翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Elemental MediaConnect でのアイデンティティ管理とアクセス管理
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、認証を受ける(サインインする) ことができ、MediaPackage リソースの使用が承認(アクセス許可を付与) されるユーザーをコントロールします。IAM は、追加料金なしで使用できる AWS のサービス です。
## 対象者
AWS Identity and Access Management (IAM) の使用方法は、MediaConnect で行う作業によって異なります。
**サービスユーザー**: MediaConnect サービスを使用してジョブを実行するユーザーには、管理者が必要なアクセス許可と認証情報を提供します。作業を実行するために、さらに多くの MediaConnect の機能を使用する場合には、追加の許可が必要になることがあります。アクセスの管理方法を理解すると、管理者に適切なアクセス許可をリクエストするのに役に立ちます。MediaConnect の機能にアクセスできない場合は、「[Elemental MediaConnect AWS のアイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照してください。
**サービス管理者**: 企業内で MediaConnect リソースの管理を担当している方には、通常、MediaConnect への完全なアクセス権限が付与されます。どの従業員が MediaConnect のどの機能やリソースにアクセスできるかを決定するのは、管理担当者の役割です。その後、IAM 管理者にリクエストを送信して、サービスユーザーの権限を変更する必要があります。このページの情報を点検して、IAM の基本概念を理解してください。企業が MediaConnect で IAM を利用する方法については、「[Elemental MediaConnect AWS と IAM の連携方法](security_iam_service-with-iam.md)」を参照してください。
**IAM 管理者**: IAM 管理者の場合は、MediaConnect へのアクセスを管理するポリシーの作成方法について、詳細に把握しておきます。IAM で使用できる MediaConnect のID ベースのポリシーの例を確認するには、「[AWS Elemental MediaConnect アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。として、IAM ユーザーとして AWS アカウントのルートユーザー、または IAM ロールを引き受けることによって、*認証* ( にサインイン AWS) される必要があります。
ID ソースを介して提供された認証情報を使用して、フェデレーティッド ID AWS として にサインインできます。 AWS IAM アイデンティティセンター (IAM Identity Center) ユーザー、会社のシングルサインオン認証、Google または Facebook 認証情報は、フェデレーション ID の例です。フェデレーティッド ID としてサインインする場合、IAM ロールを使用して、前もって管理者により ID フェデレーションが設定されています。フェデレーション AWS を使用して にアクセスすると、間接的にロールを引き受けることになります。
ユーザーの種類に応じて、 AWS マネジメントコンソール または AWS アクセスポータルにサインインできます。へのサインインの詳細については AWS、「 *AWS サインイン ユーザーガイド*[」の「 へのサインイン AWS アカウント](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)方法」を参照してください。
AWS プログラムで にアクセスする場合、 はソフトウェア開発キット (SDK) とコマンドラインインターフェイス (CLI) AWS を提供し、認証情報を使用してリクエストを暗号化して署名します。 AWS ツールを使用しない場合は、自分でリクエストに署名する必要があります。リクエストに自分で署名する推奨方法の使用については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
使用する認証方法を問わず、追加セキュリティ情報の提供をリクエストされる場合もあります。たとえば、 では、アカウントのセキュリティを高めるために多要素認証 (MFA) を使用する AWS ことをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[多要素認証](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html)」および「*IAM ユーザーガイド*」の「[IAM のAWS 多要素認証](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、アカウント内のすべての およびリソースへの AWS のサービス 完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。この ID は AWS アカウント *ルートユーザー*と呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることでアクセスできます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザーは](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*、単一のユーザーまたはアプリケーションに対して特定のアクセス許可 AWS アカウント を持つ 内の ID です。可能であれば、パスワードやアクセスキーなどの長期的な認証情報を保有する IAM ユーザーを作成する代わりに、一時的な認証情報を使用することをお勧めします。ただし、IAM ユーザーでの長期的な認証情報が必要な特定のユースケースがある場合は、アクセスキーをローテーションすることをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[長期的な認証情報を必要とするユースケースのためにアクセスキーを定期的にローテーションする](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)」を参照してください。
[IAM グループ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集団を指定するアイデンティティです。グループとしてサインインすることはできません。グループを使用して、複数のユーザーに対して一度に権限を指定できます。多数のユーザーグループがある場合、グループを使用することで権限の管理が容易になります。例えば、*IAMAdmins* という名前のグループを設定して、そのグループに IAM リソースを管理する許可を与えることができます。
ユーザーは、ロールとは異なります。ユーザーは 1 人の人または 1 つのアプリケーションに一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。ユーザーには永続的な長期の認証情報がありますが、ロールでは一時認証情報が提供されます。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可 AWS アカウント を持つ 内の ID です。これは IAM ユーザーに似ていますが、特定のユーザーには関連付けられていません。で IAM ロールを一時的に引き受けるには AWS マネジメントコンソール、[ユーザーから IAM ロール (コンソール) に切り替える](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)ことができます。ロールを引き受けるには、 または AWS API オペレーションを AWS CLI 呼び出すか、カスタム URL を使用します。ロールを使用する方法の詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールと一時的な認証情報は、次の状況で役立ちます:
+ **フェデレーションユーザーアクセス** – フェデレーティッド ID に許可を割り当てるには、ロールを作成してそのロールの許可を定義します。フェデレーティッド ID が認証されると、その ID はロールに関連付けられ、ロールで定義されている許可が付与されます。フェデレーションのロールについては、「*IAM ユーザーガイド*」の「[サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)」を参照してください。IAM Identity Center を使用する場合は、許可セットを設定します。アイデンティティが認証後にアクセスできるものを制御するため、IAM Identity Center は、権限セットを IAM のロールに関連付けます。アクセス許可セットの詳細については、「*AWS IAM アイデンティティセンター User Guide*」の「[Permission sets](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)」を参照してください。
+ **一時的な IAM ユーザー権限** - IAM ユーザーまたはロールは、特定のタスクに対して複数の異なる権限を一時的に IAM ロールで引き受けることができます。
+ **クロスアカウントアクセス** - IAM ロールを使用して、自分のアカウントのリソースにアクセスすることを、別のアカウントの人物 (信頼済みプリンシパル) に許可できます。クロスアカウントアクセス権を付与する主な方法は、ロールを使用することです。ただし、一部の では AWS のサービス、 (プロキシとしてロールを使用する代わりに) リソースに直接ポリシーをアタッチできます。クロスアカウントアクセスにおけるロールとリソースベースのポリシーの違いについては、「*IAM ユーザーガイド*」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。
