Documentación de Oracle Cloud Infrastructure

Permisos y políticas de IAM de Secuencias de medios

Cree políticas de IAM para controlar quién tiene acceso a los recursos de Media Streams y para controlar el tipo de acceso para cada grupo de usuarios.

Cree políticas para que los usuarios tengan los derechos necesarios para los recursos de Media Streams. Los usuarios del grupo Administrators tienen acceso a todos los recursos de flujos de medios.

Si no está familiarizado con las políticas de IAM, consulte Introducción a las políticas.

Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de políticas y las políticas comunes. Para obtener información sobre las políticas de Media Flow, consulte Políticas de Media.

En esta sección se explican los siguientes temas:

Para utilizar flujos de medios, cree una política que otorgue los siguientes permisos al usuario o grupos que interactúen con el servicio según corresponda.

Los flujos de medios admiten las siguientes entidades:

Tipo de recurso

Acción asignada al usuario
media-flujo de trabajo Utiliza los flujos de trabajo.
trabajo-flujo de trabajo-medios Ejecuta los trabajos de flujo de trabajo para procesar medios.
activo de medios Utiliza los metadatos de activos de medios.
familia de medio físico Incluye todos los recursos de miembros de medios en una familia.
canal de distribución de flujo de medios Permite gestionar canales de distribución.
media-stream-packaging-config Permite gestionar las configuraciones de empaquetado.
media-stream-cdn-config Gestiona las configuraciones de CDN.

Tipos de recursos y permisos

Lista de tipos de recursos de Media Streams y permisos asociados.

Para asignar permisos a todos los recursos de Media Services, utilice el tipo agregado media-family. Para utilizar flujos de medios, necesita los permisos para todos los tipos de recursos. Para obtener más información, consulte Permisos.

En la siguiente tabla se muestran todos los recursos de media-family:

Nombre de Familia Recursos para Miembros
familia de medio físico
  • media-flujo de trabajo
  • media-workflow-configuración
  • trabajo-flujo de trabajo-medios
  • activo de medios
  • canal de distribución de flujo de medios
  • media-stream-packaging-config
  • media-stream-cdn-config

Una política que utiliza <verb> media-family es equivalente a escribir una política con una sentencia <verb> <resource-type> independiente para cada uno de los tipos de recursos individuales.

Tipo de recurso Permisos
activo de medios
  • MEDIA_ASSET_INSPECT
  • MEDIA_ASSET_CREATE
  • MEDIA_ASSET_READ
  • MEDIA_ASSET_UPDATE
  • MEDIA_ASSET_DELETE
  • MEDIA_ASSET_MOVE
media-stream-cdn-config
  • MEDIA_STREAM_CDN_CONFIG_CREATE
  • MEDIA_STREAM_CDN_CONFIG_INSPECT
  • MEDIA_STREAM_CDN_CONFIG_READ
  • MEDIA_STREAM_CDN_CONFIG_UPDATE
  • MEDIA_STREAM_CDN_CONFIG_DELETE
  • MEDIA_STREAM_CDN_CONFIG_MOVE
canal de distribución de flujo de medios
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_CREATE
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_INSPECT
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_READ
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_UPDATE
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_DELETE
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_MOVE
media-stream-packaging-config
  • MEDIA_STREAM_PACKAGING_CONFIG_CREATE
  • MEDIA_STREAM_PACKAGING_CONFIG_INSPECT
  • MEDIA_STREAM_PACKAGING_CONFIG_READ
  • MEDIA_STREAM_PACKAGING_CONFIG_UPDATE
  • MEDIA_STREAM_PACKAGING_CONFIG_DELETE
  • MEDIA_STREAM_PACKAGING_CONFIG_MOVE
media-flujo de trabajo
  • MEDIA_WORKFLOW_INSPECT
  • MEDIA_WORKFLOW_CREATE
  • MEDIA_WORKFLOW_READ
  • MEDIA_WORKFLOW_UPDATE
  • MEDIA_WORKFLOW_DELETE
  • MEDIA_WORKFLOW_MOVE
  • MEDIA_WORKFLOW_RUN
trabajo-flujo de trabajo-medios
  • MEDIA_WORKFLOW_JOB_INSPECT
  • MEDIA_WORKFLOW_JOB_CREATE
  • MEDIA_WORKFLOW_JOB_READ
  • MEDIA_WORKFLOW_JOB_UPDATE
  • MEDIA_WORKFLOW_JOB_DELETE
  • MEDIA_WORKFLOW_JOB_MOVE

