Documentação do Oracle Cloud Infrastructure

Políticas e Permissões do Serviço IAM do Media Flow

Crie políticas do serviço IAM para controlar quem tem acesso aos recursos do serviço Media Flow e para controlar o tipo de acesso de cada grupo de usuários.

Crie políticas para que os usuários tenham os direitos necessários aos recursos do Media Flow. Os usuários do grupo Administrators têm acesso a todos os recursos do serviço Media Flow.

Se você não estiver familiarizado com políticas de IAM, consulte Conceitos Básicos de Políticas.

Para obter uma lista completa das políticas do Oracle Cloud Infrastructure, consulte referência de política e Políticas Comuns.

Esta seção explica os seguintes tópicos:

Para usar o OCI Media Flow, crie uma política que conceda as permissões a seguir ao usuário ou aos grupos que interagem com o serviço adequadamente.

O Media Services suporta as seguintes entidades:

Permissões

Ação atribuída ao usuário
fluxo de trabalho de mídia Define os workflows.
mídia-fluxo de trabalho-trabalho Executa os jobs do workflow para processar mídia.
ativo de mídia Gerencia os metadados do ativo de mídia.
configuração do media-workflow Gerencia configurações reutilizáveis.
família de mídia Inclui todos os recursos dos membros da mídia em uma família.

Tipos de Recursos e Permissões

Lista de tipos de recursos do Media Flow e permissões associadas.

Para designar permissões a todos os recursos do OCI Media Services, use o tipo de agregação media-family.

Para criar workflows de mídia, você precisa da permissão manage media-workflow.

Para executar jobs, você precisa das permissões use media-workflow e manage media-workflow-job.

Para obter mais informações, consulte Permissões.

A tabela a seguir lista todos os recursos no media-family:

Nome da Família Recursos do Membro
família de mídia
  • fluxo de trabalho de mídia
  • configuração do media-workflow
  • mídia-fluxo de trabalho-trabalho
  • ativo de mídia
  • canal de distribuição de fluxo de mídia
  • media-stream-packaging-config
  • media-stream-cdn-config

Uma política que usa <verb> media-family é equivalente a criar uma política com uma instrução <verb> <resource-type> separada para cada tipo de recurso individual.

Tipo de Recurso Permissões
ativo de mídia
  • MEDIA_ASSET_INSPECT
  • MEDIA_ASSET_CREATE
  • MEDIA_ASSET_READ
  • MEDIA_ASSET_UPDATE
  • MEDIA_ASSET_DELETE
  • MEDIA_ASSET_MOVE
fluxo de trabalho de mídia
  • MEDIA_WORKFLOW_INSPECT
  • MEDIA_WORKFLOW_CREATE
  • MEDIA_WORKFLOW_READ
  • MEDIA_WORKFLOW_UPDATE
  • MEDIA_WORKFLOW_DELETE
  • MEDIA_WORKFLOW_MOVE
  • MEDIA_WORKFLOW_RUN
configuração do media-workflow
  • MEDIA_WORKFLOW_CONFIGURATION_INSPECT
  • MEDIA_WORKFLOW_CONFIGURATION_CREATE
  • MEDIA_WORKFLOW_CONFIGURATION_READ
  • MEDIA_WORKFLOW_CONFIGURATION_UPDATE
  • MEDIA_WORKFLOW_CONFIGURATION_DELETE
  • MEDIA_WORKFLOW_CONFIGURATION_MOVE
mídia-fluxo de trabalho-trabalho
  • MEDIA_WORKFLOW_JOB_INSPECT
  • MEDIA_WORKFLOW_JOB_CREATE
  • MEDIA_WORKFLOW_JOB_READ
  • MEDIA_WORKFLOW_JOB_UPDATE
  • MEDIA_WORKFLOW_JOB_DELETE
  • MEDIA_WORKFLOW_JOB_MOVE

variáveis suportadas

Variáveis são usadas ao adicionar condições a uma política.

O Media Flow suporta as seguintes variáveis:

  • Entidade
    : OCID (Oracle Cloud Identifier)
  • String
    : Texto em formato livre.
  • Lista
    : Lista de Entidade ou String.

