Documentação do Oracle Cloud Infrastructure

Políticas e Permissões do Serviço IAM do Media Streams

Crie políticas do serviço IAM para controlar quem tem acesso aos recursos do serviço Media Streams e para controlar o tipo de acesso de cada grupo de usuários.

Crie políticas para que os usuários tenham os direitos necessários aos recursos do Media Streams. Os usuários do grupo Administrators têm acesso a todos os recursos do serviço Media Streams.

Se você não estiver familiarizado com políticas de IAM, consulte Conceitos Básicos de Políticas.

Para obter uma lista completa das políticas do Oracle Cloud Infrastructure, consulte referência de política e Políticas Comuns. Para políticas do serviço Media Flow, consulte Políticas do Serviço Media Flow.

Esta seção explica os seguintes tópicos:

Para usar o serviço Media Streams, crie uma política que conceda as permissões a seguir ao usuário ou aos grupos que interagem com o serviço adequadamente.

O Media Streams suporta as seguintes entidades:

Tipo de Recurso

Ação atribuída ao usuário
fluxo de trabalho de mídia Usa os workflows.
mídia-fluxo de trabalho-trabalho Executa os jobs do workflow para processar mídia.
ativo de mídia Usa os metadados do ativo de mídia.
família de mídia Inclui todos os recursos dos membros da mídia em uma família.
canal de distribuição de fluxo de mídia Gerencia canais de distribuição.
media-stream-packaging-config Gerencia configurações de empacotamento.
media-stream-cdn-config Gerencia configurações de CDN.

Tipos de Recursos e Permissões

Lista de tipos de recursos do Media Streams e permissões associadas.

Para designar permissões a todos os recursos de Serviços de Mídia, use o tipo de agregação media-family. Para usar o Media Streams, você precisa das permissões para todos os tipos de recursos. Para obter mais informações, consulte Permissões.

A tabela a seguir lista todos os recursos em media-family:

Nome da Família Recursos do Membro
família de mídia
  • fluxo de trabalho de mídia
  • configuração do media-workflow
  • mídia-fluxo de trabalho-trabalho
  • ativo de mídia
  • canal de distribuição de fluxo de mídia
  • media-stream-packaging-config
  • media-stream-cdn-config

Uma política que usa <verb> media-family é equivalente a criar uma política com uma instrução <verb> <resource-type> separada para cada tipo de recurso individual.

Tipo de Recurso Permissões
ativo de mídia
  • MEDIA_ASSET_INSPECT
  • MEDIA_ASSET_CREATE
  • MEDIA_ASSET_READ
  • MEDIA_ASSET_UPDATE
  • MEDIA_ASSET_DELETE
  • MEDIA_ASSET_MOVE
media-stream-cdn-config
  • MEDIA_STREAM_CDN_CONFIG_CREATE
  • MEDIA_STREAM_CDN_CONFIG_INSPECT
  • MEDIA_STREAM_CDN_CONFIG_READ
  • MEDIA_STREAM_CDN_CONFIG_UPDATE
  • MEDIA_STREAM_CDN_CONFIG_DELETE
  • MEDIA_STREAM_CDN_CONFIG_MOVE
canal de distribuição de fluxo de mídia
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_CREATE
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_INSPECT
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_READ
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_UPDATE
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_DELETE
  • MEDIA_STREAM_DISTRIBUTION_CHANNEL_MOVE
media-stream-packaging-config
  • MEDIA_STREAM_PACKAGING_CONFIG_CREATE
  • MEDIA_STREAM_PACKAGING_CONFIG_INSPECT
  • MEDIA_STREAM_PACKAGING_CONFIG_READ
  • MEDIA_STREAM_PACKAGING_CONFIG_UPDATE
  • MEDIA_STREAM_PACKAGING_CONFIG_DELETE
  • MEDIA_STREAM_PACKAGING_CONFIG_MOVE
fluxo de trabalho de mídia
  • MEDIA_WORKFLOW_INSPECT
  • MEDIA_WORKFLOW_CREATE
  • MEDIA_WORKFLOW_READ
  • MEDIA_WORKFLOW_UPDATE
  • MEDIA_WORKFLOW_DELETE
  • MEDIA_WORKFLOW_MOVE
  • MEDIA_WORKFLOW_RUN
mídia-fluxo de trabalho-trabalho
  • MEDIA_WORKFLOW_JOB_INSPECT
  • MEDIA_WORKFLOW_JOB_CREATE
  • MEDIA_WORKFLOW_JOB_READ
  • MEDIA_WORKFLOW_JOB_UPDATE
  • MEDIA_WORKFLOW_JOB_DELETE
  • MEDIA_WORKFLOW_JOB_MOVE

