AWS Elemental MediaConnect を使用したスタティックキー暗号化のセットアップ - AWS Elemental MediaConnect
ステップ 1: 暗号化キーを に保存する AWS Secrets Managerステップ 2る. MediaConnect にシークレットへのアクセスを許可するポリシーを作成するステップ 3. 信頼できる関係を持つロールを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Elemental MediaConnect を使用したスタティックキー暗号化のセットアップ

暗号化されたソース、またはスタティックキー暗号化を使用する出力または使用権限を含むフローを作成する前に、次の手順を実行する必要があります。

ステップ 1 — 暗号化キーをシークレットとして AWS Secrets Managerに保存します。

ステップ 2 — AWS Elemental MediaConnect が AWS Secrets Managerに保存されたシークレットを読み取ることを許可する IAM ポリシーを作成します。

ステップ 3 — IAM ロールを作成し、ステップ 2 で作成したポリシーをアタッチします。次に、AWS Elemental MediaConnect を信頼できるエンティティとして設定します。このエンティティは、このロールを引き受け、アカウントに代わってリクエストを行うことが許可されます。

注記

MediaConnect は、使用権限に対して、また Zixi および SRT プロトコルを使用するソースと出力に対しての暗号化のみをサポートします。Secrets Manager に保存されている Zixi プロトコルのキーは、16 進形式の静的キーです。SRT はパスキーを使用して暗号化します。

ステップ 1: 暗号化キーを に保存する AWS Secrets Manager

静的キー暗号化を使用して AWS Elemental MediaConnect コンテンツを暗号化するには、 AWS Secrets Manager を使用して暗号化キーを保存するシークレットを作成する必要があります。シークレットと、同じ AWS アカウントのシークレットを使用するリソース (ソース、出力、または使用権限) を作成する必要があります。シークレットはアカウント間で共有できません。

注記

2 つのフローを使用して 1 つの AWS リージョンから別のリージョンにビデオを配信する場合は、2 つのシークレット (各リージョンに 1 つのシークレット) を作成する必要があります。

Secrets Manager に暗号化キーを保存するには

  1. ソースを管理するエンティティから暗号化キーを取得します。

  2. https://console.aws.amazon.com/secretsmanager/ で AWS Secrets Manager コンソールにサインインします。

  3. [Store a new secret] (新しいシークレットの保存) ページの [Select secret type] (シークレットタイプの選択) で、[Other type of secrets] (他の種類のシークレット) を選択します。

  4. キー/値のペア では、プレーンテキスト を選択します。

  5. ボックス内のテキストをすべて消去し、暗号化キーののみに置き換えます。16 進キーの場合は、キーの長さをチェックして、暗号化タイプに指定された長さと一致することを確認してください。例えば、AES-256 暗号化キーは 64 桁である必要があります。これは、各桁のサイズが 4 ビットであるためです。

  6. [Select the encryption key] (暗号化キーの選択) は、デフォルト設定の [DefaultEncryptionKey] のままにします。

  7. [次へ] を選択します。

  8. [シークレット名] には、後で識別しやすいシークレットの名前を指定します。例えば、2018-12-01_baseball-game-source

  9. [次へ] を選択します。

  10. [Configure automatic rotation] (自動ローテーションの設定) セクションで、[Disable automatic rotation] (自動ローテーションを有効化する) を選択します。

  11. [Next] (次へ) を選択してから、[Store] (保存) を選択します。

    新しいシークレットの詳細ページが表示され、シークレット ARN などの情報が表示されます。

  12. Secrets Manager のシークレット ARN を書き留めます。この情報は、次の手順で必要になります。

ステップ 2: AWS Elemental MediaConnect にシークレットへのアクセスを許可する IAM ポリシーを作成する

ステップ 1 では、シークレットを作成して AWS Secrets Managerに保存しました。このステップでは、保存したシークレットを読み取ることをAWS Elemental MediaConnect に許可する IAM ポリシーを作成します。

MediaConnect にシークレットへのアクセスを許可する IAM ポリシーを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインから、[Policies] (ポリシー) を選択します。