Variables soportadas

Las variables se utilizan al agregar condiciones a una política.

Los flujos de medios admiten las siguientes variables:

Entidad
Oracle Cloud Identifier (OCID).
Cadena
Texto con formato libre.
Mostrar
Lista de entidades o cadenas.

Consulte Variables generales para todas las solicitudes.

Las variables se especifican en minúsculas y separadas por guiones. Por ejemplo, target.tag-namespace.name, target.display-name. Aquí name debe ser un valor único y display-name es la descripción.

El servicio Media Streams proporciona las variables necesarias para cada solicitud. El motor de autorización proporciona variables automáticas (ya sea de servicio local con el SDK para un cliente grueso o en el plano de datos de identidad para un cliente fino).

Variables necesarias Tipo Descripción
target.compartment.id Entidad (OCID) OCID del recurso primario para la solicitud.
request.operation Cadena ID de operación (por ejemplo, GetUser) de la solicitud.
target.resource.kind Cadena Nombre de tipo de recurso del recurso primario de la solicitud.
Variables automáticas Tipo Descripción
request.user.id Entidad (OCID) OCID del usuario solicitante.
request.groups.id Lista de entidades (OCID) OCID de los grupos en los que está el usuario solicitante.
target.compartment.name Cadena Nombre del compartimento especificado en target.compartment.id.
target.tenant.id Entidad (OCID) OCID del ID de inquilino de destino.
Variables dinámicas Tipo Descripción
request.principal.group.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta de un grupo del que el principal es miembro.
request.principal.compartment.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta del compartimento que contiene el principal.
target.resource.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta en el recurso de destino. (Se calcula en función de tagSlug proporcionado por el servicio en cada solicitud).
target.resource.compartment.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta del compartimento que contiene el recurso de destino. (Se calcula en función de tagSlug proporcionado por el servicio en cada solicitud).

A continuación, se muestra una lista de orígenes disponibles para las variables:

  • Solicitud: procede de la entrada de la solicitud.
  • Derivado: procede de la solicitud.
  • Almacenado: procede del servicio y la entrada retenida.
  • Calculado: se calcula a partir de los datos del servicio.

Detalles para combinaciones de verbos y tipos de recursos

Identifique los permisos y las operaciones de API cubiertas por cada verbo para los recursos de Media Streams.

El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda anterior.

Para obtener más información sobre cómo otorgar acceso, consulte Permisos.

media-flujo de trabajo

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso media-workflow.

Verbos Permisos API cubiertas Descripción
inspect MEDIA_WORKFLOW_INSPECT ListMediaWorkflow

ListSystemMediaWorkflows

 Muestre MediaWorkflows y SystemMediaWorkflows en un compartimento.
read

inspect+

MEDIA_WORKFLOW_READ

inspect+

GetMediaWorkflow

 Visualice los detalles de MediaWorkflow.
use

read+

MEDIA_WORKFLOW_UPDATE

read+

UpdateMediaWorkflow

 Actualice MediaWorkflow.
manage

use+

MEDIA_WORKFLOW_CREATE

use+

CreateMediaWorkflow

 Cree un MediaWorkflow.
manage

use+

MEDIA_WORKFLOW_MOVE

use+

ChangeMediaWorkflowCompartment

 Mueva un MediaWorkflow entre compartimentos.
manage

use+

MEDIA_WORKFLOW_DELETE

use+

DeleteMediaWorkflow

 Suprima MediaWorkflow.
media-workflow-configuración

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso media-workflow-configuration.

