Documentación de Oracle Cloud Infrastructure

Permisos y políticas de IAM de Flujo de medios

Cree políticas de IAM para controlar quién tiene acceso a los recursos de Media Flow y para controlar el tipo de acceso para cada grupo de usuarios.

Cree políticas para que los usuarios tengan los derechos necesarios para los recursos de Media Flow. Los usuarios del grupo Administrators tienen acceso a todos los recursos de Media Flow.

Si no está familiarizado con las políticas de IAM, consulte Introducción a las políticas.

Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de políticas y las políticas comunes.

En esta sección se explican los siguientes temas:

Para utilizar OCI Media Flow, cree una política que otorgue los siguientes permisos al usuario o grupos que interactúen con el servicio según corresponda.

Media Services admite las siguientes entidades:

Permisos

Acción asignada al usuario
media-flujo de trabajo Define los flujos de trabajo.
trabajo-flujo de trabajo-medios Ejecuta los trabajos de flujo de trabajo para procesar medios.
activo de medios Gestiona los metadatos de activos de medios.
media-workflow-configuración Gestiona configuraciones reutilizables.
familia de medio físico Incluye todos los recursos de miembros de medios en una familia.

Tipos de recursos y permisos

Lista de tipos de recursos de flujo de medios y permisos asociados.

Para asignar permisos a todos los recursos de OCI Media Services, utilice el tipo agregado media-family.

Para crear flujos de trabajo de medios, necesita el permiso manage media-workflow.

Para ejecutar trabajos, necesita los permisos use media-workflow y manage media-workflow-job.

Para obtener más información, consulte Permisos.

En la siguiente tabla se muestran todos los recursos de media-family:

Nombre de Familia Recursos para Miembros
familia de medio físico
  • media-flujo de trabajo
  • media-workflow-configuración
  • trabajo-flujo de trabajo-medios
  • activo de medios
  • canal de distribución de flujo de medios
  • media-stream-packaging-config
  • media-stream-cdn-config

Una política que utiliza <verb> media-family es equivalente a escribir una política con una sentencia <verb> <resource-type> independiente para cada uno de los tipos de recursos individuales.

Tipo de recurso Permisos
activo de medios
  • MEDIA_ASSET_INSPECT
  • MEDIA_ASSET_CREATE
  • MEDIA_ASSET_READ
  • MEDIA_ASSET_UPDATE
  • MEDIA_ASSET_DELETE
  • MEDIA_ASSET_MOVE
media-flujo de trabajo
  • MEDIA_WORKFLOW_INSPECT
  • MEDIA_WORKFLOW_CREATE
  • MEDIA_WORKFLOW_READ
  • MEDIA_WORKFLOW_UPDATE
  • MEDIA_WORKFLOW_DELETE
  • MEDIA_WORKFLOW_MOVE
  • MEDIA_WORKFLOW_RUN
media-workflow-configuración
  • MEDIA_WORKFLOW_CONFIGURATION_INSPECT
  • MEDIA_WORKFLOW_CONFIGURATION_CREATE
  • MEDIA_WORKFLOW_CONFIGURATION_READ
  • MEDIA_WORKFLOW_CONFIGURATION_UPDATE
  • MEDIA_WORKFLOW_CONFIGURATION_DELETE
  • MEDIA_WORKFLOW_CONFIGURATION_MOVE
trabajo-flujo de trabajo-medios
  • MEDIA_WORKFLOW_JOB_INSPECT
  • MEDIA_WORKFLOW_JOB_CREATE
  • MEDIA_WORKFLOW_JOB_READ
  • MEDIA_WORKFLOW_JOB_UPDATE
  • MEDIA_WORKFLOW_JOB_DELETE
  • MEDIA_WORKFLOW_JOB_MOVE

Variables soportadas

Las variables se utilizan al agregar condiciones a una política.

Media Flow soporta las siguientes variables:

  • Entidad
    : identificador de Oracle Cloud (OCID)
  • Cadena
    : Texto con formato libre.
  • Mostrar
    : lista de entidades o cadenas.