+ **クロスサービスアクセス** — 一部の は他の の機能 AWS のサービス を使用します AWS のサービス。例えば、あるサービスで呼び出しを行うと、通常そのサービスによって Amazon EC2 でアプリケーションが実行されたり、Amazon S3 にオブジェクトが保存されたりします。サービスでは、呼び出し元プリンシパルの許可、サービスロール、またはサービスリンクロールを使用してこれを行う場合があります。
+ **転送アクセスセッション (FAS)** – IAM ユーザーまたはロールを使用してアクションを実行すると AWS、プリンシパルと見なされます。一部のサービスを使用する際に、アクションを実行することで、別のサービスの別のアクションがトリガーされることがあります。FAS は、 を呼び出すプリンシパルのアクセス許可を AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする と組み合わせて使用します。FAS リクエストは、サービスが他の AWS のサービス またはリソースとのやり取りを完了する必要があるリクエストを受け取った場合にのみ行われます。この場合、両方のアクションを実行するためのアクセス許可が必要です。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
+ **サービスロール** - サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除することができます。詳細については、「*IAM ユーザーガイド*」の「[AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。
+ **サービスにリンクされたロール** – サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
+ **Amazon EC2 で実行されているアプリケーション** – IAM ロールを使用して、EC2 インスタンスで実行され、 AWS CLI または AWS API リクエストを行うアプリケーションの一時的な認証情報を管理できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。EC2 インスタンスに AWS ロールを割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時的な認証情報を取得できます。詳細については、「*IAM ユーザーガイド*」の「[Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用して許可を付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)」を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは AWS 、アイデンティティまたはリソースに関連付けられているときにアクセス許可を定義する のオブジェクトです。 は、プリンシパル (ユーザー、ルートユーザー、またはロールセッション) がリクエストを行うときに、これらのポリシー AWS を評価します。ポリシーでの権限により、リクエストが許可されるか拒否されるかが決まります。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの構造と内容の詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
デフォルトでは、ユーザーやロールに権限はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。その後、管理者はロールに IAM ポリシーを追加し、ユーザーはロールを引き受けることができます。
IAM ポリシーは、オペレーションの実行方法を問わず、アクションの許可を定義します。例えば、`iam:GetRole` アクションを許可するポリシーがあるとします。そのポリシーを持つユーザーは、 AWS マネジメントコンソール、、 AWS CLIまたは AWS API からロール情報を取得できます。
### アイデンティティベースのポリシー
アイデンティティベースポリシーは、IAM ユーザーグループ、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
アイデンティティベースのポリシーは、さらに*インラインポリシー*または*マネージドポリシー*に分類できます。インラインポリシーは、単一のユーザー、グループ、またはロールに直接埋め込まれています。管理ポリシーは、 内の複数のユーザー、グループ、ロールにアタッチできるスタンドアロンポリシーです AWS アカウント。管理ポリシーには、 AWS 管理ポリシーとカスタマー管理ポリシーが含まれます。マネージドポリシーまたはインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### その他のポリシータイプ
AWS は、一般的でない追加のポリシータイプをサポートしています。これらのポリシータイプでは、より一般的なポリシータイプで付与された最大の権限を設定できます。
+ **アクセス許可の境界** - アクセス許可の境界は、アイデンティティベースポリシーによって IAM エンティティ (IAM ユーザーまたはロール) に付与できる権限の上限を設定する高度な機能です。エンティティにアクセス許可の境界を設定できます。結果として得られる権限は、エンティティのアイデンティティベースポリシーとそのアクセス許可の境界の共通部分になります。`Principal` フィールドでユーザーまたはロールを指定するリソースベースのポリシーでは、アクセス許可の境界は制限されません。これらのポリシーのいずれかを明示的に拒否した場合、権限は無効になります。アクセス許可の境界の詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCPs)** – SCPsは、 の組織または組織単位 (OU) の最大アクセス許可を指定する JSON ポリシーです AWS Organizations。 AWS Organizations は、ビジネスが所有する複数の をグループ化して一元管理するためのサービス AWS アカウント です。組織内のすべての機能を有効にすると、サービスコントロールポリシー (SCP) を一部またはすべてのアカウントに適用できます。SCP は、各 を含むメンバーアカウントのエンティティのアクセス許可を制限します AWS アカウントのルートユーザー。Organizations と SCP の詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – RCP は、所有する各リソースにアタッチされた IAM ポリシーを更新することなく、アカウント内のリソースに利用可能な最大数のアクセス許可を設定するために使用できる JSON ポリシーです。RCP は、メンバーアカウントのリソースのアクセス許可を制限し、組織に属しているかどうかにかかわらず AWS アカウントのルートユーザー、 を含む ID の有効なアクセス許可に影響を与える可能性があります。RCP をサポートする のリストを含む Organizations と RCP の詳細については、*AWS Organizations *RCPs[「リソースコントロールポリシー (RCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。 AWS のサービス
+ **セッションポリシー** - セッションポリシーは、ロールまたはフェデレーションユーザーの一時的なセッションをプログラムで作成する際にパラメータとして渡す高度なポリシーです。結果としてセッションの権限は、ユーザーまたはロールのアイデンティティベースポリシーとセッションポリシーの共通部分になります。また、リソースベースのポリシーから権限が派生する場合もあります。これらのポリシーのいずれかを明示的に拒否した場合、権限は無効になります。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成される権限を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
## 詳細はこちら
MediaConnect 用 Identity and Access Management の詳細については、以下のページに進んでください。
+ [MediaConnect と IAM の連携方法](security_iam_service-with-iam.md)
+ [アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [リソースベースのポリシーの例](security_iam_resource-based-policy-examples.md)
+ [のシークレットのポリシー例 AWS Secrets Manager](iam-policy-examples-asm-secrets.md)
+ [トラブルシューティング](security_iam_troubleshoot.md)
# Elemental MediaConnect AWS と IAM の連携方法
MediaConnect へのアクセスを管理するために IAM を使用する前に、MediaConnect でどの IAM 機能が使用できるかを理解しておく必要があります。MediaConnect およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [MediaConnect での ID ベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [MediaConnect リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [MediaConnect タグに基づく認可](#security_iam_service-with-iam-tags)
+ [MediaConnect IAM ロール](#security_iam_service-with-iam-roles)