Verbos Permisos API cubiertas Descripción
inspect MEDIA_WORKFLOW_CONFIGURATION_INSPECT ListMediaWorkflowConfiguration Muestre los objetos MediaWorkflowConfiguration de un compartimento determinado.
read

inspect+

MEDIA_WORKFLOW_CONFIGURATION_READ

inspect+

GetMediaWorkflowConfiguration

 Consulte los detalles de MediaWorkflowConfiguration.
use

read+

MEDIA_WORKFLOW_CONFIGURATION_UPDATE

read+

UpdateMediaWorkflowConfiguration

 Actualice MediaWorkflowConfiguration.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_CREATE

use+

CreateMediaWorkflowConfiguration

 Cree un MediaWorkflowConfiguration.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_MOVE

use+

ChangeMediaWorkflowConfigurationCompartment

 Mueva un MediaWorkflowConfiguration entre compartimentos.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_DELETE

use+

DeleteMediaWorkflowConfiguration

 Suprima MediaWorkflowConfiguration.
trabajo-flujo de trabajo-medios

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso media-workflow-job.

Verbos Permisos API cubiertas Descripción
inspect MEDIA_WORKFLOW_JOB_INSPECT ListMediaWorkflowJob Muestre MediaWorkflowJobs en un compartimento específico.
read

inspect+

MEDIA_WORKFLOW_JOB_READ

inspect+

GetMediaWorkflowJob

 Consulte los detalles de MediaWorkflowJob.
use

read+

MEDIA_WORKFLOW_JOB_UPDATE

read+

UpdateMediaWorkflowJob

 Actualice MediaWorkflowJob.
manage

use+

MEDIA_WORKFLOW_JOB_CREATE

use+

CreateMediaWorkflowJob

 Cree un MediaWorkflowJob.
manage

use+

MEDIA_WORKFLOW_JOB_MOVE

use+

ChangeMediaWorkflowJobCompartment

 Mueva un MediaWorkflowJob entre compartimentos.
manage

use+

MEDIA_WORKFLOW_JOB_DELETE

use+

DeleteMediaWorkflowJob

 Cancele un MediaWorkflowJob.
activo de medios

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso media-asset.

Verbos Permisos API cubiertas Descripción
inspect MEDIA_ASSET_INSPECT ListMediaAsset Muestre todos los activos de medios de un compartimento determinado.
read

inspect+

MEDIA_ASSET_READ

inspect+

GetMediaAsset

 Ver todos los detalles de los registros de activos de medios.
use

read+

MEDIA_ASSET_UPDATE

read+

UpdateMediaAsset

 Actualice los metadatos del activo de medios.
manage

use+

MEDIA_ASSET_CREATE

use+

CreateMediaAsset

 Cree activos de medios.
manage

use+

MEDIA_ASSET_MOVE

use+

ChangeMediaAsset

 Mover activos de medios entre compartimentos.
manage

use+

MEDIA_ASSET_DELETE

use+

DeleteMediaAsset

 Suprimir activos de medios.
canal de distribución de flujo de medios
En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso media-stream-distribution-channel.
Verbos Permisos API cubiertas Descripción
inspect MEDIA_STREAM_DISTRIBUTION_CHANNEL_INSPECT ListStreamDistributionChannel Muestre StreamDistributionChannels en un compartimento.
read