Consulte Variáveis Gerais para Todas as Solicitações.

As variáveis são minúsculas e separadas por hífen. Por exemplo, target.tag-namespace.name, target.display-name. Aqui name deve ser exclusivo e display-name é a descrição.

As variáveis obrigatórias são fornecidas pelo serviço Media Flow para cada solicitação. As variáveis automáticas são fornecidas pelo mecanismo de autorização (local de serviço com o SDK para um thick client ou no plano de dados de Identidade para um thin client).

Variáveis Obrigatórias Tipo Descrição
target.compartment.id Entidade (OCID) O OCID do recurso principal da solicitação.
request.operation String O ID da operação (por exemplo, GetUser) para a solicitação.
target.resource.kind String O nome do tipo do recurso principal da solicitação.
Variáveis Automáticas Tipo Descrição
request.user.id Entidade (OCID) O OCID do usuário solicitante.
request.groups.id Lista de entidades (OCIDs) Os OCIDs dos grupos em que o usuário solicitação se encontra.
target.compartment.name String O nome do compartimento especificado em target.compartment.id.
target.tenant.id Entidade (OCID) O OCID do ID do tenant de destino.
Variáveis Dinâmicas Tipo Descrição
request.principal.group.tag.<tagNS>.<tagKey> String O valor de cada tag em um grupo do qual o controlador é membro.
request.principal.compartment.tag.<tagNS>.<tagKey> String O valor de cada tag no compartimento que contém o controlador.
target.resource.tag.<tagNS>.<tagKey> String O valor de cada tag no recurso de destino. (Calculado com base em tagSlug fornecido pelo serviço em cada solicitação.)
target.resource.compartment.tag.<tagNS>.<tagKey> String O valor de cada tag no compartimento que contém o recurso de destino. (Calculado com base em tagSlug fornecido pelo serviço em cada solicitação.)

Veja uma lista de origens disponíveis para as variáveis:

  • Solicitação: Vem da entrada da solicitação.
  • Derivado: Vem da solicitação.
  • Armazenado: Vem do serviço, entrada retida.
  • Calculado: Calculado com base nos dados do serviço.

Detalhes para Combinações de Verbo + Tipo de Recurso

Identifique as permissões e operações de API abrangidas por cada verbo para recursos do Media Flow.

O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental quando comparado à célula anterior.

Para obter informações sobre como conceder acesso, consulte Permissões.

fluxo de trabalho de mídia

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso media-workflow.

Verbos Permissões APIs Abrangidas Descrição
inspect MEDIA_WORKFLOW_INSPECT ListMediaWorkflow

ListSystemMediaWorkflows

 Liste MediaWorkflows e SystemMediaWorkflows em um compartimento.
read

inspect+

MEDIA_WORKFLOW_READ

inspect+

GetMediaWorkflow

 Exiba os detalhes de um MediaWorkflow.
use

read+

MEDIA_WORKFLOW_UPDATE

read+

UpdateMediaWorkflow

 Atualize um MediaWorkflow.
manage

use+

MEDIA_WORKFLOW_CREATE

use+

CreateMediaWorkflow

 Crie um MediaWorkflow.
manage

use+

MEDIA_WORKFLOW_MOVE

use+

ChangeMediaWorkflowCompartment

 Mova um MediaWorkflow entre compartimentos.
manage

use+

MEDIA_WORKFLOW_DELETE

use+

DeleteMediaWorkflow

 Exclua um MediaWorkflow.
configuração do media-workflow

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso media-workflow-configuration.

Verbos Permissões APIs Abrangidas Descrição
inspect MEDIA_WORKFLOW_CONFIGURATION_INSPECT ListMediaWorkflowConfiguration Liste os objetos MediaWorkflowConfiguration em um determinado compartimento.
read

inspect+

MEDIA_WORKFLOW_CONFIGURATION_READ

inspect+

GetMediaWorkflowConfiguration

 Exiba os detalhes de um MediaWorkflowConfiguration.
use

read+

MEDIA_WORKFLOW_CONFIGURATION_UPDATE

read+

UpdateMediaWorkflowConfiguration

 Atualize um MediaWorkflowConfiguration.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_CREATE

use+

CreateMediaWorkflowConfiguration

 Crie um MediaWorkflowConfiguration.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_MOVE

use+

ChangeMediaWorkflowConfigurationCompartment

 Mova um MediaWorkflowConfiguration entre compartimentos.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_DELETE

use+

DeleteMediaWorkflowConfiguration

 Exclua um MediaWorkflowConfiguration.
mídia-fluxo de trabalho-trabalho

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso media-workflow-job.