## MediaConnect での ID ベースのポリシー
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。MediaConnect は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連付けられた AWS API オペレーションと同じです。一致する API オペレーションのない*許可のみのアクション*など、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは*依存アクション*と呼ばれます。
このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
MediaConnect のポリシーアクションでは、アクションの前にプレフィックス `mediaconnect:` が使用されます。例えば、MediaConnect `ListEntitlements` API オペレーションを使用して使用権限のリストを表示する許可を付与するには、そのポリシーに `mediaconnect:ListEntitlements` アクションを含めます。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。MediaConnect は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"mediaconnect:action1",
"mediaconnect:action2"
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`List` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "mediaconnect:List*"
```
MediaConnect アクションのリストを確認するには、*IAM* [ユーザーガイド AWS の「Elemental MediaConnect で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awselementalmediaconnect.html#awselementalmediaconnect-actions-as-permissions)」を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ステートメントには`Resource` または `NotResource` 要素を含める必要があります。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。これは、*リソースレベルの許可*と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。
オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
MediaConnect には次の ARN があります。
```
arn:${Partition}:mediaconnect:${Region}:${Account}:entitlement:${resourceID}:${resourceName}
arn:${Partition}:mediaconnect:${Region}:${Account}:flow:${resourceID}:${resourceName}
arn:${Partition}:mediaconnect:${Region}:${Account}:output:${resourceID}:${resourceName}
arn:${Partition}:mediaconnect:${Region}:${Account}:source:${resourceID}:${resourceName}
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
例えば、ステートメントで `1-23aBC45dEF67hiJ8-12AbC34DE5fG` フローを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:mediaconnect:us-east-1:111122223333:flow:1-23aBC45dEF67hiJ8-12AbC34DE5fG:BasketballGame"
```
特定のアカウントに属するすべてのフローを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:mediaconnect:us-east-1:111122223333:flow:*"
```
特定のリソースでは、リソースの作成など一部の MediaConnect アクションを実行できません。このような場合はワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
MediaConnect API アクションの多くが複数のリソースと関連します。例えば、`RemoveFlowOutput` は特定のフローの出力を削除するため、IAM ユーザーはフローおよび出力のアクセス許可が必要です。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
MediaConnect リソースタイプとその ARNs[「Elemental MediaConnect で定義されるリソース AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#list_awselementalmediaconnect.html#awselementalmediaconnect-resources-for-iam-policies)」を参照してください。 **各リソースの ARN を指定できるアクションについては、[AWS 「Elemental MediaConnect で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awselementalmediaconnect.html#awselementalmediaconnect-actions-as-permissions)」を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Condition` 要素 (または `Condition` *ブロック*) を使用すると、ステートメントが有効な条件を指定できます。`Condition` 要素はオプションです。イコールや未満などの [条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。
1 つのステートメントに複数の `Condition` 要素を指定する場合、または 1 つの `Condition` 要素に複数のキーを指定する場合、 AWS では `AND` 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理`OR`オペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。詳細については、「*IAM ユーザーガイド*」の「[IAM ポリシーの要素: 変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。
AWS は、グローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
### 例
MediaConnect アイデンティティベースのポリシーの例については、[AWS Elemental MediaConnect アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md) を参照してください。
## MediaConnect リソースベースのポリシー
AWS Elemental MediaConnect はリソースベースのポリシーをサポートしていません。
## MediaConnect タグに基づく認可
AWS Elemental MediaConnect は、リソースのタグ付けやタグに基づくアクセスの制御をサポートしていません。
## MediaConnect IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### MediaConnect での一時認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
MediaConnect は、一時認証情報の使用をサポートしています。
### サービスにリンクされた役割
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
MediaConnect は、サービスリンクロールをサポートしていません。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービス役割](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービス役割はIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
MediaConnect はサービスロールをサポートしていません。
# AWS Elemental MediaConnect アイデンティティベースのポリシーの例
デフォルトでは、IAM ユーザーおよびロールには、MediaConnect リソースを作成または変更するためのアクセス許可はありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行する権限をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらの権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチする必要があります。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、ユーザーのアカウントで誰かが MediaConnect リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」または「[ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