variáveis suportadas

Variáveis são usadas ao adicionar condições a uma política.

O Media Streams suporta as seguintes variáveis:

Entidade
OCID (Oracle Cloud Identifier).
String
Texto em formato livre.
Lista
Lista de Entidade ou String.

Consulte Variáveis Gerais para Todas as Solicitações.

As variáveis são minúsculas e separadas por hífen. Por exemplo, target.tag-namespace.name, target.display-name. Aqui name deve ser exclusivo e display-name é a descrição.

As variáveis obrigatórias são fornecidas pelo serviço Media Streams para cada solicitação. As variáveis automáticas são fornecidas pelo mecanismo de autorização (local de serviço com o SDK para um thick client ou no plano de dados de Identidade para um thin client).

Variáveis Obrigatórias Tipo Descrição
target.compartment.id Entidade (OCID) O OCID do recurso principal da solicitação.
request.operation String O ID da operação (por exemplo, GetUser) para a solicitação.
target.resource.kind String O nome do tipo do recurso principal da solicitação.
Variáveis Automáticas Tipo Descrição
request.user.id Entidade (OCID) O OCID do usuário solicitante.
request.groups.id Lista de entidades (OCIDs) Os OCIDs dos grupos em que o usuário solicitação se encontra.
target.compartment.name String O nome do compartimento especificado em target.compartment.id.
target.tenant.id Entidade (OCID) O OCID do ID do tenant de destino.
Variáveis Dinâmicas Tipo Descrição
request.principal.group.tag.<tagNS>.<tagKey> String O valor de cada tag em um grupo do qual o controlador é membro.
request.principal.compartment.tag.<tagNS>.<tagKey> String O valor de cada tag no compartimento que contém o controlador.
target.resource.tag.<tagNS>.<tagKey> String O valor de cada tag no recurso de destino. (Calculado com base em tagSlug fornecido pelo serviço em cada solicitação.)
target.resource.compartment.tag.<tagNS>.<tagKey> String O valor de cada tag no compartimento que contém o recurso de destino. (Calculado com base em tagSlug fornecido pelo serviço em cada solicitação.)

Veja uma lista de origens disponíveis para as variáveis:

  • Solicitação: Vem da entrada da solicitação.
  • Derivado: Vem da solicitação.
  • Armazenado: Vem do serviço, entrada retida.
  • Calculado: Calculado com base nos dados do serviço.

Detalhes para Combinações de Verbo + Tipo de Recurso

Identifique as permissões e operações de API abrangidas por cada verbo para recursos do Media Streams.

O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental quando comparado à célula anterior.

Para obter informações sobre como conceder acesso, consulte Permissões.

fluxo de trabalho de mídia

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso media-workflow.

Verbos Permissões APIs Abrangidas Descrição
inspect MEDIA_WORKFLOW_INSPECT ListMediaWorkflow

ListSystemMediaWorkflows

 Liste MediaWorkflows e SystemMediaWorkflows em um compartimento.
read

inspect+

MEDIA_WORKFLOW_READ

inspect+

GetMediaWorkflow

 Exiba os detalhes de um MediaWorkflow.
use

read+

MEDIA_WORKFLOW_UPDATE

read+

UpdateMediaWorkflow

 Atualize um MediaWorkflow.
manage

use+

MEDIA_WORKFLOW_CREATE

use+

CreateMediaWorkflow

 Crie um MediaWorkflow.
manage

use+

MEDIA_WORKFLOW_MOVE

use+

ChangeMediaWorkflowCompartment

 Mova um MediaWorkflow entre compartimentos.
manage

use+

MEDIA_WORKFLOW_DELETE

use+

DeleteMediaWorkflow

 Exclua um MediaWorkflow.
configuração do media-workflow

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso media-workflow-configuration.