inspect+

MEDIA_STREAM_DISTRIBUTION_CHANNEL_READ

inspect+

GetStreamDistributionChannel

 Consulte los detalles de StreamDistirbutionChannel.
use

read+

MEDIA_STREAM_DISTRIBUTION_CHANNEL_UPDATE

read+

UpdateStreamDistributionChannel

 Actualice los detalles de StreamDistirbutionChannel.
manage

use+

MEDIA_STREAM_DISTRIBUTION_CHANNEL_CREATE

use+

CreateStreamDistributionChannel

 Cree un StreamDistirbutionChannel.
manage

use+

MEDIA_STREAM_DISTRIBUTION_CHANNEL_MOVE

use+

ChangeStreamDistributionChannelCompartment

 Mueva un StreamDistirbutionChannel entre compartimentos.
manage

use+

MEDIA_STREAM_DISTRIBUTION_CHANNEL_DELETE

use+

DeleteStreamDistributionChannel

 Suprima StreamDistirbutionChannel.
media-stream-packaging-config

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso media-stream-packaging-config.

Verbos Permisos API cubiertas Descripción
inspect MEDIA_STREAM_PACKAGING_CONFIG_INSPECT ListStreamCdnConfig Muestre StreamPackagingConfigs en un StreamDistributionChannel específico.
read

inspect+

MEDIA_STREAM_PACKAGING_CONFIG_READ

inspect+

GetStreamCdnConfig

 Visualice los detalles de StreamPackagingConfig.
use

read+

MEDIA_STREAM_PACKAGING_CONFIG_UPDATE

read+

UpdateStreamPackagingConfig

 Actualice los detalles de StreamCdnConfig.
manage

use+

MEDIA_STREAM_PACKAGING_CONFIG_CREATE

use+

CreateStreamPackagingConfig

 Cree un StreamCdnConfig.
manage

use+

MEDIA_STREAM_PACKAGING_CONFIG_MOVE

use+

ChangeStreamPackagingConfigCompartmentg

 Mueva un StreamCdnConfig entre compartimentos.
manage

use+

MEDIA_STREAM_PACKAGING_CONFIG_DELETE

use+

DeleteStreamPackagingConfig

 Suprima StreamCdnConfig.
media-stream-cdn-config
En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso media-stream-cdn-config.
Verbos Permisos API cubiertas Descripción
inspect MEDIA_STREAM_CDN_CONFIG_INSPECT ListStreamCdnConfig Enumere StreamCdnConfigs en un StreamDistributionChannel específico.
read

inspect+

MEDIA_STREAM_CDN_CONFIG_READ

inspect+

GetStreamCdnConfig

 Consulte los detalles de un StreamCdnConfig específico.
use

read+

MEDIA_STREAM_CDN_CONFIG_UPDATE

read+

UpdateStreamCdnConfig

 Actualice los detalles de StreamCdnConfig.
manage

use+

MEDIA_STREAM_CDN_CONFIG_CREATE

use+

CreateStreamCdnConfig

 Cree un StreamCdnConfig.
manage

use+

MEDIA_STREAM_CDN_CONFIG_MOVE

use+

ChangeStreamCdnConfigCompartment

 Mover StreamCdnConfig entre compartimentos
manage

use+

MEDIA_STREAM_CDN_CONFIG_DELETE

use+

DeleteStreamCdnConfig

 Suprima StreamCdnConfig.

Permisos necesarios para cada operación de API

En la siguiente tabla se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso. Los tipos de recursos son media-stream-distribution-channel, media-stream-packaging-config y media-stream-cdn-config.

