Controllo dell'accesso con IAM

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Panoramica

L'API Live Stream utilizza Identity and Access Management (IAM) per il controllo degli accessi.

Puoi configurare il controllo dell'accesso per l'API Live Stream a livello di progetto. Ad esempio, puoi concedere agli sviluppatori l'accesso per creare un elenco e ricevere tutti gli eventi all'interno di un progetto.

Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la documentazione di IAM. In particolare, consulta la sezione sulla gestione dei criteri IAM.

Ogni metodo dell'API Live Stream richiede che il chiamante disponga delle autorizzazioni necessarie. Per ulteriori informazioni, consulta Autorizzazioni e Ruoli.

Autorizzazioni

Questa sezione riepiloga le autorizzazioni dell'API Live Stream supportate da IAM.

Autorizzazioni obbligatorie

Nelle seguenti tabelle sono elencate le autorizzazioni IAM associate all'API Live Stream.

Nome metodo canali Autorizzazioni obbligatorie
channels.create livestream.channels.create per la località principale, che corrisponde a una specifica combinazione di progetto Google Cloud e località dei dati.
channels.delete livestream.channels.delete sulla risorsa del canale.
channels.get livestream.channels.get sulla risorsa del canale.
channels.list livestream.channels.list per la località principale, che corrisponde a una specifica combinazione di progetto Google Cloud e località dei dati.
channels.patch livestream.channels.update sulla risorsa del canale.
channels.start livestream.channels.start sulla risorsa del canale.
channels.stop livestream.channels.stop sulla risorsa del canale.
Nome metodo eventi Autorizzazioni obbligatorie
events.create livestream.events.create sul canale principale della risorsa.
events.delete livestream.events.delete sulla risorsa evento.
events.get livestream.events.get sulla risorsa evento.
events.list livestream.events.list sul canale principale per la risorsa.
Nome metodo di immissione Autorizzazioni obbligatorie
inputs.create livestream.inputs.create sulla località principale, che è una specifica combinazione di località e progetto Google Cloud.
inputs.delete livestream.inputs.delete nella risorsa di input.
inputs.get livestream.inputs.get nella risorsa di input.
inputs.list livestream.inputs.list sulla località principale, che è una specifica combinazione di progetto Google Cloud e località dei dati.
inputs.patch livestream.inputs.update nella risorsa di input.

Ruoli

La tabella riportata di seguito elenca i ruoli IAM dell'API Live Stream, incluse le autorizzazioni associate a ciascun ruolo:

Ruolo API Live Stream Autorizzazioni
roles/livestream.viewer
  • livestream.channels.list
  • livestream.channels.get
  • livestream.events.list
  • livestream.events.get
  • livestream.inputs.list
  • livestream.inputs.get
roles/livestream.editor Tutte le autorizzazioni roles/livestream.viewer e:
  • livestream.channels.create
  • livestream.channels.delete
  • livestream.channels.update
  • livestream.channels.start
  • livestream.channels.stop
  • livestream.events.create
  • livestream.events.delete
  • livestream.inputs.create
  • livestream.inputs.delete
  • livestream.inputs.update

Per ulteriori informazioni sui ruoli, consulta Informazioni sui ruoli.

Accesso a Cloud Storage

Per impostazione predefinita, l'API Live Stream ha accesso a tutti i bucket Cloud Storage del tuo progetto. Quando crei il tuo primo evento di live streaming, l'API Live Stream crea un account di servizio utilizzando la seguente convenzione di denominazione:

service-PROJECT_NUMBER@gcp-sa-livestream.iam.gserviceaccount.com

PROJECT_NUMBER è il numero del tuo progetto con l'API Live Stream abilitata. A questo account di servizio viene concesso il ruolo di agente di servizio Live Stream e dispone delle autorizzazioni per eseguire le seguenti operazioni:

  • Leggere i file nei bucket Cloud Storage del progetto
  • Carica i file nei bucket Cloud Storage del tuo progetto
  • Elimina i file nei bucket Cloud Storage del progetto
  • Elenca i file e i relativi metadati nei bucket Cloud Storage del tuo progetto

Limitazione dell'accesso

Per limitare questo accesso ai tuoi bucket Cloud Storage, rimuovi il ruolo di agente di servizio Live Stream dall'account di servizio e sostituiscilo con un accesso più granulare. Segui questi passaggi:

  1. Vai alla pagina IAM (scheda Autorizzazioni) in Google Cloud Console.
  2. Individua l'account di servizio con il ruolo Agente di servizio Live Stream e seleziona il pulsante di modifica.
  3. Elimina il ruolo di agente di servizio Live Stream dall'account di servizio.
  4. Concedi l'accesso all'account di servizio per ogni singolo bucket Cloud Storage:
    1. Vai alla pagina Browser Cloud Storage.
    2. Fai clic su un bucket.
    3. Seleziona la scheda Autorizzazioni.
    4. Fai clic su Aggiungi.
    5. Nella casella Nuove entità, digita il nome dell'account di servizio.
    6. In Ruolo, seleziona Amministratore oggetti Storage.
    7. Fai clic su Salva. L'API Live Stream ora può accedere al bucket.