Verbos Permissões APIs Abrangidas Descrição
inspect MEDIA_WORKFLOW_CONFIGURATION_INSPECT ListMediaWorkflowConfiguration Liste os objetos MediaWorkflowConfiguration em um determinado compartimento.
read

inspect+

MEDIA_WORKFLOW_CONFIGURATION_READ

inspect+

GetMediaWorkflowConfiguration

 Exiba os detalhes de um MediaWorkflowConfiguration.
use

read+

MEDIA_WORKFLOW_CONFIGURATION_UPDATE

read+

UpdateMediaWorkflowConfiguration

 Atualize um MediaWorkflowConfiguration.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_CREATE

use+

CreateMediaWorkflowConfiguration

 Crie um MediaWorkflowConfiguration.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_MOVE

use+

ChangeMediaWorkflowConfigurationCompartment

 Mova um MediaWorkflowConfiguration entre compartimentos.
manage

use+

MEDIA_WORKFLOW_CONFIGURATION_DELETE

use+

DeleteMediaWorkflowConfiguration

 Exclua um MediaWorkflowConfiguration.
mídia-fluxo de trabalho-trabalho

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso media-workflow-job.

Verbos Permissões APIs Abrangidas Descrição
inspect MEDIA_WORKFLOW_JOB_INSPECT ListMediaWorkflowJob Lista o MediaWorkflowJobs em um compartimento específico.
read

inspect+

MEDIA_WORKFLOW_JOB_READ

inspect+

GetMediaWorkflowJob

 Exiba os detalhes de um MediaWorkflowJob.
use

read+

MEDIA_WORKFLOW_JOB_UPDATE

read+

UpdateMediaWorkflowJob

 Atualize um MediaWorkflowJob.
manage

use+

MEDIA_WORKFLOW_JOB_CREATE

use+

CreateMediaWorkflowJob

 Crie um MediaWorkflowJob.
manage

use+

MEDIA_WORKFLOW_JOB_MOVE

use+

ChangeMediaWorkflowJobCompartment

 Mova um MediaWorkflowJob entre compartimentos.
manage

use+

MEDIA_WORKFLOW_JOB_DELETE

use+

DeleteMediaWorkflowJob

 Cancele um MediaWorkflowJob.
ativo de mídia

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso media-asset.

Verbos Permissões APIs Abrangidas Descrição
inspect MEDIA_ASSET_INSPECT ListMediaAsset Liste todos os ativos de mídia em um determinado compartimento.
read

inspect+

MEDIA_ASSET_READ

inspect+

GetMediaAsset

 Exiba todos os detalhes dos registros de ativos de mídia.
use

read+

MEDIA_ASSET_UPDATE

read+

UpdateMediaAsset

 Atualize os metadados do ativo de mídia.
manage

use+

MEDIA_ASSET_CREATE

use+

CreateMediaAsset

 Criar ativos de mídia.
manage

use+

MEDIA_ASSET_MOVE

use+

ChangeMediaAsset

 Mova ativos de mídia entre compartimentos.
manage

use+

MEDIA_ASSET_DELETE

use+

DeleteMediaAsset

 Exclua ativos de mídia.
canal de distribuição de fluxo de mídia
Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso media-stream-distribution-channel.
Verbos Permissões APIs Abrangidas Descrição
inspect MEDIA_STREAM_DISTRIBUTION_CHANNEL_INSPECT ListStreamDistributionChannel Liste o StreamDistributionChannels em um compartimento.
read

