ステップ 3: IAM アクセス許可の設定 - Amazon IVS
IVS のアクセス許可には既存のポリシーを使用してください。オプション: Amazon IVS アクセス許可の新しいポリシーを作成する新しいユーザーを作成し、アクセス許可を付与する既存のユーザーへのアクセス許可を追加する

ステップ 3: IAM アクセス許可の設定

次に、基本的なアクセス許可のセット (Amazon IVS チャネルの作成、ストリーミング情報の取得、S3 への自動記録) が可能になる AWS Identity and Access Management (IAM) ポリシーを作成し、ユーザーにこのポリシーを割り当てます。新しいユーザーの作成時にアクセス許可を追加するか、あるいは既存のユーザーにアクセス許可を追加することができます。両方の手順を以下に示します。

詳細 (IAM ユーザーとポリシーについて、ポリシーをユーザーにアタッチする方法、Amazon IVS を使用してユーザーのアクションを制限する方法など) については、以下を参照してください。

Amazon IVS 用の既存の AWS マネージドポリシーを使用するか、ユーザー、グループ、またはロールのセットに付与する権限をカスタマイズする新しいポリシーを作成できます。両方のアプローチを以下にて説明します。

IVS のアクセス許可には既存のポリシーを使用してください。

ほとんどの場合、Amazon IVS には AWS マネージドポリシーを使用することになります。これらについては、「IVS のセキュリティ」の「IVS 用マネージドポリシー」セクションで詳しく説明されています。

  • IVSReadOnlyAccess AWS マネージドポリシーを使用し、アプリケーションデベロッパーにすべての IVS Get および List API オペレーション (低レイテンシーおよびリアルタイムストリーミングの両方) へのアクセスを許可します。

  • IVSFullAccess AWS マネージドポリシーを使用して、アプリケーションデベロッパーにすべての IVS API オペレーション (低レイテンシーおよびリアルタイムストリーミングの両方) へのアクセスを許可します。

オプション: Amazon IVS アクセス許可の新しいポリシーを作成する

以下の手順に従ってください。

  1. AWS マネジメントコンソールにサインインして、IAM コンソールを開きます。https://console.aws.amazon.com/iam/

  2. ナビゲーションペインで、[ポリシー][ポリシーの作成] の順に選択します。[アクセス許可の指定] ウィンドウが開きます。

  3. [アクセス許可の指定] ウィンドウで、[JSON] タブをクリックし、次の IVS ポリシーをコピーして [ポリシーエディタ] テキスト領域に貼り付けます。(このポリシーにはすべての Amazon IVS アクションが含まれるわけではありません。必要に応じてオペレーションのアクセス許可を追加/削除 (許可/拒否) できます。IVS オペレーションの詳細については「IVS 低レイテンシーストリーミング API リファレンス」を参照してください)

    JSON
    {
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "ivs:CreateChannel",
            "ivs:CreateRecordingConfiguration",
            "ivs:GetChannel",
            "ivs:GetRecordingConfiguration",
            "ivs:GetStream",
            "ivs:GetStreamKey",
            "ivs:GetStreamSession",
            "ivs:ListChannels",
            "ivs:ListRecordingConfigurations",
            "ivs:ListStreamKeys",
            "ivs:ListStreams",
            "ivs:ListStreamSessions"
          ],
          "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudwatch:DescribeAlarms",
            "cloudwatch:GetMetricData",
            "s3:CreateBucket",
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "servicequotas:ListAWSDefaultServiceQuotas",
            "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
            "servicequotas:ListServiceQuotas",
            "servicequotas:ListServices",
            "servicequotas:ListTagsForResource"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": [
            "iam:AttachRolePolicy",
            "iam:CreateServiceLinkedRole",
            "iam:PutRolePolicy"
         ],
         "Resource": 
"arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
      }
   ]
}

  4. [アクセス許可の指定] ウィンドウを開いたまま、[次へ] を選択します (ウィンドウの一番下までスクロールすると表示されます)。[レビューと作成] ウィンドウが開きます。