Verbos Permissões APIs Abrangidas Descrição
inspect MEDIA_WORKFLOW_JOB_INSPECT ListMediaWorkflowJob Lista o MediaWorkflowJobs em um compartimento específico.
read

inspect+

MEDIA_WORKFLOW_JOB_READ

inspect+

GetMediaWorkflowJob

 Exiba os detalhes de um MediaWorkflowJob.
use

read+

MEDIA_WORKFLOW_JOB_UPDATE

read+

UpdateMediaWorkflowJob

 Atualize um MediaWorkflowJob.
manage

use+

MEDIA_WORKFLOW_JOB_CREATE

use+

CreateMediaWorkflowJob

 Crie um MediaWorkflowJob.
manage

use+

MEDIA_WORKFLOW_JOB_MOVE

use+

ChangeMediaWorkflowJobCompartment

 Mova um MediaWorkflowJob entre compartimentos.
manage

use+

MEDIA_WORKFLOW_JOB_DELETE

use+

DeleteMediaWorkflowJob

 Cancele um MediaWorkflowJob.
ativo de mídia

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso media-asset.

Verbos Permissões APIs Abrangidas Descrição
inspect MEDIA_ASSET_INSPECT ListMediaAsset Liste todos os ativos de mídia em um determinado compartimento.
read

inspect+

MEDIA_ASSET_READ

inspect+

GetMediaAsset

 Exiba todos os detalhes dos registros de ativos de mídia.
use

read+

MEDIA_ASSET_UPDATE

read+

UpdateMediaAsset

 Atualize os metadados do ativo de mídia.
manage

use+

MEDIA_ASSET_CREATE

use+

CreateMediaAsset

 Criar ativos de mídia.
manage

use+

MEDIA_ASSET_MOVE

use+

ChangeMediaAsset

 Mova ativos de mídia entre compartimentos.
manage

use+

MEDIA_ASSET_DELETE

use+

DeleteMediaAsset

 Exclua ativos de mídia.

Permissões Exigidas para cada Operação de API

A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso. Os tipos de recursos são media-workflow, media-workflow-configuration, media-workflow-job e media-asset.

Para obter mais informações, consulte Permissões.
Operação de API Permissões Obrigatórias para Usar a Operação
ListMediaWorkflows MEDIA_WORKFLOW_INSPECT
CreateMediaWorkflow MEDIA_WORKFLOW_CREATE
DeleteMediaWorkflow MEDIA_WORKFLOW_DELETE
UpdateMediaWorkflow MEDIA_WORKFLOW_UPDATE
GetMediaWorkflow MEDIA_WORKFLOW_READ
RunMediaWorkflow
  • MEDIA_WORKFLOW_RUN
  • MEDIA_WORKFLOW_READ
  • MEDIA_WORKFLOW_CONFIGURATION_READ
GetMediaWorkflowJob
  • MEDIA_WORKFLOW_EXECUTE
  • MEDIA_WORKFLOW_READ
CancelMediaWorkflowJob
  • MEDIA_WORKFLOW_EXECUTE
  • MEDIA_WORKFLOW_READ
ChangeMediaWorkflowCompartment MEDIA_WORKFLOW_MOVE
ListMediaWorkflowConfigurations MEDIA_WORKFLOW_CONFIGURATION_INSPECT
CreateMediaWorkflowConfiguration MEDIA_WORKFLOW_CONFIGURATION_CREATE
DeleteMediaWorkflowConfiguration MEDIA_WORKFLOW_CONFIGURATION_DELETE
UpdateMediaWorkflowConfiguration MEDIA_WORKFLOW_CONFIGURATION_UPDATE
GetMediaWorkflowConfiguration MEDIA_WORKFLOW_CONFIGURATION_READ
ChangeMediaWorkflowConfigurationCompartment MEDIA_WORKFLOW_CONFIGURATION_MOVE
ListMediaWorkflowJob MEDIA_WORKFLOW_JOB_INSPECT
CreateMediaWorkflowJob MEDIA_WORKFLOW_JOB_CREATE
DeleteMediaWorkflowJob MEDIA_WORKFLOW_JOB_DELETE
UpdateMediaWorkflowJob MEDIA_WORKFLOW_JOB_UPDATE
GetMediaWorkflowJob MEDIA_WORKFLOW_JOB_READ
ChangeMediaWorkflowJobCompartment MEDIA_WORKFLOW_JOB_MOVE
ListMediaAsset MEDIA_ASSET_INSPECT
CreateMediaAsset MEDIA_ASSET_CREATE
DeleteMediaAsset MEDIA_ASSET_DELETE
UpdateMediaAsset MEDIA_ASSET_UPDATE
GetMediaAsset MEDIA_ASSET_READ
ChangeMediaAssetCompartment MEDIA_ASSET_MOVE