inspect+

MEDIA_STREAM_DISTRIBUTION_CHANNEL_READ

inspect+

GetStreamDistributionChannel

 Exiba os detalhes de um StreamDistirbutionChannel.
use

read+

MEDIA_STREAM_DISTRIBUTION_CHANNEL_UPDATE

read+

UpdateStreamDistributionChannel

 Atualize os detalhes de um StreamDistirbutionChannel.
manage

use+

MEDIA_STREAM_DISTRIBUTION_CHANNEL_CREATE

use+

CreateStreamDistributionChannel

 Crie um StreamDistirbutionChannel.
manage

use+

MEDIA_STREAM_DISTRIBUTION_CHANNEL_MOVE

use+

ChangeStreamDistributionChannelCompartment

 Mova um StreamDistirbutionChannel entre compartimentos.
manage

use+

MEDIA_STREAM_DISTRIBUTION_CHANNEL_DELETE

use+

DeleteStreamDistributionChannel

 Exclua um StreamDistirbutionChannel.
media-stream-packaging-config

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso media-stream-packaging-config.

Verbos Permissões APIs Abrangidas Descrição
inspect MEDIA_STREAM_PACKAGING_CONFIG_INSPECT ListStreamCdnConfig Liste o StreamPackagingConfigs em um StreamDistributionChannel específico
read

inspect+

MEDIA_STREAM_PACKAGING_CONFIG_READ

inspect+

GetStreamCdnConfig

 Exiba os detalhes de um StreamPackagingConfig.
use

read+

MEDIA_STREAM_PACKAGING_CONFIG_UPDATE

read+

UpdateStreamPackagingConfig

 Atualize os detalhes de um StreamCdnConfig.
manage

use+

MEDIA_STREAM_PACKAGING_CONFIG_CREATE

use+

CreateStreamPackagingConfig

 Crie um StreamCdnConfig.
manage

use+

MEDIA_STREAM_PACKAGING_CONFIG_MOVE

use+

ChangeStreamPackagingConfigCompartmentg

 Mova um StreamCdnConfig entre compartimentos.
manage

use+

MEDIA_STREAM_PACKAGING_CONFIG_DELETE

use+

DeleteStreamPackagingConfig

 Exclua um StreamCdnConfig.
media-stream-cdn-config
Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso media-stream-cdn-config.
Verbos Permissões APIs Abrangidas Descrição
inspect MEDIA_STREAM_CDN_CONFIG_INSPECT ListStreamCdnConfig Liste StreamCdnConfigs em um StreamDistributionChannel específico.
read

inspect+

MEDIA_STREAM_CDN_CONFIG_READ

inspect+

GetStreamCdnConfig

 Exiba os detalhes de um StreamCdnConfig específico.
use

read+

MEDIA_STREAM_CDN_CONFIG_UPDATE

read+

UpdateStreamCdnConfig

 Atualize os detalhes de um StreamCdnConfig.
manage

use+

MEDIA_STREAM_CDN_CONFIG_CREATE

use+

CreateStreamCdnConfig

 Crie um StreamCdnConfig.
manage

use+

MEDIA_STREAM_CDN_CONFIG_MOVE

use+

ChangeStreamCdnConfigCompartment

 Mover um StreamCdnConfig entre compartimentos
manage

use+

MEDIA_STREAM_CDN_CONFIG_DELETE

use+

DeleteStreamCdnConfig

 Exclua um StreamCdnConfig.

Permissões Exigidas para cada Operação de API

A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso. Os tipos de recursos são media-stream-distribution-channel, media-stream-packaging-config e media-stream-cdn-config.

