Zugriffssteuerung mit IAM

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Übersicht

Die Live Stream API verwendet für die Zugriffssteuerung Identity and Access Management (IAM).

Sie können die Zugriffssteuerung für die Live Stream API auf Projektebene konfigurieren. Sie können Entwicklern beispielsweise Zugriff gewähren, um alle Ereignisse in einem Projekt aufzulisten und abzurufen.

Eine ausführliche Beschreibung von IAM und den entsprechenden Funktionen finden Sie in der IAM-Dokumentation. Lesen Sie insbesondere den Abschnitt IAM-Richtlinien verwalten.

Für jede Live Stream API-Methode muss der Aufrufer die erforderlichen Berechtigungen haben. Weitere Informationen finden Sie unter Berechtigungen und Rollen.

Berechtigungen

In diesem Abschnitt werden die von IAM unterstützten Live Stream API-Berechtigungen zusammengefasst.

Erforderliche Berechtigungen

In den folgenden Tabellen sind die IAM-Berechtigungen aufgeführt, die mit der Live Stream API verknüpft sind.

Name der Kanalmethode Erforderliche Berechtigungen
channels.create livestream.channels.create für den übergeordneten Standort. Dies ist eine spezifische Kombination aus Google Cloud-Projekt und Datenspeicherort.
channels.delete livestream.channels.delete für die Kanalressource.
channels.get livestream.channels.get für die Kanalressource.
channels.list livestream.channels.list für den übergeordneten Standort. Dies ist eine spezifische Kombination aus Google Cloud-Projekt und Datenspeicherort.
channels.patch livestream.channels.update für die Kanalressource.
channels.start livestream.channels.start für die Kanalressource.
channels.stop livestream.channels.stop für die Kanalressource.
Name der Ereignismethode Erforderliche Berechtigungen
events.create livestream.events.create für den übergeordneten Kanal für die Ressource.
events.delete livestream.events.delete für die Ereignisressource.
events.get livestream.events.get für die Ereignisressource.
events.list livestream.events.list für den übergeordneten Kanal für die Ressource.
Name der Eingabemethode Erforderliche Berechtigungen
inputs.create livestream.inputs.create für den übergeordneten Standort, d. h. eine spezifische Kombination aus Google Cloud-Projekt und Datenspeicherort.
inputs.delete livestream.inputs.delete für die Eingaberessource.
inputs.get livestream.inputs.get für die Eingaberessource.
inputs.list livestream.inputs.list für den übergeordneten Standort, d. h. eine spezifische Kombination aus Google Cloud-Projekt und Datenstandort.
inputs.patch livestream.inputs.update für die Eingaberessource.

Rollen

In der folgenden Tabelle sind die IAM-Rollen der Live Stream API aufgeführt, einschließlich der mit jeder Rolle verknüpften Berechtigungen:

Livestream API-Rolle Berechtigungen
roles/livestream.viewer
  • livestream.channels.list
  • livestream.channels.get
  • livestream.events.list
  • livestream.events.get
  • livestream.inputs.list
  • livestream.inputs.get
roles/livestream.editor Alle roles/livestream.viewer-Berechtigungen und:
  • livestream.channels.create
  • livestream.channels.delete
  • livestream.channels.update
  • livestream.channels.start
  • livestream.channels.stop
  • livestream.events.create
  • livestream.events.delete
  • livestream.inputs.create
  • livestream.inputs.delete
  • livestream.inputs.update

Weitere Informationen zu Rollen finden Sie hier.

Zugriff auf Cloud Storage

Standardmäßig hat die Live Stream API Zugriff auf alle Cloud Storage-Buckets Ihres Projekts. Wenn Sie Ihr erstes Livestreaming-Ereignis erstellen, erstellt die Live Stream API ein Dienstkonto mit der folgenden Namenskonvention:

service-PROJECT_NUMBER@gcp-sa-livestream.iam.gserviceaccount.com

PROJECT_NUMBER ist die Nummer Ihres Projekts mit aktivierter Live Stream API. Dieses Dienstkonto hat die Rolle „Live-Stream-Dienst-Agent“ und ist berechtigt, Folgendes zu tun:

  • Dateien in Cloud Storage-Buckets Ihres Projekts lesen
  • Dateien in Cloud Storage-Buckets Ihres Projekts hochladen
  • Dateien in Cloud Storage-Buckets Ihres Projekts löschen
  • Dateien und deren Metadaten in den Cloud Storage-Buckets Ihres Projekts auflisten

Zugriff einschränken

Wenn Sie diesen Zugriff auf Ihre Cloud Storage-Buckets beschränken möchten, entfernen Sie die Rolle „Livestream-Dienst-Agent“ aus dem Dienstkonto und ersetzen Sie sie durch einen detaillierteren Zugriff. Gehen Sie so vor:

  1. Rufen Sie in der Google Cloud Console die Seite IAM (Tab Berechtigungen) auf.
  2. Suchen Sie das Dienstkonto mit der Rolle „Livestream-Dienst-Agent“ und klicken Sie auf die Schaltfläche „Bearbeiten“.
  3. Löschen Sie die Rolle „Livestream-Dienst-Agent“ aus dem Dienstkonto.
  4. Gewähren Sie jedem einzelnen Cloud Storage-Bucket Zugriff auf das Dienstkonto:
    1. Zum Cloud Storage-Browser
    2. Klicken Sie auf einen Bucket.
    3. Wählen Sie den Tab Berechtigungen aus.
    4. Klicken Sie auf Add (Hinzufügen).
    5. Geben Sie im Feld Neue Hauptkonten den Namen des Dienstkontos ein.
    6. Wählen Sie unter Rolle die Rolle Storage-Objekt-Administrator aus.
    7. Klicken Sie auf Speichern. Die Live Stream API hat jetzt Zugriff auf den Bucket.