Criteri e autorizzazioni IAM flusso multimediale

Creare criteri IAM per controllare chi ha accesso alle risorse del flusso multimediale e per controllare il tipo di accesso per ogni gruppo di utenti.

Creare criteri per consentire agli utenti di disporre dei diritti necessari per le risorse del flusso multimediale. Gli utenti del gruppo Administrators hanno accesso a tutte le risorse del flusso multimediale.

Se non conosci i criteri IAM, consulta la Guida introduttiva ai criteri.

Per un elenco completo dei criteri di Oracle Cloud Infrastructure, vedere riferimento ai criteri e Policy comuni.

Questa sezione illustra gli argomenti riportati di seguito.

Per utilizzare OCI Media Flow, creare un criterio che conceda le autorizzazioni riportate di seguito agli utenti o ai gruppi che interagiscono di conseguenza con il servizio.

Media Services supporta le entità riportate di seguito.

Autorizzazioni	Azione assegnata all'utente
workflow multimediale	Definisce i flussi di lavoro.
media-workflow-job	Esegue i processi del flusso di lavoro per elaborare i supporti.
asset multimediali	Gestisce i metadati degli asset multimediali.
configurazione-workflow-media	Gestisce le configurazioni riutilizzabili.
famiglia di supporti	Include tutte le risorse dei membri dei media in un'unica famiglia.

Tipi e autorizzazioni risorsa

Lista dei tipi di risorsa Flusso multimediale e delle autorizzazioni associate.

Per assegnare le autorizzazioni a tutte le risorse dei servizi multimediali OCI, utilizzare il tipo di aggregazione media-family.

Per creare workflow multimediali, è necessario disporre dell'autorizzazione manage media-workflow.

Per eseguire i job, sono necessarie le autorizzazioni use media-workflow e manage media-workflow-job.

Per ulteriori informazioni, vedere Autorizzazioni.

Nella tabella seguente sono elencate tutte le risorse in media-family:


Nome famiglia	Risorse membro
famiglia di supporti	workflow multimediale configurazione-workflow-media media-workflow-job asset multimediali media-stream-distribuzione-canale media-stream-packaging-config configurazione-cdn-stream-supporti

Un criterio che utilizza <verb> media-family equivale a scrivere un criterio con un'istruzione <verb> <resource-type> separata per ciascuno dei singoli tipi di risorsa.


Tipo di risorsa	Autorizzazioni
asset multimediali	MEDIA_ASSET_INSPECT MEDIA_ASSET_CREATE MEDIA_ASSET_READ MEDIA_ASSET_UPDATE MEDIA_ASSET_DELETE MEDIA_ASSET_MOVE
workflow multimediale	MEDIA_WORKFLOW_INSPECT MEDIA_WORKFLOW_CREATE MEDIA_WORKFLOW_READ MEDIA_WORKFLOW_UPDATE MEDIA_WORKFLOW_DELETE MEDIA_WORKFLOW_MOVE MEDIA_WORKFLOW_RUN
configurazione-workflow-media	MEDIA_WORKFLOW_CONFIGURATION_INSPECT MEDIA_WORKFLOW_CONFIGURATION_CREATE MEDIA_WORKFLOW_CONFIGURATION_READ MEDIA_WORKFLOW_CONFIGURATION_UPDATE MEDIA_WORKFLOW_CONFIGURATION_DELETE MEDIA_WORKFLOW_CONFIGURATION_MOVE
media-workflow-job	MEDIA_WORKFLOW_JOB_INSPECT MEDIA_WORKFLOW_JOB_CREATE MEDIA_WORKFLOW_JOB_READ MEDIA_WORKFLOW_JOB_UPDATE MEDIA_WORKFLOW_JOB_DELETE MEDIA_WORKFLOW_JOB_MOVE

Variabili supportate

Le variabili vengono utilizzate quando si aggiungono condizioni a un criterio.

Il flusso multimediale supporta le variabili indicate di seguito.

Entità

: identificativo Oracle Cloud (OCID)
Stringa

: testo in formato libero.
Elenca

: lista di entità o stringa.

Vedere Variabili generali per tutte le richieste.

Le variabili sono minuscole e separate da trattini. Ad esempio, target.tag-namespace.name, target.display-name. name deve essere univoco e display-name è la descrizione.

Le variabili richieste vengono fornite dal servizio Flusso multimediale per ogni richiesta. Le variabili automatiche vengono fornite dal motore di autorizzazione (servizio locale con l'SDK per un client di grandi dimensioni o sul piano dati di Identity per un thin client).