Para obter mais informações, consulte Permissões.
Operação de API Permissões Obrigatórias para Usar a Operação
CreateStreamDistributionChannel MEDIA_STREAM_DISTRIBUTION_CHANNEL_CREATE
ListStreamDistributionChannels MEDIA_STREAM_DISTRIBUTION_CHANNEL_INSPECT
GetStreamDistributionChannel MEDIA_STREAM_DISTRIBUTION_CHANNEL_READ
UpdateStreamDistributionChannel MEDIA_STREAM_DISTRIBUTION_CHANNEL_UPDATE
DeleteStreamDistributionChannel MEDIA_STREAM_DISTRIBUTION_CHANNEL_DELETE
ChangeStreamDistributionChannelCompartment MEDIA_STREAM_DISTRIBUTION_CHANNEL_MOVE
CreateStreamPackagingConfig MEDIA_STREAM_PACKAGING_CONFIG_CREATE
ListStreamPackagingConfigs MEDIA_STREAM_PACKAGING_CONFIG_INSPECT
GetStreamPackagingConfig MEDIA_STREAM_PACKAGING_CONFIG_READ
UpdateStreamPackagingConfig MEDIA_STREAM_PACKAGING_CONFIG_UPDATE
DeleteStreamPackagingConfig MEDIA_STREAM_PACKAGING_CONFIG_DELETE
ChangeStreamPackagingConfigCompartment MEDIA_STREAM_PACKAGING_CONFIG_MOVE
CreateStreamCdnConfig MEDIA_STREAM_CDN_CONFIG_CREATE
ListStreamCdnConfigs MEDIA_STREAM_CDN_CONFIG_INSPECT
GetStreamCdnConfig MEDIA_STREAM_CDN_CONFIG_READ
UpdateStreamCdnConfig MEDIA_STREAM_CDN_CONFIG_UPDATE
DeleteStreamCdnConfig MEDIA_STREAM_CDN_CONFIG_DELETE
ChangeStreamCdnConfigCompartment MEDIA_STREAM_CDN_CONFIG_MOVE
CreateStreamDataPlaneCellDeployment MEDIA_STREAM_ADMIN_CREATE
ListStreamDataPlaneCellDeployments MEDIA_STREAM_ADMIN_INSPECT
GetStreamDataPlaneCellDeployment MEDIA_STREAM_ADMIN_READ
UpdateStreamDataPlaneCellDeployment MEDIA_STREAM_ADMIN_UPDATE
DeleteStreamDataPlaneCellDeployment MEDIA_STREAM_ADMIN_DELETE
CreateDistributionChannelAssignmentGroup MEDIA_STREAM_ADMIN_CREATE
ListDistributionChannelAssignmentGroup MEDIA_STREAM_ADMIN_INSPECT
GetDistributionChannelAssignmentGroup MEDIA_STREAM_ADMIN_READ
UpdateDistributionChannelAssignmentGroup MEDIA_STREAM_ADMIN_UPDATE
DeleteDistributionChannelAssignmentGroup MEDIA_STREAM_ADMIN_DELETE
IngestStreamDistributionChannel MEDIA_WORKFLOW_JOB_CREATE

Funções de Usuário do Media Streams

Você pode usar as permissões/políticas disponíveis para configurar o acesso.

Esta é uma configuração de usuário típica:

Sistema/Ator Descrição Permissões de Recursos do OCI
Biblioteca de Ativos Digitais Este grupo requer acesso aos ativos de mídia que foram criados. Leia: Media-asset
Gerente de Canais Entidade/grupo autorizado do OCI que gerencia canais de distribuição (todas as operações).
  • Gerenciar: media-stream-distribution-channel
  • Gerenciar: media-stream-packaging-config
  • Gerenciar: media-stream-cdn-config
Editor de Ativos Entidade/grupo autorizado do OCI que gerencia ativos de lista de reprodução em um canal de distribuição (operações de ativos).
  • Gerenciar: mídia-ativo
  • Uso: media-stream-distribution-channel
  • Leitura: object-family
Streamer de Ativos

Este grupo é o usuário final do conteúdo. As plataformas de streaming solicitam tokens em nome desse ator para conceder acesso ao conteúdo.

Quando os streamers de ativos enviam uma solicitação para reproduzir um conteúdo de vídeo, o player envia a solicitação para a lista de reprodução de nível superior do Media Streams. A solicitação de lista de reprodução primária valida o token de sessão e retorna uma lista de reprodução primária de fluxos variantes, incluindo listas de reprodução de mídia ABR. O local onde as solicitações subsequentes são enviadas para listas de reprodução de taxa de bits individuais e seus ativos associados dependem da configuração específica da CDN/Edge e das estratégias de autenticação de token associadas à CDN/Edge.