  3. ポリシーの作成 を選択し、JSON タブを選択します。

  4. 以下のフォーマットを使用するポリシーを入力します。

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret",
        "secretsmanager:ListSecretVersionIds"
      ],
      "Resource": [
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
      ]
    }
  ]
}

    Resource セクションでは、各行は作成した異なるシークレットの ARN を表しています。その他の例については、「Secrets Manager で MediaConnect 暗号化キーにアクセスするためのポリシー例」を参照してください。

  5. [ポリシーの確認] を選択します。

  6. 名前 にポリシーの名前を入力します (例: SecretsManagerForMediaConnect)。

  7. [Create policy] (ポリシーの作成) を選択します。

ステップ 3: 信頼できる関係を持つ IAM ロールを作成する

ステップ 2 では、 AWS Secrets Managerに保存したシークレットへの読み取りアクセスを許可する IAM ポリシーを作成しました。この手順では、IAM ロールを作成し、このポリシーをロールに割り当てます。次いで、AWS Elemental MediaConnect を、ロールを引き受け可能な信頼できるエンティティとして定義します。これにより、MediaConnect はシークレットへの読み取りアクセス権を持つことができます。

信頼関係のあるロールを作成するには

  1. IAM コンソールのナビゲーションペインで [ロール] を選択します。

  2. [Role] (ロール) ページで、[Create role] (ロールの作成) を選択します。

  3. [ロールを作成] ページの 信頼されたエンティティのタイプを選択 セクションで、[AWS サービス] (デフォルト)を選択します 。

  4. [Choose the service that will use this role] (このロールを使用するサービスを選択) で、[EC2] を選択します。

    EC2 を選択する理由は、現在、AWS Elemental MediaConnect はリストに含まれていないためです。EC2 を選択すると、ロールを作成できます。後の手順で、このロールを変更し、EC2 を MediaConnect に置き換えます。

  5. [Next: Permissions] (次のステップ: 許可) を選択します。

  6. [許可ポリシーをアタッチ] には、ステップ 2 で作成したポリシーの名前 (SecretsManagerForMediaConnect など) を入力してください。

  7. SecretsManagerReadWrite の場合は、チェックボックスをオンにして、次へ: レビュー を選択します。

  8. [Role name] (ロール名) に名前を入力します。MediaConnectAccessRole は留保されているため、この名前は使用しないことを強くお勧めします。代わりに、MediaConnect を含み、このロールの目的を説明する名前を使用します (例: MediaConnect-ASM)。

  9. ロールの説明 では、デフォルトのテキストをこのロールの目的を覚えるのに役立つ説明に置き換えます。例: Allows MediaConnect to view secrets stored in AWS Secrets Manager.

  10. [ロールの作成] を選択してください。

  11. ページの上部に表示される確認メッセージで、作成したロール名を選択します。

  12. [信頼関係] を選択し、[信頼ポリシーの編集] を選択してください。

  13. [信頼ポリシーの編集] ウィンドウで、JSON を次のように変更します。

    • [サービス] で、ec2.amazonaws.com.rproxy.govskope.camediaconnect.amazonaws.com に変更します。

    • セキュリティを強化するには、信頼ポリシーに特定の条件を定義します。これにより、MediaConnect はアカウント内のリソースのみを使用するように制限されます。これを行うには、[アカウント ID][フロー ARN]、またはその両方などのグローバル条件を使用します。以下の信頼ポリシーの例を参照してください。グローバル条件によるセキュリティ上の利点の詳細については、「サービス間での混乱した代理問題の防止」を参照してください。

      注記

      次の例では、[アカウント ID][フロー ARN] 条件の両方を使用しています。両方の条件を使用しないと、ポリシーの見え方が変わります。フローの完全な ARN が不明な場合や、複数のフローを指定する場合には、グローバルコンテキスト条件キー aws:SourceArn で、ARN の未知部分を示すためにワイルドカード文字 (*) を使用します。例えば、arn:aws:mediaconnect:*:111122223333:*

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediaconnect.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:*:flow-name"
                }
            }
        }
    ]
}

  14. [Update Trust Policy] (信頼ポリシーの更新) を選択します。

  15. [Summary] (概要) ページで、[Role ARN] (ロール ARN) の値をメモします。以下のような形式です:arn:aws:iam::111122223333:role/MediaConnectASM