media-workflow vollständig abgedeckt werden.
| Verbs | Berechtigungen | Abgedeckte APIs | Beschreibung |
|---|---|---|---|
inspect |
MEDIA_WORKFLOW_INSPECT |
ListMediaWorkflow
|
Listen Sie die MediaWorkflows und SystemMediaWorkflows in einem Compartment auf. |
read |
|
|
Zeigen Sie die Details einer MediaWorkflow an. |
use |
|
|
Aktualisieren Sie eine MediaWorkflow. |
manage |
|
|
Erstellen Sie eine MediaWorkflow. |
manage |
|
|
Verschieben Sie eine MediaWorkflow zwischen Compartments. |
manage |
|
|
Löschen Sie eine MediaWorkflow. |
In dieser Tabelle werden die Berechtigungen und APIs aufgeführt, die von den Berechtigungen für die Ressource media-workflow-configuration vollständig abgedeckt werden.
| Verbs | Berechtigungen | Abgedeckte APIs | Beschreibung |
|---|---|---|---|
inspect |
MEDIA_WORKFLOW_CONFIGURATION_INSPECT |
ListMediaWorkflowConfiguration |
Listen Sie die MediaWorkflowConfiguration-Objekte in einem bestimmten Compartment auf. |
read |
|
|
Zeigen Sie die Details einer MediaWorkflowConfiguration an. |
use |
|
|
Aktualisieren Sie eine MediaWorkflowConfiguration. |
manage |
|
|
Erstellen Sie eine MediaWorkflowConfiguration. |
manage |
|
|
Verschieben Sie eine MediaWorkflowConfiguration zwischen Compartments. |
manage |
|
|
Löschen Sie eine MediaWorkflowConfiguration. |
In dieser Tabelle werden die Berechtigungen und APIs aufgeführt, die von den Berechtigungen für die Ressource media-workflow-job vollständig abgedeckt werden.
| Verbs | Berechtigungen | Abgedeckte APIs | Beschreibung |
|---|---|---|---|
inspect |
MEDIA_WORKFLOW_JOB_INSPECT |
ListMediaWorkflowJob |
MediaWorkflowJobs in einem bestimmten Compartment auflisten |
read |
|
|
Zeigen Sie die Details einer MediaWorkflowJob an. |
use |
|
|
Aktualisieren Sie eine MediaWorkflowJob. |
manage |
|
|
Erstellen Sie eine MediaWorkflowJob. |
manage |
|
|
Verschieben Sie eine MediaWorkflowJob zwischen Compartments. |
manage |
|
|
Brechen Sie eine MediaWorkflowJob ab. |
In dieser Tabelle werden die Berechtigungen und APIs aufgeführt, die von den Berechtigungen für die Ressource media-asset vollständig abgedeckt werden.
| Verbs | Berechtigungen | Abgedeckte APIs | Beschreibung |
|---|---|---|---|
inspect |
MEDIA_ASSET_INSPECT |
ListMediaAsset |
Listen Sie alle Medienassets in einem bestimmten Compartment auf. |
read |
|
|
Zeigen Sie alle Details der Medienassetdatensätze an. |
use |
|
|
Aktualisieren Sie die Metadaten des Medienassets. |
manage |
|
|
Erstellen Sie Medienassets. |
manage |
|
|
Medienassets zwischen Compartments verschieben. |
manage |
|
|
Medienassets löschen. |
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt. Die Ressourcentypen sind media-workflow, media-workflow-configuration, media-workflow-job und media-asset.