+ **最小特権を適用する** – IAM ポリシーで許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、「*IAM ユーザーガイド*」の「[IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
+ **IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM Access Analyzer は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、「*IAM ユーザーガイド*」の「[IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)」を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、「*IAM ユーザーガイド*」の「[MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)」を参照してください。
IAM でのベストプラクティスの詳細については、「*IAM ユーザーガイド*」の「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
## MediaConnect コンソールの使用
AWS Elemental MediaConnect コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 AWS アカウントの MediaConnect リソースの詳細を一覧表示および表示できます。最小限必要な許可よりも厳しく制限されたアイデンティティベースポリシーを作成すると、そのポリシーを添付したエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
これらのエンティティが MediaConnect コンソールを引き続き使用できるようにするには、エンティティに次の AWS 管理ポリシーもアタッチします。詳細については、「**IAM ユーザーガイド」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"mediaconnect:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "mediaconnect.amazonaws.com"
}
}
}
]
}
```
------
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
## ユーザーが自分の許可を表示できるようにする
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS Elemental MediaConnect リソースベースのポリシーの例
AWS Elemental MediaConnect コンソールにアクセスするには、 AWS アカウントの MediaConnect リソースの詳細を一覧表示および表示できる最小限のアクセス許可のセットが必要です。このセクションの IAM ポリシーでは、 AWS Elemental MediaConnectのリソースに対する特定のアクションを許可するポリシーの例を示しています。
## のすべてのリソースへの読み取りアクセスを許可する AWS Elemental MediaConnect
AWS Elemental MediaConnect コンソールにアクセスするには、 AWS アカウントの MediaConnect リソースに対して実行できるアクションを定義するポリシーが必要です。次の IAM ポリシーで、以下のアクセス許可が提供されます。
+ `mediaconnect:List*` と `mediaconnect:Describe*` のアクションのセクションは、 AWS Elemental MediaConnectで作成したすべてのリソースへの読み取り専用アクセスを許可します。
+ `ec2:DescribeAvailabilityZones` アクションのセクションにより、サービスはフローがどのアベイラビリティーゾーンにあるかに関する情報を取得できます。ポリシーのこの部分は必須です。
+ `cloudwatch:GetMetricData` アクションのセクションにより、サービスは Amazon CloudWatch からメトリックスを取得できます。ポリシーのこの部分は必須です。
+ `iam:PassRole` アクションの セクションでは、IAM が AWS Elemental MediaConnect サービスにロールを*渡*して IAM と通信し、サービスに代わってロールを引き受けることを許可します。これで、その後サービスがロールを引き受け、ユーザーに代わってアクションを実行できるようになります。ポリシーのこの部分は必須です。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"mediaconnect:List*",
"mediaconnect:Describe*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAvailabilityZones"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "mediaconnect.amazonaws.com"
}
}
}
]
}
```
------
## すべての AWS Elemental MediaConnect リソースに対するすべてのアクションを許可する
のすべてのユーザーには、 リソースに対する AWS Elemental MediaConnect アクセス許可を定義するポリシー AWS Elemental MediaConnect が必要です。次の IAM ポリシーで、以下のアクセス許可が提供されます。
+ `mediaconnect:*` アクションのセクションにより、 AWS Elemental MediaConnectで作成しするすべてのリソースへのすべてのアクションを許可します。
+ `ec2:DescribeAvailabilityZones` アクションのセクションにより、サービスはフローがどのアベイラビリティーゾーンにあるかに関する情報を取得できます。ポリシーのこの部分は必須です。
+ `cloudwatch:GetMetricData` アクションのセクションにより、サービスは Amazon CloudWatch からメトリックスを取得できます。ポリシーのこの部分は必須です。
+ `iam:PassRole` アクションの セクションでは、IAM が AWS Elemental MediaConnect サービスにロールを*渡*して IAM と通信し、サービスに代わってロールを引き受けることを許可します。これで、その後サービスがロールを引き受け、ユーザーに代わってアクションを実行できるようになります。ポリシーのこの部分は必須です。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"mediaconnect:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAvailabilityZones"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "mediaconnect.amazonaws.com"
}
}
}
]
}
```
------
## AWS Elemental MediaConnect に VPC 内のネットワークインターフェイスの作成と管理を許可する
この IAM ポリシーの例では、AWS Elemental MediaConnect がVPC 内にネットワークインターフェイスを作成および管理して、コンテンツが VPC から MediaConnect に流れることができるようにします。VPC をフローに接続する場合は、このポリシーを設定する必要があります。
+ `ec2:` アクションのセクションでは、MediaConnect が VPC 内のネットワークインターフェイスを作成、読み取り、更新、削除することができます。ポリシーのこの部分は必須です。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# Secrets Manager で MediaConnect 暗号化キーにアクセスするためのポリシー例
シークレットとして保存されている暗号化キー AWS Elemental MediaConnect の読み取りを に許可する IAM ポリシーを作成できます AWS Secrets Manager。
MediaConnect を使用して静的キー暗号化を設定するときは、 MediaConnect[MediaConnect に割り当てる IAM ポリシーを作成します](encryption-static-key-set-up.md#encryption-static-key-set-up-create-iam-policy)。このポリシーにより、MediaConnect は Secrets Manager に保存したシークレットを読み取ることができます。このポリシーの設定はお客様の判断次第です。ポリシーは、最も制限の厳しい (特定のシークレットのみへのアクセスを許可する) から、最も制限の低い ( を使用して作成するシークレットへのアクセスを許可する) まで多岐にわたります AWS アカウント。ベストプラクティスとして、最も制限の厳しいポリシーを使用することをお勧めします。ただし、次の例は、さまざまな制限レベルでポリシーを設定する方法を示しています。MediaConnect はシークレットへの読み取りアクセスのみを必要とするため、すべての例に、保存する値の読み取りに必要なアクションのみが表示されます。
