Überblick
Die Live Stream API nutzt Identity and Access Management (IAM) für die Zugriffssteuerung.
Die Zugriffssteuerung für die Live Stream API kann auf Projektebene konfiguriert werden. Beispielsweise können Sie Entwicklern Zugriff gewähren, um alle Ereignisse in einem Projekt aufzulisten und abzurufen.
Eine ausführliche Beschreibung von IAM und den entsprechenden Funktionen finden Sie in der IAM-Dokumentation. Lesen Sie insbesondere den Abschnitt IAM-Richtlinien verwalten.
Für jede Live Stream API-Methode muss der Aufrufer die erforderlichen Berechtigungen haben. Weitere Informationen finden Sie unter Berechtigungen und Rollen.
Berechtigungen
In diesem Abschnitt werden die von IAM unterstützten Live Stream API-Berechtigungen zusammengefasst.
Erforderliche Berechtigungen
In den folgenden Tabellen sind die IAM-Berechtigungen aufgeführt, die mit der Live Stream API verknüpft sind.
| Name der Asset-Methode | Erforderliche Berechtigungen |
|---|---|
assets.create
|
livestream.assets.create für den übergeordneten Standort, bei dem es sich um eine bestimmte Kombination aus Google Cloud-Projekt und Datenspeicherort handelt. |
assets.delete |
livestream.assets.delete für die Asset-Ressource. |
assets.get |
livestream.assets.get für die Asset-Ressource. |
assets.list
|
livestream.assets.list für den übergeordneten Speicherort, bei dem es sich um eine bestimmte Kombination von Google Cloud-Projekt und Datenspeicherort handelt. |
| Name der Channelmethode | Erforderliche Berechtigungen |
|---|---|
channels.create
|
livestream.channels.create für den übergeordneten Speicherort, bei dem es sich um eine bestimmte Kombination aus Google Cloud-Projekt und Datenspeicherort handelt. |
channels.delete |
livestream.channels.delete für die Kanalressource. |
channels.get |
livestream.channels.get für die Kanalressource. |
channels.list
|
livestream.channels.list für den übergeordneten Speicherort, bei dem es sich um eine bestimmte Kombination aus Google Cloud-Projekt und Datenspeicherort handelt. |
channels.patch |
livestream.channels.update für die Kanalressource. |
channels.start |
livestream.channels.start für die Kanalressource. |
channels.stop |
livestream.channels.stop für die Kanalressource. |
| Name der Ereignismethode | Erforderliche Berechtigungen |
|---|---|
events.create
|
livestream.events.create für den übergeordneten Kanal für die Ressource. |
events.delete |
livestream.events.delete für die Ereignisressource. |
events.get |
livestream.events.get für die Ereignisressource. |
events.list
|
livestream.events.list für den übergeordneten Kanal der Ressource. |
| Name der Eingabemethode | Erforderliche Berechtigungen |
|---|---|
inputs.create
|
livestream.inputs.create für den übergeordneten Standort, bei dem es sich um eine bestimmte Kombination aus Google Cloud-Projekt und Datenspeicherort handelt. |
inputs.delete |
livestream.inputs.delete für die Eingaberessource. |
inputs.get |
livestream.inputs.get für die Eingaberessource. |
inputs.list
|
livestream.inputs.list für den übergeordneten Speicherort, bei dem es sich um eine bestimmte Kombination von Google Cloud-Projekt und Datenspeicherort handelt. |
inputs.patch |
livestream.inputs.update für die Eingaberessource. |
| Name der Poolmethode | Erforderliche Berechtigungen |
|---|---|
pools.get |
livestream.pools.get für die Poolressource. |
pools.patch |
livestream.pools.patch für die Poolressource. |
Rollen
In der folgenden Tabelle sind die IAM-Rollen der Live Stream API einschließlich der mit den einzelnen Rollen verknüpften Berechtigungen aufgeführt:
| IAM-Rolle | Berechtigungen |
|---|---|
Livestream-Betrachter( Lesezugriff auf Livestream-Ressourcen. |
|
Livestream-Bearbeiter( Vollständiger Zugriff auf Livestream-Ressourcen. |
|
Weitere Informationen zu Rollen finden Sie hier.
Zugriff auf Cloud Storage
Standardmäßig hat die Live Stream API Zugriff auf alle Cloud Storage-Buckets Ihres Projekts. Wenn Sie Ihr erstes Livestreaming-Ereignis erstellen, erstellt die Live Stream API ein Dienstkonto mit der folgenden Namenskonvention:
service-PROJECT_NUMBER@gcp-sa-livestream.iam.gserviceaccount.com
PROJECT_NUMBER ist die Nummer Ihres Projekts mit aktivierter Live Stream API. Diesem Dienstkonto wird die Rolle „Dienst-Agent für Livestreams“ zugewiesen und es hat folgende Berechtigungen:
- Dateien in den Cloud Storage-Buckets Ihres Projekts lesen
- Dateien in die Cloud Storage-Buckets des Projekts hochladen
- Dateien in den Cloud Storage-Buckets des Projekts löschen
- Dateien und deren Metadaten in den Cloud Storage-Buckets des Projekts auflisten
Zugriff einschränken
Wenn Sie diesen Zugriff auf Ihre Cloud Storage-Buckets beschränken möchten, entfernen Sie die Rolle „Livestream-Dienst-Agent“ aus dem Dienstkonto und ersetzen Sie sie durch einen detaillierteren Zugriff. Gehen Sie so vor:
- Rufen Sie in der Google Cloud Console die Seite IAM (Tab Berechtigungen) auf.
- Suchen Sie das Dienstkonto mit der Rolle „Live Stream-Dienst-Agent“ und klicken Sie auf die Schaltfläche „Bearbeiten“.
- Lösche die Rolle „Livestream-Dienst-Agent“ aus dem Dienstkonto.
- Gewähren Sie jedem einzelnen Cloud Storage-Bucket Zugriff auf das Dienstkonto:
- Zum Cloud Storage-Browser
- Klicken Sie auf einen Bucket.
- Wählen Sie den Tab Berechtigungen aus.
- Klicken Sie auf Hinzufügen.
- Geben Sie im Feld Neue Hauptkonten den Namen des Dienstkontos ein.
- Wählen Sie unter Rolle die Rolle Storage-Objekt-Administrator aus.
- Klicken Sie auf Speichern. Die Live Stream API hat jetzt Zugriff auf den Bucket.