Funções de Usuário do Media Flow

Você pode usar as permissões ou políticas disponíveis para configurar o acesso. Esta é uma configuração de usuário típica:

Sistema/Ator Descrição Permissões de Recursos do OCI
Workflow Manager Esse uso ou grupo define os fluxos de trabalho usados para processar o conteúdo.
  • gerenciar: media-workflow
  • gerenciar: media-workflow-configuration
Processador de Conteúdo Esse usuário ou grupo executa jobs para processar o conteúdo e deve ter permissões de leitura/gravação para os buckets de entrada/saída no armazenamento de objetos.
  • leitura: media-workflow
  • leitura: media-workflow-configuration
  • gerenciar: media-workflow-job
  • gerenciar: media-asset
Biblioteca de Ativos Digitais Este grupo requer acesso aos ativos de mídia que foram criados. Leia: Media-asset

Políticas do serviço IAM

Saiba mais sobre as políticas de IAM necessárias para o Media Flow.

Verifique se:

  • Você configurou as políticas de streaming para permitir que os Serviços de Mídia leiam a família de objetos no compartimento de vídeo do Armazenamento de objetos.
  • Os usuários ou grupos que usam o OCI Media Streams têm as permissões necessárias.

Consulte Criando uma Política para obter detalhes.

Para obter mais detalhes sobre a sintaxe, consulte Sintaxe de Política.

Se você estiver usando os serviços Speech, Language e Vision, consulte Políticas de Voz, Políticas do Vision e Políticas de Idioma para obter detalhes.

Criando uma Política

Veja como criar uma política na Console:

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas.
  2. Na página Políticas, clique em Criar Política.
  3. No painel Criar Política, informe um nome, uma descrição para a política e especifique o compartimento no qual você deseja criar a política.
  4. Em Policy Builder, clique na opção Mostrar editor manual para ativar o editor.

    Digite uma regra de política no seguinte formato: 

    Allow service mediaservices to <verb> <resource_type> in <compartment or tenancy details>
  5. Clique em Criar.

Para obter instruções sobre como criar e gerenciar políticas usando a Console ou a API, consulte Gerenciando Políticas.

Para obter uma lista completa de todas as políticas do Oracle Cloud Infrastructure, consulte Referência de Política e Políticas Comuns.

Exemplos de Política

As políticas do Media Flow são necessárias para usar vários recursos do Media Flow.

Consulte as instruções em Criando uma Política para obter informações sobre como criar políticas usando a Console.

Para obter mais detalhes sobre a sintaxe, consulte Sintaxe de Política.

Se você estiver usando o serviço Media Streams, consulte Políticas do Serviço IAM do Serviço Media Streams para obter detalhes.

São fornecidos os seguintes exemplos de política:

Políticas da Família de Mídia
Crie esta política em sua tenancy para permitir que um usuário ou grupo dinâmico gerencie todos os recursos nos Serviços de Mídia:
Allow <user or dynamic-group> to manage media-family in compartment <compartment_name>