Variabili richieste	Digita	descrizione;
`target.compartment.id`	Entità (OCID)	OCID della risorsa primaria per la richiesta.
`request.operation`	Stringa	ID dell'operazione (ad esempio, `GetUser`) per la richiesta.
`target.resource.kind`	Stringa	Nome del tipo della risorsa primaria per la richiesta.


Variabili automatiche	Digita	descrizione;
`request.user.id`	Entità (OCID)	OCID dell'utente richiedente.
`request.groups.id`	Elenco di entità (OCID)	Gli OCID dei gruppi in cui si trova l'utente richiedente.
`target.compartment.name`	Stringa	Il nome del compartimento specificato in `target.compartment.id`.
`target.tenant.id`	Entità (OCID)	OCID dell'ID tenant di destinazione.


Variabili dinamiche	Digita	descrizione;
`request.principal.group.tag.<tagNS>.<tagKey>`	Stringa	Il valore di ogni tag in un gruppo di cui il principal è membro.
`request.principal.compartment.tag.<tagNS>.<tagKey>`	Stringa	Il valore di ogni tag nel compartimento che contiene il principal.
`target.resource.tag.<tagNS>.<tagKey>`	Stringa	Il valore di ogni tag nella risorsa di destinazione. (Calcolato sulla base di tagSlug fornito dal servizio su ogni richiesta.)
`target.resource.compartment.tag.<tagNS>.<tagKey>`	Stringa	Il valore di ogni tag nel compartimento che contiene la risorsa di destinazione. (Calcolato sulla base di tagSlug fornito dal servizio su ogni richiesta.)

Di seguito è riportato un elenco delle origini disponibili per le variabili.

Richiesta: viene dall'input della richiesta.
Derivato: viene dalla richiesta.
Memorizzato: viene dal servizio e l'input conservato.
Calcolato: viene calcolato in base ai dati del servizio.

Dettagli per le combinazioni verbo-tipo di risorsa

Identificare le autorizzazioni e le operazioni API coperte da ciascun verbo per le risorse del flusso multimediale.

Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella precedente.

Per informazioni sulla concessione dell'accesso, vedere Autorizzazioni.

workflow multimediale

In questa tabella sono elencate le autorizzazioni e le API completamente coperte dalle autorizzazioni per la risorsa media-workflow.


Verbi	Autorizzazioni	API coperte	descrizione;
`inspect`	`MEDIA_WORKFLOW_INSPECT`	`ListMediaWorkflow` `ListSystemMediaWorkflows`	Elencare i valori MediaWorkflows e SystemMediaWorkflows in un compartimento.
`read`	`inspect+` `MEDIA_WORKFLOW_READ`	`inspect+` `GetMediaWorkflow`	Visualizzare i dettagli di un MediaWorkflow.
`use`	`read+` `MEDIA_WORKFLOW_UPDATE`	`read+` `UpdateMediaWorkflow`	Aggiornare un file MediaWorkflow.
`manage`	`use+` `MEDIA_WORKFLOW_CREATE`	`use+` `CreateMediaWorkflow`	Creare un file MediaWorkflow.
`manage`	`use+` `MEDIA_WORKFLOW_MOVE`	`use+` `ChangeMediaWorkflowCompartment`	Spostare un valore MediaWorkflow tra i compartimenti.
`manage`	`use+` `MEDIA_WORKFLOW_DELETE`	`use+` `DeleteMediaWorkflow`	Eliminare un valore MediaWorkflow.

configurazione-workflow-media

In questa tabella sono elencate le autorizzazioni e le API completamente coperte dalle autorizzazioni per la risorsa media-workflow-configuration.


Verbi	Autorizzazioni	API coperte	descrizione;
`inspect`	`MEDIA_WORKFLOW_CONFIGURATION_INSPECT`	`ListMediaWorkflowConfiguration`	Elencare gli oggetti MediaWorkflowConfiguration in un determinato compartimento.
`read`	`inspect+` `MEDIA_WORKFLOW_CONFIGURATION_READ`	`inspect+` `GetMediaWorkflowConfiguration`	Visualizzare i dettagli di un MediaWorkflowConfiguration.
`use`	`read+` `MEDIA_WORKFLOW_CONFIGURATION_UPDATE`	`read+` `UpdateMediaWorkflowConfiguration`	Aggiornare un file MediaWorkflowConfiguration.
`manage`	`use+` `MEDIA_WORKFLOW_CONFIGURATION_CREATE`	`use+` `CreateMediaWorkflowConfiguration`	Creare un file MediaWorkflowConfiguration.
`manage`	`use+` `MEDIA_WORKFLOW_CONFIGURATION_MOVE`	`use+` `ChangeMediaWorkflowConfigurationCompartment`	Spostare un valore MediaWorkflowConfiguration tra i compartimenti.
`manage`	`use+` `MEDIA_WORKFLOW_CONFIGURATION_DELETE`	`use+` `DeleteMediaWorkflowConfiguration`	Eliminare un valore MediaWorkflowConfiguration.

media-workflow-job

In questa tabella sono elencate le autorizzazioni e le API completamente coperte dalle autorizzazioni per la risorsa media-workflow-job.