  5. [レビューと作成] ウィンドウで、ポリシーにポリシー名を入力します。オプションで説明を追加します。ユーザーを作成する時に必要になるので、ポリシーの名前を書きとめておきます (下記を参照してください)。ページの最下部で、[Create policy] (ポリシーの作成) を選択します。

  6. IAM コンソールウィンドウが表示され、新しいポリシーが作成されたことを確認するバナーが表示されます。

新しいユーザーを作成し、アクセス許可を付与する

IAM ユーザーアクセスキー

IAM アクセスキーは、アクセスキー ID とシークレットアクセスキーで構成されます。これは AWS へのプログラムによるリクエストの署名に使用されます。アクセスキーがない場合は、AWS マネジメントコンソールから作成できます。ベストプラクティスとして、ルートユーザーのアクセスキーは作成しないでください。

シークレットアクセスキーを表示またはダウンロードできるのは、アクセスキーを作成するときのみです。後で回復することはできません。ただ、アクセスキーはいつでも新しく作成できます。必要な IAM アクションを実行するためのアクセス許可が必要です。

アクセスキーは、常に安全に保管してください。(例え Amazon からの問い合わせであっても) 第三者と共有しないでください。詳細については、IAM ユーザーガイドの「IAM ユーザーのアクセスキーの管理」を参照してください。

手順

以下の手順に従ってください。

  1. ナビゲーションペインで [ユーザー][ユーザーの作成] の順に選択します。[ユーザーの詳細を指定] ウィンドウが開きます。

  2. [ユーザーの詳細を指定] ウィンドウで次の手順を実行します。

    1. [ユーザーの詳細] で、作成する新しいユーザーの名前を入力します。

    2. [AWS マネジメントコンソールへのユーザーアクセスを提供] を選択します。

    3. プロンプトが表示されたら、[IAM ユーザーを作成します] を選択します。

    4. [コンソールパスワード] で、[自動生成パスワード] を選択します。

    5. [ユーザーは次回サインイン時に新しいパスワードを作成する必要があります] を選択します。

    6. [次へ] を選択します。[アクセス許可の設定] ウィンドウが開きます。

  3. [アクセス許可の設定] で、[ポリシーを直接アタッチする] を選択します。[アクセス許可ポリシー] ウィンドウが開きます。

  4. 検索ボックスに、IVS ポリシー名 (AWS マネージドポリシーまたは以前に作成したカスタムポリシー) を入力します。見つかったら、チェックボックスをオンにして、ポリシーを選択します。

  5. ページの最下部で、[次へ] を選択します。[レビューと作成] ウィンドウが開きます。

  6. [レビューと作成] ウィンドウで、ユーザーのすべての詳細が正しいことを確認してから、ウィンドウ最下部にある [ユーザーの作成] を選択します。

  7. [パスワードの取得] ウィンドウが開き、コンソールサインインの詳細が表示されます。後で参照できるように、この情報を保存しておきます。完了したら、[ユーザーリストに戻る] を選択します。

既存のユーザーへのアクセス許可を追加する

以下の手順に従ってください。

  1. AWS マネジメントコンソールにサインインして、IAM コンソールを開きます。https://console.aws.amazon.com/iam/

  2. ナビゲーションペインで、 [Users (ユーザー) ] を選択し、更新する既存のユーザー名を選択します。(名前をクリックして選択します。選択ボックスはチェックしないでください。)

  3. 概要ページの[アクセス許可] タブで、[アクセス許可の追加] を選択します。[アクセス許可の追加] ウィンドウが開きます。

  4. [既存のポリシーを直接アタッチ] を選択します。[アクセス許可ポリシー] ウィンドウが開きます。

  5. 検索ボックスに、IVS ポリシー名 (AWS マネージドポリシーまたは以前に作成したカスタムポリシー) を入力します。ポリシーが見つかったら、チェックボックスをオンにして、ポリシーを選択します。

  6. ページの最下部で、[次へ] を選択します。[レビュー] ウィンドウが開きます。

  7. [レビュー] ウィンドウの下部にある [アクセス許可の追加] を選択します。

  8. [Summary] (概要) ページで、IVS ポリシーが追加されたことを確認します。