**注記**
Secrets Manager の次の IAM ポリシーの例はさまざまな に広く適用できますが AWS のサービス、このページでは MediaConnect のコンテキストでの使用を具体的に示しています。Secrets Manager の詳細については、 [AWS Secrets Manager ドキュメント](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)を参照してください。
**Topics**
+ [Secrets Manager で特定のシークレットへの読み取りアクセスを許可する](#iam-policy-examples-asm-specific-secrets)
+ [Secrets Manager AWS リージョン の特定の で作成されたすべてのシークレットへの読み取りアクセスを許可する](#iam-policy-examples-asm-secrets-in-a-region)
+ [Secrets Manager のすべてのリソースへの読み取りアクセスを許可する](#iam-policy-examples-asm-secrets-all)
## Secrets Manager で特定のシークレットへの読み取りアクセスを許可する
次の IAM ポリシーの例では、Secrets Manager で作成した特定のリソース (シークレット) への読み取りアクセスを許可します。
ARNs の*プレースホルダーテキスト*を独自の情報に置き換えます。ARNs は、MediaConnect で使用する暗号化キーを保存するシークレットを表す必要があります。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:us-west-2:111122223333:secret:aes128-1a2b3c",
"arn:aws:secretsmanager:us-west-2:111122223333:secret:aes192-4D5e6F",
"arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
]
},
{
"Effect": "Allow",
"Action": "secretsmanager:ListSecrets",
"Resource": "*"
}
]
}
```
------
## Secrets Manager AWS リージョン の特定の で作成されたすべてのシークレットへの読み取りアクセスを許可する
次の IAM ポリシーは、MediaConnect に使用される暗号化キーを含め、Secrets Manager AWS リージョン の特定の で作成したすべてのシークレットへの読み取りアクセスを許可します。このポリシーは、すでに作成したリソースと、指定したリージョンで将来作成するすべてのリソースに適用されます。これは、同じリージョン内で複数の暗号化された MediaConnect フローを管理する場合に役立ちます。
ARNs の*プレースホルダーテキスト*を独自の情報に置き換えます。リージョンとアカウント ID は、シークレットの保存場所を表す必要があります。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:*"
},
{
"Effect": "Allow",
"Action": "secretsmanager:ListSecrets",
"Resource": "*"
}
]
}
```
------
## Secrets Manager のすべてのリソースへの読み取りアクセスを許可する
次の IAM ポリシーは、MediaConnect に使用される暗号化キーを含め、Secrets Manager で作成するすべてのリソースへの読み取りアクセスを許可します。このポリシーは、既に作成したリソースと、今後作成するすべてのリソースに適用されます。この広範なアクセスは、複数のリージョンで暗号化された MediaConnect フローを管理するときに必要になる場合があります。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds",
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
]
}
]
}
```
------
MediaConnect フローの暗号化の設定の詳細については、このガイドの[「データ保護](https://docs.aws.amazon.com/mediaconnect/latest/ug/data-protection.html)」を参照してください。Secrets Manager の使用に関する一般的な情報については、[AWS Secrets Manager 「 ユーザーガイド](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)」を参照してください。
# AWS AWS Elemental MediaConnect の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: AWSElementalMediaConnectReadOnlyAccess
ユーザー、グループおよびロールに `AWSElementalMediaConnectReadOnlyAccess` をアタッチできます。
このポリシーは、ユーザーが MediaConnect ですべてのリソースを表示できるようにする読み取り専用アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `mediaconnect:ListBridges` – プリンシパルが MediaConnect でブリッジのリストを表示できるようにします。これは、アカウントで使用可能なすべてのブリッジリソースを表示するために必要です。
+ `mediaconnect:ListEntitlements` – プリンシパルが MediaConnect でエンタイトルメントのリストを表示できるようにします。これは、トランスポートストリームフローにアクセス AWS アカウント するために他の に付与されたすべてのアクセス許可を表示できるようにするために必要です。
+ `mediaconnect:ListFlows` – プリンシパルが MediaConnect でフローのリストを表示できるようにします。これは、アカウントで使用可能なすべてのフローリソースを表示するために必要です。
+ `mediaconnect:ListGatewayInstances` – プリンシパルが MediaConnect でゲートウェイインスタンスのリストを表示できるようにします。これは、アカウントで実行中のすべてのゲートウェイコンピューティングリソースを表示するために必要です。
+ `mediaconnect:ListGateways` – プリンシパルが MediaConnect でゲートウェイのリストを表示できるようにします。これは、アカウントで使用可能なすべてのゲートウェイリソースを表示するために必要です。
+ `mediaconnect:ListOfferings` – プリンシパルが MediaConnect でサービス提供のリストを表示できるようにします。これは、コミットメントを必要とする利用可能な帯域幅割引オプションを表示するために必要です。表示されるサービスは、 によって異なります AWS リージョン。
+ `mediaconnect:ListReservations` – プリンシパルが MediaConnect で予約のリストを表示できるようにします。これは、アクティブな帯域幅コミットメントと関連する割引を確認できるようにするために必要です。
+ `mediaconnect:DescribeBridge` – プリンシパルが MediaConnect で特定のブリッジに関する詳細情報を表示できるようにします。これは、ブリッジの設定とステータスを検査するために必要です。
+ `mediaconnect:DescribeFlow` – プリンシパルが MediaConnect で特定のフローに関する詳細情報を表示できるようにします。これは、フローの設定とステータスを検査するために必要です。
+ `mediaconnect:DescribeFlowSourceMetadata` – プリンシパルが MediaConnect でフローのソースに関するメタデータを表示できるようにします。これは、入力ストリームに関する技術的な詳細を表示するために必要です。
+ `mediaconnect:DescribeFlowSourceThumbnail` – プリンシパルが MediaConnect でフローのソースのサムネイルイメージの詳細を表示できるようにします。これは、ビデオストリームのビジュアルプレビューを表示するために必要です。
+ `mediaconnect:DescribeGateway` – プリンシパルが MediaConnect の特定のゲートウェイに関する詳細情報を表示できるようにします。これは、ゲートウェイの設定とステータスを検査するために必要です。
+ `mediaconnect:DescribeGatewayInstance` – プリンシパルが MediaConnect の特定のゲートウェイインスタンスに関する詳細情報を表示できるようにします。これは、ゲートウェイインスタンスの設定とステータスを検査するために必要です。
+ `mediaconnect:DescribeOffering` – プリンシパルが MediaConnect で特定のサービスに関する詳細情報を表示できるようにします。これは、帯域幅コミットメントオプションと関連する割引料金を表示するために必要です。
+ `mediaconnect:DescribeReservation` – プリンシパルが MediaConnect で特定の予約に関する詳細情報を表示できるようにします。これは、帯域幅コミットメントとそれに関連する割引の詳細を表示するために必要です。
+ `mediaconnect:ListTagsForResource` – プリンシパルが MediaConnect リソースに関連付けられたタグを表示できるようにします。これは、リソースの整理と分類のメタデータを表示するために必要です。