 Nenhuma permissão do OCI.
Sistema de Gerenciamento de Conteúdo (CMS)

Esta entidade/grupo autorizado pela OCI pode listar e ler canais de distribuição, configurações de empacotamento, configurações de CDN e ativos de lista de reprodução.

Essa entidade incorpora um link de player de vídeo ao canal de distribuição apropriado, à configuração de empacotamento e à combinação de ativos.
  • Leitura: media-stream-distribution-channel
  • Leitura: media-stream-packaging-config
  • Leitura: media-stream-cdn-config
  • Leitura: media-asset
CDN - Edge Server Um servidor de borda CDN configurado para usar o ponto final do serviço de mídia como seu servidor de origem. Sem permissões do OCI

Políticas do serviço IAM

Verifique se:

  • Você configurou as políticas de streaming para permitir que os Serviços de Mídia leiam o object-family no compartimento de vídeo do armazenamento de objetos.
  • Os usuários ou grupos que usam o Media Streams têm as permissões necessárias.

Consulte Criando uma Política para obter detalhes.

Para obter mais detalhes sobre a sintaxe, consulte Sintaxe de Política.

Criando uma Política

Veja como criar uma política na Console:

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas.
  2. Na página Políticas, clique em Criar Política.
  3. No painel Criar Política, informe um nome, uma descrição para a política e especifique o compartimento no qual você deseja criar a política.
  4. Em Policy Builder, clique na opção Mostrar editor manual para ativar o editor.

    Digite uma regra de política no seguinte formato: 

    Allow service mediaservices to <verb> <resource_type> in <compartment or tenancy details>
  5. Clique em Criar.

Para obter instruções sobre como criar e gerenciar políticas usando a Console ou a API, consulte Gerenciando Políticas.

Para obter uma lista completa de todas as políticas do Oracle Cloud Infrastructure, consulte Referência de Política e Políticas Comuns.

Exemplos de Política

As políticas do serviço Media Streams são necessárias para usar vários recursos do serviço Media Flow.

Consulte as instruções em Criando uma Política para obter informações sobre como criar políticas usando a Console.

Para obter mais detalhes sobre a sintaxe, consulte Sintaxe de Política.

São fornecidos os seguintes exemplos de política:

Políticas da Família de Mídia
Para permitir que um usuário ou grupo dinâmico gerencie todos os recursos nos Serviços de Mídia, crie esta política em sua tenancy:
Allow <user or dynamic-group> to manage media-family in compartment <compartment_name>
Políticas do Serviço Media Stream
Para usar o serviço Media Streams, crie esta política em sua tenancy:
Allow any-user to read object-family in compartment id <compartment_id> where all {request.principal.type='streamdistributionchannel', request.resource.compartment.id='<compartment_id>'} 
Allow any-user to read media-family in compartment id <compartment_id> where all {request.principal.type='streamdistributionchannel', request.resource.compartment.id='<compartment_id>'}
Para conceder direitos ao compartimento de armazenamento de vídeo para ler o armazenamento de objetos, crie esta política em sua tenancy:
Allow any-user to read object-family in compartment id <compartment_id> where all {request.principal.type='streamdistributionchannel', request.resource.compartment.id='<compartment_id>'}
Para permitir que o Media Streams leia os metadados de mídia, crie esta política em sua tenancy:
Allow any-user to read media-family in compartment id <compartment_id> where all {request.principal.type='streamdistributionchannel', request.resource.compartment.id='<compartment_id>'}
Usar Políticas de Chaves
Se você tiver configurado uma configuração de empacotamento para usar chaves de criptografia personalizadas, crie esta política em sua tenancy, no compartimento que contém as chaves de criptografia:
Allow any-user to use keys in compartment id <compartment_id> where all {request.principal.type='streamdistributionchannel', request.resource.compartment.id='<compartment_id>'}