| API-Vorgänge | Für den Vorgang erforderliche Berechtigungen |
|---|---|
ListMediaWorkflows |
MEDIA_WORKFLOW_INSPECT |
CreateMediaWorkflow |
MEDIA_WORKFLOW_CREATE |
DeleteMediaWorkflow |
MEDIA_WORKFLOW_DELETE |
UpdateMediaWorkflow |
MEDIA_WORKFLOW_UPDATE |
GetMediaWorkflow |
MEDIA_WORKFLOW_READ |
RunMediaWorkflow |
|
GetMediaWorkflowJob |
|
CancelMediaWorkflowJob |
|
ChangeMediaWorkflowCompartment |
MEDIA_WORKFLOW_MOVE |
ListMediaWorkflowConfigurations |
MEDIA_WORKFLOW_CONFIGURATION_INSPECT |
CreateMediaWorkflowConfiguration |
MEDIA_WORKFLOW_CONFIGURATION_CREATE |
DeleteMediaWorkflowConfiguration |
MEDIA_WORKFLOW_CONFIGURATION_DELETE |
UpdateMediaWorkflowConfiguration |
MEDIA_WORKFLOW_CONFIGURATION_UPDATE |
GetMediaWorkflowConfiguration |
MEDIA_WORKFLOW_CONFIGURATION_READ |
ChangeMediaWorkflowConfigurationCompartment |
MEDIA_WORKFLOW_CONFIGURATION_MOVE |
ListMediaWorkflowJob |
MEDIA_WORKFLOW_JOB_INSPECT |
CreateMediaWorkflowJob |
MEDIA_WORKFLOW_JOB_CREATE |
DeleteMediaWorkflowJob |
MEDIA_WORKFLOW_JOB_DELETE |
UpdateMediaWorkflowJob |
MEDIA_WORKFLOW_JOB_UPDATE |
GetMediaWorkflowJob |
MEDIA_WORKFLOW_JOB_READ |
ChangeMediaWorkflowJobCompartment |
MEDIA_WORKFLOW_JOB_MOVE |
ListMediaAsset |
MEDIA_ASSET_INSPECT |
CreateMediaAsset |
MEDIA_ASSET_CREATE |
DeleteMediaAsset |
MEDIA_ASSET_DELETE |
UpdateMediaAsset |
MEDIA_ASSET_UPDATE |
GetMediaAsset |
MEDIA_ASSET_READ |
ChangeMediaAssetCompartment |
MEDIA_ASSET_MOVE |
Medienflussbenutzerrollen
Mit den verfügbaren Berechtigungen oder Policys können Sie den Zugriff konfigurieren. Hier ist eine typische Benutzerkonfiguration:
| System/Aktor | Beschreibung | OCI-Ressourcenberechtigungen |
|---|---|---|
| Workflow Manager | Diese Verwendung oder Gruppe definiert die Workflows, die zur Verarbeitung von Inhalt verwendet werden. |
|
| Inhaltsprozessor | Dieser Benutzer oder diese Gruppe führt Jobs zur Verarbeitung des Inhalts aus und benötigt Lese-/Schreibberechtigungen für die Eingabe-/Ausgabe-Buckets im Objektspeicher. |
|
| Digitale Assetbibliothek | Diese Gruppe erfordert Zugriff auf die erstellten Medienassets. | lesen: Medien-Asset |
IAM-Policys
Erfahren Sie mehr über die erforderlichen IAM-Policys für Media Flow.
Stellen Sie sicher, dass die:
- Sie haben die Streaming-Policys so konfiguriert, dass Media Services die Objektfamilie im Video-Compartment des Objektspeichers lesen kann.
- Die Benutzer oder Gruppen, die OCI Media Streams verwenden, verfügen über die erforderlichen Berechtigungen.
Weitere Informationen finden Sie unter Policy erstellen.
Weitere Informationen zur Syntax finden Sie unter Policy-Syntax.
Wenn Sie die Services "Sprache", "Sprache" und "Vision" verwenden, finden Sie weitere Informationen unter Sprach-Policys, Vision-Policys und Sprach-Policys.
Policy erstellen
So erstellen Sie eine Policy in der Konsole:
Anweisungen zum Erstellen und Verwalten von Policys mit der Konsole oder API finden Sie unter Policys verwalten.
Eine vollständige Liste aller Policys in Oracle Cloud Infrastructure finden Sie in der Policy-Referenz und unter Allgemeine Policys.
Policy-Beispiele
Medienfluss-Policys sind für die Verwendung verschiedener Medienflussressourcen erforderlich.
Informationen zum Erstellen von Policys mit der Konsole finden Sie unter Policy erstellen.
Weitere Informationen zur Syntax finden Sie unter Policy-Syntax.
Wenn Sie Media Streams verwenden, finden Sie weitere Informationen unter IAM-Policys für Media Streams.
Folgende Policy-Beispiele sind verfügbar:
Allow <user or dynamic-group> to manage media-family in compartment <compartment_name>