このポリシーのアクセス許可を確認するには、AWS *マネージドポリシーリファレンスの*[AWSElementalMediaConnectReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElementalMediaConnectReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシー: AWSElementalMediaConnectFullAccess
ユーザー、グループおよびロールに `AWSElementalMediaConnectFullAccess` をアタッチできます。
このポリシーは、MediaConnect リソースを作成、読み取り、更新、削除するアクセス許可をユーザーに付与する管理アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `mediaconnect:*` – プリンシパルが MediaConnect ですべてのアクションを実行できるようにします。これは、管理者と他のユーザーが MediaConnect リソースを作成、読み取り、更新、削除し、ビデオトランスポートワークフローのあらゆる側面を管理できるようにするために必要です。ワイルドカード (\$1) アクセス許可には、フローの作成と削除、使用権限と出力の管理、ビデオ転送ワークフローの設定など、考えられるすべての MediaConnect アクションが含まれます。
このポリシーのアクセス許可を確認するには、AWS *マネージドポリシーリファレンスの*[AWSElementalMediaConnectFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElementalMediaConnectFullAccess.html)」を参照してください。
## AWS マネージドポリシー: MediaConnectGatewayInstanceRolePolicy
`MediaConnectGatewayInstanceRolePolicy` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、MediaConnect ゲートウェイインスタンスを MediaConnect ゲートウェイに登録する許可を付与します。このポリシーは、ロールにアタッチされます。ロールを引き受けるエンティティは、ゲートウェイにインスタンスを登録することができます。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `mediaconnect:DiscoverGatewayPollEndpoint` – プリンシパルが指定されたゲートウェイのゲートウェイポーリングエンドポイントを見つけることを許可します。
+ `mediaconnect:PollGateway` – プリンシパルが MediaConnect でゲートウェイを定期的にクエリできるようにします。これは、MediaConnect Gateway インスタンスがゲートウェイサービスから更新、設定、および指示を確認および受信できるようにするために必要です。
+ `mediaconnect:SubmitGatewayStateChange` – プリンシパルが MediaConnect でステータス更新をレポートできるようにします。これは、MediaConnect Gateway インスタンスがゲートウェイサービスに運用状態、ヘルス、および設定ステータスの変更を通知するために必要です。
このポリシーのアクセス許可を確認するには、*AWS マネージドポリシーリファレンス*の[MediaConnectGatewayInstanceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/MediaConnectGatewayInstanceRolePolicy.html)」を参照してください。
## AWS マネージドポリシー: AWS MediaConnectServicePolicy
AWS MediaConnectServicePolicy を IAM エンティティにアタッチすることはできません。このポリシーは、MediaConnect がユーザーに代わってアクションを実行できるようにするサービスリンクロールに関連付けられています。詳細については、「[サービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
このポリシーは、**AWS ServiceRoleForMediaConnect** サービスリンクロールにアタッチされます。このポリシーにより、サービスリンクロールがユーザーに代わって Amazon ECS リソースを管理できるようになります。AWS Elemental MediaConnect Gateway は、AWS Elemental MediaConnect Gateway のオンプレミス実装の基盤として Amazon ECS を使用しており、MediaConnect には、必要に応じて Amazon ECS リソースを作成、更新、削除する機能が必要です。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
**注記**
これらのアクセス許可はすべて、 条件ブロック`MediaConnectGateway`から で始まる名前の ECS クラスターに制限されます。
+ `ecs:UpdateService` – プリンシパルが既存の ECS サービスを変更できるようにします。これは、MediaConnect が ECS で実行されている MediaConnect Gateway コンポーネントのサービス設定を更新できるようにするために必要です。
+ `ecs:DeleteService` – プリンシパルが ECS サービスを削除できるようにします。これは、MediaConnect が不要になったサービスをクリーンアップできるようにするために必要です。
+ `ecs:CreateService` – プリンシパルが新しい ECS サービスを確立できるようにします。これは、MediaConnect が Gateway 実装用の新しいサービスコンポーネントをセットアップできるようにするために必要です。
+ `ecs:DescribeServices` – プリンシパルが ECS サービスの詳細を表示できるようにします。これは、MediaConnect がサービスの状態を監視および管理できるようにするために必要です。
+ `ecs:PutAttributes` – プリンシパルが ECS リソースに属性を追加できるようにします。これは、MediaConnect が必要なメタデータを適用してリソースを設定できるようにするために必要です。
+ `ecs:DeleteAttributes` – プリンシパルが ECS リソースから属性を削除できるようにします。これは、MediaConnect が不要になったメタデータをクリーンアップできるようにするために必要です。
+ `ecs:RunTask` – プリンシパルが ECS で新しいタスクを開始できるようにします。これは、MediaConnect が必要に応じて新しい Gateway コンポーネントを起動できるようにするために必要です。
+ `ecs:ListTasks` – プリンシパルが ECS ですべてのタスクを表示できるようにします。これは、MediaConnect が実行中のタスクをモニタリングおよび管理できるようにするために必要です。
+ `ecs:StartTask` – プリンシパルが ECS で特定のタスクを開始できるようにします。これは、MediaConnect が特定のゲートウェイコンポーネントを起動できるようにするために必要です。
+ `ecs:StopTask` – プリンシパルが ECS で実行中のタスクを終了できるようにします。これは、MediaConnect が必要に応じて Gateway コンポーネントを停止できるようにするために必要です。
+ `ecs:DescribeTasks` – プリンシパルが ECS タスクの詳細を表示できるようにします。これは、MediaConnect が実行中のタスクのステータスをモニタリングできるようにするために必要です。
+ `ecs:DescribeContainerInstances` – プリンシパルが ECS コンテナインスタンスの詳細を表示できるようにします。これは、MediaConnect が Gateway コンポーネントのヘルスとステータスをモニタリングできるようにするために必要です。
+ `ecs:UpdateContainerInstancesState` – プリンシパルがコンテナインスタンスの状態を変更できるようにします。これは、MediaConnect がコンテナインスタンスのライフサイクルを管理できるようにするために必要です。
このポリシーのアクセス許可を確認するには、AWS *マネージドポリシーリファレンスの*[AWSMediaConnectServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMediaConnectServicePolicy.html)」を参照してください。
## AWS 管理ポリシーに対する MediaConnect の更新
このサービスがこれらの変更の追跡を開始してからの MediaConnect の AWS 管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、「[ドキュメントの履歴](doc-history.md)」ページの RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| MediaConnect 管理ポリシー **AWSElementalMediaConnectReadOnlyAccess** が追加されました。 | このポリシーは、MediaConnect リソースへの読み取り専用アクセスを提供します。 | 2025 年 2 月 12 日 |
| MediaConnect 管理ポリシー **AWSElementalMediaConnectFullAccess** が追加されました。 | このポリシーは、MediaConnect リソースへのフルアクセスを提供します。 | 2025 年 2 月 12 日 |
