ステップ 1: 暗号化パスワードをに保存する AWS Secrets Manager ステップ 2る. MediaConnect にシークレットへのアクセスを許可するポリシーを作成するステップ 3. 信頼できる関係を持つロールを作成する

AWS Elemental MediaConnect を使用した SRT パスワード暗号化の設定

暗号化されたソースや SRT パスワード暗号化を使用する出力を含むフローを作成する前に、次の手順を実行する必要があります。

ステップ 1 – SRT パスワードをシークレットとして保存します AWS Secrets Manager。

ステップ 2 — AWS Elemental MediaConnect が AWS Secrets Managerに保存されたシークレットを読み取ることを許可する IAM ポリシーを作成します。

ステップ 3 — IAM ロールを作成し、ステップ 2 で作成したポリシーをアタッチします。次に、AWS Elemental MediaConnect を信頼できるエンティティとして設定します。このエンティティは、このロールを引き受け、アカウントに代わってリクエストを行うことが許可されます。

ステップ 1: 暗号化パスワードをに保存する AWS Secrets Manager

SRT パスワード暗号化を使用して AWS Elemental MediaConnect コンテンツを暗号化するには、 AWS Secrets Manager を使用してパスワードを保存するシークレットを作成する必要があります。シークレットと、同じ AWS アカウントのシークレットを使用するリソース (ソースまたは出力) を作成する必要があります。シークレットはアカウント間で共有できません。

注記

2 つのフローを使用して 1 つの AWS リージョンから別のリージョンにビデオを配信する場合は、2 つのシークレット (各リージョンに 1 つのシークレット) を作成する必要があります。

出力を暗号化するために新しい SRT パスワードを作成する場合は、以下のパスワードポリシーをお勧めします。

パスワードの文字数制限: 10～80 文字
大文字、小文字、数字、! @ # $ % ^ & * ( ) _ + - = [ ] { } | ' 記号のうち、最低 3 つの文字タイプの組み合わせ
AWS アカウント名または E メールアドレスと同じにしない

Secrets Manager にパスワードを保存するには

https://console.aws.amazon.com/secretsmanager/ で AWS Secrets Manager コンソールにサインインします。
[Store a new secret] (新しいシークレットの保存) ページの [Select secret type] (シークレットタイプの選択) で、[Other type of secrets] (他の種類のシークレット) を選択します。
キー/値のペア では、プレーンテキスト を選択します。
ボックス内のテキストをすべて消去し、SRT パスワードの値のみに置き換えます。
暗号化 キーについては、デフォルトの設定を aws/secretsmanager のままにしてください。
[次へ] を選択します。
[シークレット名] には、後で識別しやすいシークレットの名前を指定します。例えば、2018-12-01_baseball-game-source。
[次へ] を選択します。
自動ローテーションの設定 セクションでは､自動ローテーション を解除します｡
[Next] (次へ) を選択してから、[Store] (保存) を選択します。次の画面で、作成したシークレットの名前を選択します。

新しいシークレットの詳細ページが表示され、シークレット ARN などの情報が表示されます。
Secrets Manager のシークレット ARN を書き留めます。この情報は、次の手順で必要になります。

ステップ 2: AWS Elemental MediaConnect にシークレットへのアクセスを許可する IAM ポリシーを作成する

ステップ 1 では、シークレットを作成して AWS Secrets Managerに保存しました。このステップでは、保存したシークレットを読み取ることをAWS Elemental MediaConnect に許可する IAM ポリシーを作成します。

MediaConnect にシークレットへのアクセスを許可する IAM ポリシーを作成するには

IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
IAM コンソールのナビゲーションペインから、[Policies] (ポリシー) を選択します。
ポリシーの作成 を選択し、JSON タブを選択します。

以下のフォーマットを使用するポリシーを入力します。

Resource セクションでは、各行は作成した異なるシークレットの ARN を表しています。前の手順のシークレット ARN を入力します。[Next: Tags (次へ: タグ)] を選択します。

[次へ: レビュー] を選択します。
名前にポリシーの名前を入力します (例: SecretsManagerForMediaConnect)。
[Create policy] (ポリシーの作成) を選択します。

ステップ 3: 信頼できる関係を持つ IAM ロールを作成する

ステップ 2 では、 AWS Secrets Managerに保存したシークレットへの読み取りアクセスを許可する IAM ポリシーを作成しました。この手順では、IAM ロールを作成し、このポリシーをロールに割り当てます。次いで、AWS Elemental MediaConnect を、ロールを引き受け可能な信頼できるエンティティとして定義します。これにより、MediaConnect はシークレットへの読み取りアクセス権を持つことができます。

信頼関係のあるロールを作成するには

IAM コンソールのナビゲーションペインで [ロール] を選択します。
[Role] (ロール) ページで、[Create role] (ロールの作成) を選択します。
[ロールを作成] ページの 信頼されたエンティティのタイプを選択 セクションで、[AWS サービス] (デフォルト)を選択します。
[Choose the service that will use this role] (このロールを使用するサービスを選択) で、[EC2] を選択します。

EC2 を選択する理由は、現在、AWS Elemental MediaConnect はリストに含まれていないためです。EC2 を選択すると、ロールを作成できます。後の手順で、このロールを変更し、EC2 を MediaConnect に置き換えます。
[Next: Permissions] (次のステップ: 許可) を選択します。
[許可ポリシーをアタッチ] には、ステップ 2 で作成したポリシーの名前 (SecretsManagerForMediaConnect など) を入力してください。
SecretsManagerForMediaConnect の場合は、チェックボックスを選択して次へを選択します。
[Role name] (ロール名) に名前を入力します。MediaConnectAccessRole は留保されているため、この名前は使用しないことを強くお勧めします。代わりに、MediaConnect を含み、このロールの目的を説明する名前を使用します (例: MediaConnect-ASM)。
ロールの説明 では、デフォルトのテキストをこのロールの目的を覚えるのに役立つ説明に置き換えます。例: Allows MediaConnect to view secrets stored in AWS Secrets Manager.
[ロールの作成] を選択してください。
ページの上部に表示される確認メッセージで、作成したロール名を選択します。
[信頼関係] を選択し、[信頼ポリシーの編集] を選択してください。

信頼ポリシーの編集 では、ec2.amazonaws.com を mediaconnect.amazonaws.com に変更します。

ポリシードキュメントは次のようになります。

[ポリシーの更新] を選択してください。
[Summary] (概要) ページで、[Role ARN] (ロール ARN) の値をメモします。以下のような形式です：arn:aws:iam::111122223333:role/MediaConnectASM

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

SRT パスワード暗号化のパスワード管理

ネットワーク間のトラフィックのプライバシー