Consulte Variables generales para todas las solicitudes.

Las variables se especifican en minúsculas y separadas por guiones. Por ejemplo, target.tag-namespace.name, target.display-name. Aquí name debe ser un valor único y display-name es la descripción.

El servicio Media Flow proporciona las variables necesarias para cada solicitud. El motor de autorización proporciona variables automáticas (ya sea de servicio local con el SDK para un cliente grueso o en el plano de datos de identidad para un cliente fino).

Variables necesarias Tipo Descripción
target.compartment.id Entidad (OCID) OCID del recurso primario para la solicitud.
request.operation Cadena ID de operación (por ejemplo, GetUser) de la solicitud.
target.resource.kind Cadena Nombre de tipo de recurso del recurso primario de la solicitud.
Variables automáticas Tipo Descripción
request.user.id Entidad (OCID) OCID del usuario solicitante.
request.groups.id Lista de entidades (OCID) OCID de los grupos en los que está el usuario solicitante.
target.compartment.name Cadena Nombre del compartimento especificado en target.compartment.id.
target.tenant.id Entidad (OCID) OCID del ID de inquilino de destino.
Variables dinámicas Tipo Descripción
request.principal.group.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta de un grupo del que el principal es miembro.
request.principal.compartment.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta del compartimento que contiene el principal.
target.resource.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta en el recurso de destino. (Se calcula en función de tagSlug proporcionado por el servicio en cada solicitud).
target.resource.compartment.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta del compartimento que contiene el recurso de destino. (Se calcula en función de tagSlug proporcionado por el servicio en cada solicitud).

A continuación, se muestra una lista de orígenes disponibles para las variables:

  • Solicitud: procede de la entrada de la solicitud.
  • Derivado: procede de la solicitud.
  • Almacenado: procede del servicio y la entrada retenida.
  • Calculado: se calcula a partir de los datos del servicio.

Detalles para combinaciones de verbos y tipos de recursos

Identifique los permisos y las operaciones de API cubiertas por cada verbo para los recursos de Media Flow.

El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda anterior.

Para obtener más información sobre cómo otorgar acceso, consulte Permisos.

media-flujo de trabajo

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso media-workflow.

Verbos Permisos API cubiertas Descripción
inspect MEDIA_WORKFLOW_INSPECT ListMediaWorkflow

ListSystemMediaWorkflows

 Muestre MediaWorkflows y SystemMediaWorkflows en un compartimento.
read

inspect+

MEDIA_WORKFLOW_READ

inspect+

GetMediaWorkflow

 Visualice los detalles de MediaWorkflow.
use

read+

MEDIA_WORKFLOW_UPDATE

read+

UpdateMediaWorkflow

 Actualice MediaWorkflow.
manage

use+

MEDIA_WORKFLOW_CREATE

use+

CreateMediaWorkflow

 Cree un MediaWorkflow.
manage

use+

MEDIA_WORKFLOW_MOVE

use+

ChangeMediaWorkflowCompartment

 Mueva un MediaWorkflow entre compartimentos.
manage

use+

MEDIA_WORKFLOW_DELETE

use+

DeleteMediaWorkflow

 Suprima MediaWorkflow.
media-workflow-configuración

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso media-workflow-configuration.

Verbos Permisos API cubiertas Descripción
inspect MEDIA_WORKFLOW_CONFIGURATION_INSPECT ListMediaWorkflowConfiguration Muestre los objetos MediaWorkflowConfiguration de un compartimento determinado.
read

inspect+

MEDIA_WORKFLOW_CONFIGURATION_READ

inspect+

GetMediaWorkflowConfiguration

 Consulte los detalles de MediaWorkflowConfiguration.
use

read+

MEDIA_WORKFLOW_CONFIGURATION_UPDATE

read+

UpdateMediaWorkflowConfiguration

 Actualice MediaWorkflowConfiguration.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_CREATE

use+

CreateMediaWorkflowConfiguration

 Cree un MediaWorkflowConfiguration.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_MOVE

use+

ChangeMediaWorkflowConfigurationCompartment

 Mueva un MediaWorkflowConfiguration entre compartimentos.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_DELETE

use+

DeleteMediaWorkflowConfiguration

 Suprima MediaWorkflowConfiguration.
trabajo-flujo de trabajo-medios

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso media-workflow-job.