| MediaConnect マネージドポリシー MediaConnectGatewayInstanceRolePolicy が追加されました。 | このポリシーは、MediaConnect ゲートウェイインスタンスを MediaConnect ゲートウェイに登録する許可を付与します。 | 2023 年 4 月 12 日 |
| MediaConnect マネージドポリシー AWSMediaConnectServicePolicy が追加されました。 | このポリシーは、サービスリンクロールによって使用され、MediaConnect で使用される AWS サービスとリソースにアクセスするためのアクセス許可を付与します。 | 2023 年 4 月 12 日 |
| MediaConnect が変更の追跡を開始しました | MediaConnect は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2023 年 4 月 12 日 |
# MediaConnect 向けのサービスリンクロールの使用
AWS Elemental MediaConnect は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、MediaConnect に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは MediaConnect によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスリンクロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、MediaConnect の設定が簡単になります。MediaConnect は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、MediaConnect のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへのアクセス許可が意図せず削除されることが防止されるので、MediaConnect リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」を持つサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[Yes]** (はい) リンクを選択します。
# MediaConnect のサービスリンクロール許可
MediaConnect は、**AWSServiceRoleForMediaConnect** という名前のサービスリンクロールを使用します。これは、MediaConnect によって使用または管理される AWS のサービスとリソースへのアクセスを可能にする、デフォルトのService-Linked Role (サービスリンクロール) です。
サービスリンクロール AWSServiceRoleForECS は、次のサービスを信頼してロールを引き受けます。
+ `MediaConnect`
MediaConnectServiceRolePolicy というロールアクセス許可ポリシーは、MediaConnect に、指定されたリソースで次のアクションを完了することを許可します。
+ アクション: リソース `arn:aws:ecs:*:*:*` での `ecs:CreateCluster, ecs:RegisterTaskDefinition, ecs:DescribeTaskDefinition, ecs:ListAttributes, ecs:UpdateContainerInstancesState, ecs:DeregisterContainerInstance`
+ アクション: リソース `arn:aws:ecs:*:*:cluster/MediaConnect` での `ecs:UpdateCluster, ecs:UpdateClusterSettings, ecs:DescribeClusters`
+ アクション: 条件が `StringLike: {ecs:Cluster: arn:aws:ecs:*:*:cluster/MediaConnect}` であるリソース `ecs:CreateService, ecs:UpdateService, ecs:RunTask, ecs:StartTask, ecs:StopTask, ecs:ExecuteCommand, ecs:PutAttributes, ecs:DeleteAttributes, ecs:DescribeServices, ecs:DescribeTasks, ecs:ListTasks` での `arn:aws:ecs:*:*:*`
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
# MediaConnect のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で関連付けられた MediaConnect リソースを作成すると、MediaConnect によってサービスにリンクされたロールが作成されます。
**重要**
このサービスリンク役割はこの役割でサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。MediaConnect がサービスリンクロールのサポートを開始した 2023 年 3 月 1 日より前にこのサービスを使用していた場合、MediaConnect によってアカウントに AWSServiceRoleForMediaConnect ロールが作成されています。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。関連付けられた MediaConnect リソースを作成すると、MediaConnect によってサービスリンクロールが再び作成されます。
**MediaConnect** ユースケースでサービスリンクロールを作成する場合は、IAM コンソールも使用できます。 AWS CLI または AWS API で、サービス名を使用して`MediaConnect`サービスにリンクされたロールを作成します。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
# MediaConnect でのサービスリンクロールの編集
MediaConnect では、サービスリンクロール AWSServiceRoleForMediaConnect を編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
# MediaConnect のサービスリンクロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
**注記**
リソースの削除を試みた際に、このロールが MediaConnect のサービスで使用されている場合、削除処理が失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
**AWSServiceRoleForMediaConnect が使用している MediaConnect リソースを削除するには**
1. すべてのゲートウェイのブリッジをすべて削除します。
1. すべてのゲートウェイのすべてのインスタンスを登録解除します。
1. すべてのゲートウェイを削除します。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForMediaConnect サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## MediaConnect のサービスリンクロールをサポートするリージョン
MediaConnect は、サービスが利用可能なすべてのリージョンでサービスリンクロールの使用をサポートします。詳細については、「[MediaConnect のリージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/mediaconnect.html#mediaconnect_region)」を参照してください。
# AWS Elemental MediaConnect を信頼されたサービスとしてセットアップする
AWS Identity and Access Management (IAM) を使用して、ユーザーとアプリケーションがアクセスできる AWS リソースを制御できます。これには、AWS Elemental MediaConnect がアカウントに代わって他のサービスと通信できるようにするためのアクセス許可の設定が含まれます。AWS Elemental MediaConnect を信頼できるエンティティとしてセットアップするには、次のステップを実行する必要があります。
**[ステップ 1.](#security-iam-trusted-entity-create-policy)** どのアクションを許可するかを管理する IAM ポリシーを作成します。
**[ステップ 2](#security-iam-trusted-entity-create-role)**: 信頼できる関係を持つ IAM ロールを作成し、前のステップで作成したポリシーをアタッチします。
## ステップ 1: 特定のアクションを許可する IAM ポリシーを作成します
このステップでは、許可するアクションを制御する IAM ポリシーを作成します。
**IAM ポリシーを作成するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで、**ポリシー** を選択してください。
1. **ポリシーの作成** を選択し、**JSON** タブを選択します。
1. JSON 形式を使用するポリシーを入力します。 の例については、次を参照してください。
+ [ VPC に接続するためのポリシーの例](security_iam_resource-based-policy-examples.md#iam-policy-examples-for-mediaconnect-vpc)
+ [のシークレットのポリシー例 AWS Secrets Manager](iam-policy-examples-asm-secrets.md)