Verbi	Autorizzazioni	API coperte	descrizione;
`inspect`	`MEDIA_WORKFLOW_JOB_INSPECT`	`ListMediaWorkflowJob`	Elencare il file MediaWorkflowJobs in un compartimento specifico.
`read`	`inspect+` `MEDIA_WORKFLOW_JOB_READ`	`inspect+` `GetMediaWorkflowJob`	Visualizzare i dettagli di un MediaWorkflowJob.
`use`	`read+` `MEDIA_WORKFLOW_JOB_UPDATE`	`read+` `UpdateMediaWorkflowJob`	Aggiornare un file MediaWorkflowJob.
`manage`	`use+` `MEDIA_WORKFLOW_JOB_CREATE`	`use+` `CreateMediaWorkflowJob`	Creare un file MediaWorkflowJob.
`manage`	`use+` `MEDIA_WORKFLOW_JOB_MOVE`	`use+` `ChangeMediaWorkflowJobCompartment`	Spostare un valore MediaWorkflowJob tra i compartimenti.
`manage`	`use+` `MEDIA_WORKFLOW_JOB_DELETE`	`use+` `DeleteMediaWorkflowJob`	Annullare un MediaWorkflowJob.

asset multimediali

In questa tabella sono elencate le autorizzazioni e le API completamente coperte dalle autorizzazioni per la risorsa media-asset.


Verbi	Autorizzazioni	API coperte	descrizione;
`inspect`	`MEDIA_ASSET_INSPECT`	`ListMediaAsset`	Elenca tutti gli asset multimediali in un determinato compartimento.
`read`	`inspect+` `MEDIA_ASSET_READ`	`inspect+` `GetMediaAsset`	Visualizzare tutti i dettagli dei record degli asset multimediali.
`use`	`read+` `MEDIA_ASSET_UPDATE`	`read+` `UpdateMediaAsset`	Aggiornare i metadati dell'asset multimediale.
`manage`	`use+` `MEDIA_ASSET_CREATE`	`use+` `CreateMediaAsset`	Creare asset multimediali.
`manage`	`use+` `MEDIA_ASSET_MOVE`	`use+` `ChangeMediaAsset`	Spostare gli asset multimediali tra i compartimenti.
`manage`	`use+` `MEDIA_ASSET_DELETE`	`use+` `DeleteMediaAsset`	Eliminare gli asset multimediali.

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa. I tipi di risorsa sono media-workflow, media-workflow-configuration, media-workflow-job e media-asset.

Per ulteriori informazioni, vedere Autorizzazioni.


Operazione API	Autorizzazioni necessarie per utilizzare l'operazione
`ListMediaWorkflows`	MEDIA_WORKFLOW_INSPECT
`CreateMediaWorkflow`	MEDIA_WORKFLOW_CREATE
`DeleteMediaWorkflow`	MEDIA_WORKFLOW_DELETE
`UpdateMediaWorkflow`	MEDIA_WORKFLOW_UPDATE
`GetMediaWorkflow`	MEDIA_WORKFLOW_READ
`RunMediaWorkflow`	MEDIA_WORKFLOW_RUN MEDIA_WORKFLOW_READ MEDIA_WORKFLOW_CONFIGURATION_READ
`GetMediaWorkflowJob`	MEDIA_WORKFLOW_EXECUTE MEDIA_WORKFLOW_READ
`CancelMediaWorkflowJob`	MEDIA_WORKFLOW_EXECUTE MEDIA_WORKFLOW_READ
`ChangeMediaWorkflowCompartment`	MEDIA_WORKFLOW_MOVE
`ListMediaWorkflowConfigurations`	MEDIA_WORKFLOW_CONFIGURATION_INSPECT
`CreateMediaWorkflowConfiguration`	MEDIA_WORKFLOW_CONFIGURATION_CREATE
`DeleteMediaWorkflowConfiguration`	MEDIA_WORKFLOW_CONFIGURATION_DELETE
`UpdateMediaWorkflowConfiguration`	MEDIA_WORKFLOW_CONFIGURATION_UPDATE
`GetMediaWorkflowConfiguration`	MEDIA_WORKFLOW_CONFIGURATION_READ
`ChangeMediaWorkflowConfigurationCompartment`	MEDIA_WORKFLOW_CONFIGURATION_MOVE
`ListMediaWorkflowJob`	MEDIA_WORKFLOW_JOB_INSPECT
`CreateMediaWorkflowJob`	MEDIA_WORKFLOW_JOB_CREATE
`DeleteMediaWorkflowJob`	MEDIA_WORKFLOW_JOB_DELETE
`UpdateMediaWorkflowJob`	MEDIA_WORKFLOW_JOB_UPDATE
`GetMediaWorkflowJob`	MEDIA_WORKFLOW_JOB_READ
`ChangeMediaWorkflowJobCompartment`	MEDIA_WORKFLOW_JOB_MOVE
`ListMediaAsset`	MEDIA_ASSET_INSPECT
`CreateMediaAsset`	MEDIA_ASSET_CREATE
`DeleteMediaAsset`	MEDIA_ASSET_DELETE
`UpdateMediaAsset`	MEDIA_ASSET_UPDATE
`GetMediaAsset`	MEDIA_ASSET_READ
`ChangeMediaAssetCompartment`	MEDIA_ASSET_MOVE

