Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Requisitos previos para empezar a usar MediaConvert
<a name="setting-up"></a>

Antes de empezar a usarlo MediaConvert, necesita al menos un Cuenta de AWS archivo de entrada almacenado en Amazon S3 o en un HTTP/HTTPS servidor, un bucket de Amazon S3 para los archivos de salida y un rol de IAM con los permisos correctos. 

Para obtener información sobre cómo cargar archivos en Amazon S3, consulta [Carga de objetos en la *Guía del usuario de Amazon S3*](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html). 

Para obtener información sobre cómo crear un bucket de Amazon S3 para su destino de salida, consulta [Creación de un bucket en la *Guía del usuario de Amazon S3*](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). 

En los temas siguientes se describe cómo inscribirse en un rol de IAM Cuenta de AWS y, después, cómo configurarlo.

**Topics**
+ [Configuración de permisos de IAM](iam-role.md)

# Configuración de permisos de IAM
<a name="iam-role"></a>

Para ejecutar tareas de transcodificación AWS Elemental MediaConvert, necesita un rol de servicio de IAM que le permita MediaConvert acceder a sus recursos. Los recursos incluyen elementos como los archivos de entrada y las ubicaciones en las que se almacenan los archivos de salida. 

Independientemente de cómo cree inicialmente su rol de servicio de IAM, puedes refinar esta función en cualquier momento mediante IAM. Para más información, consulta [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) en la *Guía del usuario de IAM*.

Puedes crear su rol de servicio de IAM de una de las siguientes formas:
+ En la MediaConvert consola, con algunas restricciones en los permisos que concedes. Para obtener instrucciones, consulte [Crear el rol de IAM dentro MediaConvert](creating-the-iam-role-in-mediaconvert-configured.md).

  Desde la MediaConvert consola, configurando su rol para permitir el MediaConvert acceso solo a algunos de sus buckets de Amazon S3. También puedes elegir si conceder acceso de invocación a tus puntos de conexión de la Puerta de enlace de API.
+ En la consola de IAM Para obtener instrucciones, consulte [Crear un rol en IAM](creating-the-iam-role-in-iam.md).

  Puede ejercer un control preciso sobre el acceso exacto al que concede MediaConvert al configurar su función de IAM en la consola de IAM. También puedes usar IAM a través de AWS Command Line Interface (AWS CLI), una API o un SDK.

**nota**  
Si habilita el cifrado predeterminado de Amazon S3 en sus buckets de Amazon S3 y especifica su propia clave gestionada por AWS Key Management Service, debe conceder permisos adicionales. Para obtener más información, consulte [Concesión de permisos para acceder MediaConvert a los buckets cifrados de Amazon S3](granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets.md).

## Utilizar el rol predeterminado MediaConvert
<a name="default-role"></a>

Si usa ese nombre`MediaConvert_Default_Role`, la MediaConvert consola lo usará de forma predeterminada cuando cree trabajos en el futuro. Esto ocurre independientemente de cómo se cree el rol de servicio de IAM MediaConvert para usarlo.

# Crear el rol de IAM dentro MediaConvert
<a name="creating-the-iam-role-in-mediaconvert-configured"></a>

Al crear el rol AWS Identity and Access Management (IAM) MediaConvert con los permisos configurados, puede restringir el MediaConvert acceso únicamente a buckets específicos de Amazon S3. También puedes elegir si conceder acceso de invocación a tus puntos de conexión de la Amazon API Gateway.

**Para configurar el rol de IAM con los permisos configurados MediaConvert**

1. Abra la página [de trabajos](https://console.aws.amazon.com/mediaconvert/home#/jobs/list) en la MediaConvert consola.

1. Seleccione **Crear tarea**.

1. En **Configuración del tarea**, seleccione **Integración de AWS **.

1. En la sección **Acceso al servicio**, para **Controlar el rol de servicio**, seleccione **Crear un nuevo rol de servicio y configurar los permisos**.

1. Para el **Nombre del nuevo rol**, le sugerimos que mantenga el valor predeterminado **MediaConvert\$1Default\$1Role**. Cuando lo haga, MediaConvert utilizará esta función de forma predeterminada para sus futuros trabajos.

1. Para las **Ubicaciones de entrada S3** y las **Ubicaciones de salida S3**, seleccione **Añadir ubicación**. Seleccione los buckets de Amazon S3 que usará para la ubicación de entrada o salida.

1. (Opcional) Para la **invocación de punto de conexión de Puerta de enlace de API**, si utiliza funciones que lo requieran, seleccione permitir.