1. **[ポリシーの確認]** を選択します。
1. **[名前]** に IAM ポリシーの名前を入力します。
1. [**Create policy**] (ポリシーの作成) を選択します。
## ステップ 2: 信頼できる関係を持つ IAM ロールを作成する
[ステップ 1](#security-iam-trusted-entity-create-policy) では、許可するアクションを管理する IAM ポリシーを作成しました。この手順では、IAM ロールを作成し、このポリシーをロールに割り当てます。次いで、AWS Elemental MediaConnect を、ロールを引き受け可能な信頼できるエンティティとして定義します。
**信頼関係のあるロールを作成するには**
1. IAM コンソールのナビゲーションペインで **[ロール]** を選択します。
1. **[Role]** (ロール) ページで、**[Create role]** (ロールの作成) を選択します。
1. **[ロールを作成]** ページの **信頼されたエンティティのタイプを選択** セクションで、**[AWS サービス]** (デフォルト)を選択します 。
1. **[Choose the service that will use this role]** (このロールを使用するサービスを選択) で、**[EC2]** を選択します。
MediaConnect は現在リストに含まれていないため、EC2 を選択します。EC2 を選択すると、ロールを作成できます。後の手順で、このロールを変更し、EC2 を MediaConnect に置き換えます。
1. **[Next: Permissions]** (次のステップ: 許可) を選択します。
1. **[許可ポリシーをアタッチ]** には、[ステップ 1](#security-iam-trusted-entity-create-policy) で作成したポリシーの名前を入力してください。
1. ポリシー名の横にあるチェックボックスをオンにして、**次へ: タグ**を選択します。
1. (オプション) タグをキーバリューペアとしてアタッチして、メタデータをユーザーに追加します。IAM でのタグの使用の詳細については、*IAM ユーザーガイド*の「[IAM リソースのタグ付け](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。
1. [**Next: Review**] を選択します。
1. **[Role name]** (ロール名) に名前を入力します。名前 `MediaConnectAccessRole` は予約されているため、使用できません。代わりに、`MediaConnect` を含み、このロールの目的を説明する名前を使用します。
1. **ロールの説明**では、デフォルトのテキストをこのロールの目的を覚えるのに役立つ説明に置き換えます。
1. [**ロールの作成**] を選択してください。
1. ページの上部に表示される確認メッセージで、**[ロールを表示]** を選択して作成したロールの名前を選択します。
1. **[信頼関係]** タブを選択し、続いて **[信頼ポリシーの編集]** を選択します。
1. **[信頼ポリシーの編集]** ウィンドウで、JSON を次のように変更します。
+ **[サービス]** で、`ec2.amazonaws.com` を `mediaconnect.amazonaws.com` に変更します。
+ セキュリティを強化するには、信頼ポリシーに特定の条件を定義します。これにより、MediaConnect はアカウント内のリソースのみを使用するように制限されます。これを行うには、**[アカウント ID]**、**[フロー ARN]**、またはその両方などのグローバル条件を使用します。以下の信頼ポリシーの例を参照してください。グローバル条件によるセキュリティ上の利点の詳細については、「[サービス間での混乱した代理問題の防止](cross-service-confused-deputy-prevention.md)」を参照してください。
**注記**
次の例では、**[アカウント ID]** と **[フロー ARN]** 条件の両方を使用しています。両方の条件を使用しないと、ポリシーの見え方が変わります。フローの完全な ARN が不明な場合や、複数のフローを指定する場合には、グローバルコンテキスト条件キー `aws:SourceArn` で、ARN の未知部分を示すためにワイルドカード文字 (`*`) を使用します。例えば、`arn:aws:mediaconnect:*:111122223333:*`。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:*:flow-name"
}
}
}
]
}
```
------
1. [**ポリシーの更新**] を選択してください。
1. **[Summary]** (概要) ページで、**[Role ARN]** (ロール ARN) の値をメモします。以下のような形式です:`arn:aws:iam::111122223333:role/MediaConnectASM`
# サービス間での不分別な代理処理の防止
混乱した代理問題は、アクションを実行するためのアクセス許可を持たないエンティティが、より特権のあるエンティティにアクションの実行を強制できてしまう場合に生じる、セキュリティ上の問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出し対象サービス*) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、 AWS では、アカウントのリソースへのアクセス権が付与されたサービスプリンシパルで、すべてのサービスのデータを保護するために役立つツールを提供しています。
フローの [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) およびリソースポリシー内の [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを使用して、AWS Elemental MediaConnect がそのリソースに対して別のサービスに付与する許可を制限することをお勧めします。クロスサービスのアクセスにリソースを 1 つだけ関連付ける場合は、フローの `aws:SourceArn` を使用します。クロスサービスが使用できるように、アカウント内の任意のリソースを関連付ける場合は、`aws:SourceAccount` を使用します。
混乱した代理問題から保護するための最も効果的な方法は、フローの完全な ARN を指定しながら、`aws:SourceArn` グローバル条件コンテキストキーを使用することです。フローの完全な ARN が不明な場合や、複数のフローを指定する場合には、グローバルコンテキスト条件キー `aws:SourceArn` で、ARN の未知部分を示すためにワイルドカード文字 (`*`) を使用します。例えば、`arn:aws:mediaconnect:*:111122223333:*`。
以下は、混乱した使節の問題を防止するために、MediaConnect で `aws:SourceArn` および `aws:SourceAccount` グローバル条件コンテキストキーを使用する方法の例です。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:1-ABCDEFGHJxyzMNoP-a1234bc12345:flow-name"
}
}
}
]
}
```
------
# Elemental MediaConnect AWS のアイデンティティとアクセスのトラブルシューティング
次の情報は、MediaConnect と IAM の使用時に発生する可能性がある、一般的な問題の診断や修復に役立ちます。
**Topics**
+ [MediaConnect でアクションを実行する権限がない場合](#security_iam_troubleshoot-no-permissions)
+ [自分の AWS アカウント以外のユーザーに MediaConnect リソースへのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## MediaConnect でアクションを実行する権限がない場合
でアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。担当の管理者はお客様のユーザー名とパスワードを発行した人です。
次の例のエラーは、`mateojackson` ユーザーがコンソールを使用してフローの詳細を表示しようとしたが、`mediaconnect:DescribeFlow` 権限を持っていない場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: mediaconnect:DescribeFlow on resource: myExampleFlow
```
この場合、Mateo は、`mediaconnect:DescribeFlow` アクションを使用して `myExampleFlow` リソースへのアクセスが許可されるように、管理者にポリシーの更新を依頼します。
## 自分の AWS アカウント以外のユーザーに MediaConnect リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ MediaConnect がこれらの機能をサポートしているかどうかを確認するには、「[Elemental MediaConnect AWS と IAM の連携方法](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、「*IAM ユーザーガイド*」の「[外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)」を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「*IAM ユーザーガイド*」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。