Ruoli utente flusso multimediale

È possibile utilizzare le autorizzazioni o i criteri disponibili per configurare l'accesso. Ecco una configurazione utente tipica:


Sistema/attore	descrizione;	Autorizzazioni risorse OCI
Workflow Manager	Questo uso o gruppo definisce i flussi di lavoro utilizzati per l'elaborazione del contenuto.	manage: media-workflow manage: media-workflow-configuration
Processore contenuti	Questo utente o gruppo esegue i job per elaborare il contenuto e deve disporre delle autorizzazioni di lettura/scrittura per i bucket di input/output nell'area di memorizzazione degli oggetti.	lettura: media-workflow lettura: configurazione-workflow-media manage: media-workflow-job gestione: media-asset
Libreria asset digitale	Questo gruppo richiede l'accesso agli asset multimediali creati.	lettura: media-asset

Criteri IAM

Informazioni sui criteri IAM necessari per il flusso multimediale.

Assicurarsi che:

Sono stati configurati i criteri di streaming per consentire a Media Services di leggere la famiglia di oggetti nel compartimento video dell'area di memorizzazione degli oggetti.
Gli utenti o i gruppi che utilizzano i flussi multimediali OCI dispongono delle autorizzazioni necessarie.

Per i dettagli, vedere Creazione di un criterio.

Per ulteriori dettagli sulla sintassi, vedere Sintassi dei criteri.

Se si utilizzano i servizi di sintesi vocale, lingua e visione, vedere Criteri di sintesi vocale, Criteri di visualizzazione e Criteri di lingua per i dettagli.

Creazione di un criterio

Di seguito viene descritto come creare un criterio nella console.

Aprire il menu di navigazione e fare clic su Identità e sicurezza. In Identità fare clic su Criteri.
Nella pagina Criteri, fare clic su Crea criterio.
Nel pannello Crea criterio immettere un nome, una descrizione per il criterio e specificare il compartimento in cui si desidera creare il criterio.
In Costruzione guidata criteri, fare clic sullo switch Mostra editor manuale per abilitare l'editor.
Immettere una regola dei criteri nel seguente formato:
```
Allow service mediaservices to <verb> <resource_type> in <compartment or tenancy details>
```
Fare clic su Crea.

Per istruzioni su come creare e gestire i criteri mediante la console o l'API, vedere Gestione dei criteri.

Per un elenco completo di tutti i criteri in Oracle Cloud Infrastructure, consulta il riferimento ai criteri e i criteri comuni.

Esempi di criteri

I criteri del flusso multimediale sono necessari per utilizzare varie risorse del flusso multimediale.

Vedere le istruzioni nella sezione Creazione di un criterio per la creazione di criteri mediante la console.

Per ulteriori dettagli sulla sintassi, vedere Sintassi dei criteri.

Se si utilizzano i flussi multimediali, vedere Criteri IAM dei flussi multimediali per i dettagli.

Vengono forniti i seguenti esempi di criteri:

Criteri della famiglia di supporti

Creare questo criterio nella tenancy per consentire a un utente o a un gruppo dinamico di gestire tutte le risorse in Media Services:

Allow <user or dynamic-group> to manage media-family in compartment <compartment_name>

Documentazione di Oracle Cloud Infrastructure