Para obtener más información, consulte Permisos.
Operación de API Permisos necesarios para utilizar la operación
CreateStreamDistributionChannel MEDIA_STREAM_DISTRIBUTION_CHANNEL_CREATE
ListStreamDistributionChannels MEDIA_STREAM_DISTRIBUTION_CHANNEL_INSPECT
GetStreamDistributionChannel MEDIA_STREAM_DISTRIBUTION_CHANNEL_READ
UpdateStreamDistributionChannel MEDIA_STREAM_DISTRIBUTION_CHANNEL_UPDATE
DeleteStreamDistributionChannel MEDIA_STREAM_DISTRIBUTION_CHANNEL_DELETE
ChangeStreamDistributionChannelCompartment MEDIA_STREAM_DISTRIBUTION_CHANNEL_MOVE
CreateStreamPackagingConfig MEDIA_STREAM_PACKAGING_CONFIG_CREATE
ListStreamPackagingConfigs MEDIA_STREAM_PACKAGING_CONFIG_INSPECT
GetStreamPackagingConfig MEDIA_STREAM_PACKAGING_CONFIG_READ
UpdateStreamPackagingConfig MEDIA_STREAM_PACKAGING_CONFIG_UPDATE
DeleteStreamPackagingConfig MEDIA_STREAM_PACKAGING_CONFIG_DELETE
ChangeStreamPackagingConfigCompartment MEDIA_STREAM_PACKAGING_CONFIG_MOVE
CreateStreamCdnConfig MEDIA_STREAM_CDN_CONFIG_CREATE
ListStreamCdnConfigs MEDIA_STREAM_CDN_CONFIG_INSPECT
GetStreamCdnConfig MEDIA_STREAM_CDN_CONFIG_READ
UpdateStreamCdnConfig MEDIA_STREAM_CDN_CONFIG_UPDATE
DeleteStreamCdnConfig MEDIA_STREAM_CDN_CONFIG_DELETE
ChangeStreamCdnConfigCompartment MEDIA_STREAM_CDN_CONFIG_MOVE
CreateStreamDataPlaneCellDeployment MEDIA_STREAM_ADMIN_CREATE
ListStreamDataPlaneCellDeployments MEDIA_STREAM_ADMIN_INSPECT
GetStreamDataPlaneCellDeployment MEDIA_STREAM_ADMIN_READ
UpdateStreamDataPlaneCellDeployment MEDIA_STREAM_ADMIN_UPDATE
DeleteStreamDataPlaneCellDeployment MEDIA_STREAM_ADMIN_DELETE
CreateDistributionChannelAssignmentGroup MEDIA_STREAM_ADMIN_CREATE
ListDistributionChannelAssignmentGroup MEDIA_STREAM_ADMIN_INSPECT
GetDistributionChannelAssignmentGroup MEDIA_STREAM_ADMIN_READ
UpdateDistributionChannelAssignmentGroup MEDIA_STREAM_ADMIN_UPDATE
DeleteDistributionChannelAssignmentGroup MEDIA_STREAM_ADMIN_DELETE
IngestStreamDistributionChannel MEDIA_WORKFLOW_JOB_CREATE

Roles de usuario de flujos de medios

Puede utilizar los permisos/políticas disponibles para configurar el acceso.

A continuación, se muestra una configuración de usuario típica:

Sistema/Actor Descripción Permisos de recursos de OCI
Biblioteca de activos digitales Este grupo requiere acceso a los activos de medios que se han creado. leer: media-asset
Gestor de Canales Entidad/grupo autorizado de OCI que gestiona los canales de distribución (todas las operaciones).
  • Gestionar: canal de distribución de flujo de medios
  • Gestionar: media-stream-packaging-config
  • Gestionar: media-stream-cdn-config
Publicador de activos Entidad/grupo autorizado de OCI que gestiona activos de listas de reproducción en un canal de distribución (operaciones de activos).
  • Gestionar: media-asset
  • Uso: canal de distribución de flujo de medios
  • Leer: object-family
Transmisor de activos

Este grupo es el usuario final del contenido. Las plataformas de transmisión solicitan tokens en nombre de este actor para otorgarles acceso al contenido.

Cuando los transmisores de activos envían una solicitud para reproducir un contenido de vídeo, el reproductor envía la solicitud a la lista de reproducción de nivel superior desde Media Streams. La solicitud de lista de reproducción principal valida el token de sesión y devuelve una lista de reproducción principal de flujos de variantes, incluidas las listas de reproducción de medios ABR. La ubicación a la que se envían las solicitudes posteriores para listas de reproducción de velocidad de bits individuales y sus activos asociados depende de la configuración específica de CDN/ Edge y de las estrategias de autenticación de token asociadas a la CDN/Edge.