Verbos Permisos API cubiertas Descripción
inspect MEDIA_WORKFLOW_JOB_INSPECT ListMediaWorkflowJob Muestre MediaWorkflowJobs en un compartimento específico.
read

inspect+

MEDIA_WORKFLOW_JOB_READ

inspect+

GetMediaWorkflowJob

 Consulte los detalles de MediaWorkflowJob.
use

read+

MEDIA_WORKFLOW_JOB_UPDATE

read+

UpdateMediaWorkflowJob

 Actualice MediaWorkflowJob.
manage

use+

MEDIA_WORKFLOW_JOB_CREATE

use+

CreateMediaWorkflowJob

 Cree un MediaWorkflowJob.
manage

use+

MEDIA_WORKFLOW_JOB_MOVE

use+

ChangeMediaWorkflowJobCompartment

 Mueva un MediaWorkflowJob entre compartimentos.
manage

use+

MEDIA_WORKFLOW_JOB_DELETE

use+

DeleteMediaWorkflowJob

 Cancele un MediaWorkflowJob.
activo de medios

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso media-asset.

Verbos Permisos API cubiertas Descripción
inspect MEDIA_ASSET_INSPECT ListMediaAsset Muestre todos los activos de medios de un compartimento determinado.
read

inspect+

MEDIA_ASSET_READ

inspect+

GetMediaAsset

 Ver todos los detalles de los registros de activos de medios.
use

read+

MEDIA_ASSET_UPDATE

read+

UpdateMediaAsset

 Actualice los metadatos del activo de medios.
manage

use+

MEDIA_ASSET_CREATE

use+

CreateMediaAsset

 Cree activos de medios.
manage

use+

MEDIA_ASSET_MOVE

use+

ChangeMediaAsset

 Mover activos de medios entre compartimentos.
manage

use+

MEDIA_ASSET_DELETE

use+

DeleteMediaAsset

 Suprimir activos de medios.

Permisos necesarios para cada operación de API

En la siguiente tabla se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso. Los tipos de recursos son media-workflow, media-workflow-configuration, media-workflow-job y media-asset.

Para obtener más información, consulte Permisos.
Operación de API Permisos necesarios para utilizar la operación
ListMediaWorkflows MEDIA_WORKFLOW_INSPECT
CreateMediaWorkflow MEDIA_WORKFLOW_CREATE
DeleteMediaWorkflow MEDIA_WORKFLOW_DELETE
UpdateMediaWorkflow MEDIA_WORKFLOW_UPDATE
GetMediaWorkflow MEDIA_WORKFLOW_READ
RunMediaWorkflow
  • MEDIA_WORKFLOW_RUN
  • MEDIA_WORKFLOW_READ
  • MEDIA_WORKFLOW_CONFIGURATION_READ
GetMediaWorkflowJob
  • MEDIA_WORKFLOW_EXECUTE
  • MEDIA_WORKFLOW_READ
CancelMediaWorkflowJob
  • MEDIA_WORKFLOW_EXECUTE
  • MEDIA_WORKFLOW_READ
ChangeMediaWorkflowCompartment MEDIA_WORKFLOW_MOVE
ListMediaWorkflowConfigurations MEDIA_WORKFLOW_CONFIGURATION_INSPECT
CreateMediaWorkflowConfiguration MEDIA_WORKFLOW_CONFIGURATION_CREATE
DeleteMediaWorkflowConfiguration MEDIA_WORKFLOW_CONFIGURATION_DELETE
UpdateMediaWorkflowConfiguration MEDIA_WORKFLOW_CONFIGURATION_UPDATE
GetMediaWorkflowConfiguration MEDIA_WORKFLOW_CONFIGURATION_READ
ChangeMediaWorkflowConfigurationCompartment MEDIA_WORKFLOW_CONFIGURATION_MOVE
ListMediaWorkflowJob MEDIA_WORKFLOW_JOB_INSPECT
CreateMediaWorkflowJob MEDIA_WORKFLOW_JOB_CREATE
DeleteMediaWorkflowJob MEDIA_WORKFLOW_JOB_DELETE
UpdateMediaWorkflowJob MEDIA_WORKFLOW_JOB_UPDATE
GetMediaWorkflowJob MEDIA_WORKFLOW_JOB_READ
ChangeMediaWorkflowJobCompartment MEDIA_WORKFLOW_JOB_MOVE
ListMediaAsset MEDIA_ASSET_INSPECT
CreateMediaAsset MEDIA_ASSET_CREATE
DeleteMediaAsset MEDIA_ASSET_DELETE
UpdateMediaAsset MEDIA_ASSET_UPDATE
GetMediaAsset MEDIA_ASSET_READ
ChangeMediaAssetCompartment MEDIA_ASSET_MOVE