   MediaConvert requiere este acceso para las siguientes funciones:
   + Administración de derechos digitales con SPEKE
   + marca de agua no lineal Nielsen

   Para permitir el acceso de MediaConvert invocación únicamente a un punto final específico, modifique estos permisos en la política de roles después de crearla mediante el servicio AWS Identity and Access Management (IAM). Para obtener más información, consulta las [Políticas de IAM de edición](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) en la *AWS Identity and Access Management Guía del usuario de IAM*.

# Crear un rol en la consola de IAM
<a name="creating-the-iam-role-in-iam"></a>

Al trabajar directamente con AWS Identity and Access Management (IAM), puede  realizar acciones que no están disponibles en la MediaConvert consola. Puedes hacerlo al crear tu rol en IAM, o puedes crear tu rol en IAM MediaConvert y luego usarlo para refinarlo más adelante.

En el siguiente procedimiento, se explica cómo crear un rol con la consola de IAM. Para obtener información sobre cómo acceder a IAM mediante programación,  consulta el documento correspondiente en el [conjunto de documentación de IAM](https://docs.aws.amazon.com/iam/).

**Para crear el rol de servicio para MediaConvert (consola de IAM)**

1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.

1. En **Tipo de entidad de confianza**, elija **Servicio de AWS**.

1. Para el **servicio o el caso de uso**, elija y **MediaConvert**, a continuación, elija el caso de **MediaConvert**uso.

1. Elija **Siguiente**.

1. Seleccione la casilla situada junto a la MediaConvert política que creó en el procedimiento anterior.

1. (Opcional) Configure un [límite de permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.

   1. Abra la sección **Configurar límite de permisos** y, a continuación, elija **Utilizar un límite de permisos para controlar los permisos que puedes tener el rol como máximo**.

      IAM incluye una lista de las políticas AWS gestionadas y gestionadas por los clientes de su cuenta.

   1. Seleccione la política que desea utilizar para el límite de permisos.

1. Elija **Siguiente**.

1. Escriba un nombre o sufijo de nombre para el rol, que pueda ayudarle a identificar su finalidad.
**importante**  
Cuando asigne un nombre a un rol, tenga en cuenta lo siguiente:  
Los nombres de los roles deben ser únicos dentro de tu perfil Cuenta de AWS y no se pueden hacer únicos por mayúsculas y minúsculas.  
Por ejemplo, no puedes crear roles denominados tanto **PRODROLE** como **prodrole**. Cuando se utiliza un nombre de rol en una política o como parte de un ARN, el nombre de rol distingue entre mayúsculas y minúsculas, sin embargo, cuando un nombre de rol les aparece a los clientes en la consola, como por ejemplo durante el proceso de inicio de sesión, el nombre de rol no distingue entre mayúsculas y minúsculas.
Dado que otras entidades podrían hacer referencia al rol, no es posible editar el nombre del rol una vez creado.

1. (Opcional) **En Descripción**, ingrese una descripción para el rol.

1. (Opcional) Para editar los casos de uso y los permisos de la función, en las secciones **Paso 1: Seleccionar entidades confiables** o en **Paso 2: Agregar permisos**, elija **Editar**.

1. (Opcional) Para ayudar a identificar, organizar o buscar el rol, agregue etiquetas como pares clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetas para obtener AWS Identity and Access Management recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la Guía del *usuario de IAM*.

1. Revise el rol y, a continuación, elija **Crear rol**.

**nota**  
En **nombre del nuevo rol**, sugerimos que ingrese **MediaConvert\$1Default\$1Role**. Cuando lo haga, MediaConvert utilizará esta función de forma predeterminada para sus futuros trabajos.

# Concesión de permisos para acceder MediaConvert a los buckets cifrados de Amazon S3
<a name="granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets"></a>

Cuando [habilita el cifrado predeterminado de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up), Amazon S3 cifra automáticamente sus objetos a medida que los carga. Si lo desea, puede optar por usar AWS Key Management Service (AWS KMS) para administrar la clave. Esto se denomina cifrado SSE-KMS.

Si habilita el cifrado predeterminado de SSE-KMS en los depósitos que contienen los archivos de AWS Elemental MediaConvert entrada o salida, debe [añadir políticas integradas a su función de servicio de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console). Si no agregas políticas integradas, no MediaConvert podrás leer los archivos de entrada ni escribir los archivos de salida. 

Otorgue estos permisos en los siguientes casos de uso:
+ Si el bucket de entrada tiene cifrado predeterminado SSE-KMS, conceda `kms:Decrypt`.
+ Si el bucket de salida tiene cifrado predeterminado SSE-KMS, conceda `kms:GenerateDataKey`.

La siguiente política de ejemplo concede ambos permisos.

## Ejemplo de política en línea con kms:Decrypt y kms:GenerateDataKey
<a name="example-inline-policy-kms-decrypt-generatedatakey"></a>

Esta política concede permisos tanto para `kms:Decrypt` como para `kms:GenerateDataKey`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}
```

------