 Sin permisos de OCI.
Sistema de Gestión de Contenido (CMS)

Esta entidad/grupo autorizado de OCI puede mostrar y leer canales de distribución, configuraciones de empaquetado, configuraciones de CDN y activos de listas de reproducción.

Esta entidad embebe un enlace de reproductor de vídeo al canal de distribución, la configuración de empaquetado y la combinación de activos adecuados.
  • Lectura: canal de distribución de flujo de medios
  • Lectura: media-stream-packaging-config
  • Lectura: media-stream-cdn-config
  • Leer: media-asset
Servidor de Posición de CDN Un servidor perimetral de CDN que está configurado para utilizar el punto final del servicio de medios físicos como servidor de origen. Sin permisos de OCI

Políticas de IAM

Asegúrese de que:

  • Ha configurado las políticas de flujo para permitir que Media Services lea object-family en el compartimento de vídeo del almacén de objetos.
  • Los usuarios o grupos que utilizan flujos de medios tienen los permisos necesarios.

Consulte Creación de una política para obtener más información.

Para obtener más información sobre la sintaxis, consulte Sintaxis de políticas.

Creación de una Política

Cómo crear una política en la consola:

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas.
  2. En la página Políticas, haga clic en Crear política.
  3. En el panel Crear política, introduzca un nombre, una descripción para la política y especifique el compartimento en el que desea crear la política.
  4. En Creador de política, haga clic en el conmutador Mostrar editor manual para activar el editor.

    Introduzca una regla de política con el siguiente formato: 

    Allow service mediaservices to <verb> <resource_type> in <compartment or tenancy details>
  5. Haga clic en Crear.

Para obtener instrucciones sobre cómo crear y gestionar políticas mediante la consola o la API, consulte Gestión de políticas.

Para obtener una lista completa de todas las políticas de Oracle Cloud Infrastructure, consulte Referencia de política y Políticas comunes.

Ejemplos de políticas

Las políticas de flujos de medios son necesarias para utilizar varios recursos de flujo de medios.

Consulte las instrucciones de Creación de una política para crear políticas mediante la consola.

Para obtener más información sobre la sintaxis, consulte Sintaxis de políticas.

Se proporcionan los siguientes ejemplos de políticas:

Políticas de la familia de medios físicos
Para permitir que un usuario o grupo dinámico gestione todos los recursos de los servicios de medios, cree esta política en su arrendamiento:
Allow <user or dynamic-group> to manage media-family in compartment <compartment_name>
Políticas de flujo de medios
Para utilizar flujos de medios, cree esta política en su arrendamiento:
Allow any-user to read object-family in compartment id <compartment_id> where all {request.principal.type='streamdistributionchannel', request.resource.compartment.id='<compartment_id>'} 
Allow any-user to read media-family in compartment id <compartment_id> where all {request.principal.type='streamdistributionchannel', request.resource.compartment.id='<compartment_id>'}
Para otorgar derechos de compartimento de almacenamiento de vídeo para leer el almacén de objetos, cree esta política en su arrendamiento:
Allow any-user to read object-family in compartment id <compartment_id> where all {request.principal.type='streamdistributionchannel', request.resource.compartment.id='<compartment_id>'}
Para permitir que los flujos de medios lean los metadatos de medios, cree esta política en su arrendamiento:
Allow any-user to read media-family in compartment id <compartment_id> where all {request.principal.type='streamdistributionchannel', request.resource.compartment.id='<compartment_id>'}
Utilizar políticas de claves
Si ha configurado una configuración de empaquetado para utilizar claves de cifrado personalizadas, cree esta política en su arrendamiento, en el compartimento que contiene las claves de cifrado:
Allow any-user to use keys in compartment id <compartment_id> where all {request.principal.type='streamdistributionchannel', request.resource.compartment.id='<compartment_id>'}