Roles de usuario de flujo de medios

Puede utilizar los permisos o políticas disponibles para configurar el acceso. A continuación, se muestra una configuración de usuario típica:

Sistema/Actor Descripción Permisos de recursos de OCI
Gestor de Flujos de Trabajo Este uso o grupo define los flujos de trabajo utilizados para procesar contenido.
  • gestionar: media-workflow
  • manage: media-workflow-configuration
Procesador de contenido Este usuario o grupo ejecuta trabajos para procesar el contenido y debe tener permisos de lectura/escritura para los cubos de entrada/salida en el almacén de objetos.
  • leer: media-workflow
  • leer: media-workflow-configuration
  • Gestionar: media-workflow-trabajo
  • gestionar: media-asset
Biblioteca de activos digitales Este grupo requiere acceso a los activos de medios que se han creado. leer: media-asset

Políticas de IAM

Obtenga información sobre las políticas de IAM necesarias para Media Flow.

Asegúrese de que:

  • Ha configurado las políticas de flujo para permitir que Media Services lea la familia de objetos en el compartimento de vídeo del almacén de objetos.
  • Los usuarios o grupos que utilizan OCI Media Streams tienen los permisos necesarios.

Consulte Creación de una política para obtener más información.

Para obtener más información sobre la sintaxis, consulte Sintaxis de políticas.

Si utiliza los servicios de voz, idioma y visión, consulte Políticas de voz, Políticas de visión y Políticas de idioma para obtener más información.

Creación de una Política

A continuación, se muestra cómo crear una política en la consola:

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas.
  2. En la página Políticas, haga clic en Crear política.
  3. En el panel Crear política, introduzca un nombre, una descripción para la política y especifique el compartimento en el que desea crear la política.
  4. En Creador de política, haga clic en el conmutador Mostrar editor manual para activar el editor.

    Introduzca una regla de política con el siguiente formato: 

    Allow service mediaservices to <verb> <resource_type> in <compartment or tenancy details>
  5. Haga clic en Crear.

Para obtener instrucciones sobre cómo crear y gestionar políticas mediante la consola o la API, consulte Gestión de políticas.

Para obtener una lista completa de todas las políticas de Oracle Cloud Infrastructure, consulte Referencia de política y Políticas comunes.

Ejemplos de políticas

Las políticas de Media Flow son necesarias para utilizar varios recursos de Media Flow.

Consulte las instrucciones de Creación de una política para crear políticas mediante la consola.

Para obtener más información sobre la sintaxis, consulte Sintaxis de políticas.

Si utiliza Media Streams, consulte la sección sobre políticas de IAM de Media Streams para obtener más información.

Se proporcionan los siguientes ejemplos de políticas:

Políticas de la familia de medios físicos
Cree esta política en su arrendamiento para permitir que un usuario o grupo dinámico gestione todos los recursos en los servicios de medios:
Allow <user or dynamic-group> to manage media-family in compartment <compartment_name>