翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
管理者以外のロールの作成
アカウントの管理者グループのユーザーは、そのアカウントのすべての AWS サービスとリソースにアクセスできます。すべての AWS リソースへの直接アクセスを許可することは、最小特権のアクセス許可をユーザーに適用するというベストプラクティスに反します。このセクションでは、アクセス許可が AWS Elemental MediaConnect に制限されたロールを作成する方法について説明します。このセクションでは、ユーザーがそのロールを引き受け、安全で一時的な認証情報を付与する方法についても説明します。
ステップ 1: 管理者以外のポリシーを作成する
AWS Elemental MediaConnect 向けに、読み取り/書き込みアクセス権を付与するポリシーと、読み取り専用アクセス権を付与するポリシーの 2 つのポリシーを作成します。ポリシーごとに以下のステップを 1 回のみ実行します。その後、これらのポリシーをロールにアタッチします。その後、ユーザーがこれらのロールを一時的に引き受け、MediaConnect へのアクセスを許可することができます。
ポリシーを作成するには
-
AWS アカウント ID またはアカウントエイリアス、および管理者ユーザーの認証情報を使用して、IAM コンソール
にサインインします。 -
コンソールのナビゲーションペインで、[Policies] (ポリシー) を選択します。
ポリシー ページで、
MediaConnectAllAccessという名前のポリシーを作成します。このポリシーは、AWS Elemental MediaConnect のすべてのリソースに対するすべてのアクションを許可します。-
[Create policy] (ポリシーの作成) を選択します。
-
[JSON] タブを選択し、以下のポリシーを貼り付けます。
このポリシーでは、AWS Elemental MediaConnect のすべてのリソースに対するすべてのアクションを許可します。
-
[Next: Tags (次へ: タグ)] を選択します。
-
[次へ: レビュー] を選択します。
-
確認と作成ページで、ポリシー名に と入力し
MediaConnectAllAccess、ポリシーの作成を選択します。
-
ポリシー ページで、
MediaConnectReadOnlyAccessという名前の AWS Elemental MediaConnect の読み取り専用ポリシーを作成します。-
[Create policy] (ポリシーの作成) を選択します。
-
[JSON] タブを選択し、以下のポリシーを貼り付けます。
-
[Next: Tags] (次へ: タグ) を選択します。
-
[次へ: レビュー] を選択します。
-
確認と作成ページで、ポリシー名に と入力し
MediaConnectReadOnlyAccess、ポリシーの作成を選択します。
-
ステップ 2: 管理者以外のロールを作成する
ユーザーごとに個別のポリシーをアタッチするのではなく、ポリシーごとにロールを作成してユーザーがロールを引き受けることができます。以下の手順を使用して、2 つのロールを作成します。1 つは MediaConnectAllAccess ポリシー用、もう 1 つは MediaConnectReadOnlyAccess ポリシー用です。
ロールを作成するには
-
IAM コンソールのナビゲーションペインで [ロール] を選択します。
ロール ページで、
MediaConnectAllAccessポリシーを使用して管理者ロールを作成します。[ロールの作成] を選択してください。
-
信頼できるエンティティの選択 セクションで、AWS アカウント を選択します。
-
AWS アカウント セクションで、このロールを引き受けるユーザーのアカウントを選択します。
-
第三者がこのロールにアクセスする場合は、外部 ID が必要 を選択するのがベストプラクティスです。外部 ID の詳細については、「IAM ユーザーガイド」の「サードパーティーへのアクセスに外部 ID を使用する」を参照してください。
-
多要素認証 (MFA) を必要とするのがベストプラクティスです。[MFA が必要] の横にあるチェックボックスを選択できます。MFA の詳細については、「IAM ユーザーガイド」の「多要素認証 (MFA)」を参照してください。
-
-
次へ を選択して 権限の追加 セクションに移動します。
-
アクセス権限ポリシー セクションで、「ステップ 3a: ポリシーを作成する」の手順で作成した MediaConnectAllAccess ポリシーを選択します。
-
このグループに正しいポリシーが追加されていることを確認し、次へ を選択します。
-
名前、確認、作成 セクションで、ロールに
MediaConnectAdminsという名前を付けます。(オプション) ロールの説明を追加します。[Create role] (ロールの作成) を選択します。
ロール ページで、
MediaConnectReadOnlyAccessポリシーを使用して管理者ロールを作成します。[ロールの作成] を選択してください。
-
信頼できるエンティティの選択 セクションで、AWS アカウント を選択します。
-
AWS アカウント セクションで、このロールを引き受けるユーザーのアカウントを選択します。
-
第三者がこのロールにアクセスする場合は、外部 ID が必要 を選択するのがベストプラクティスです。外部 ID の詳細については、「IAM ユーザーガイド」の「サードパーティーへのアクセスに外部 ID を使用する」を参照してください。
-
多要素認証 (MFA) を必要とするのがベストプラクティスです。[MFA が必要] の横にあるチェックボックスを選択できます。MFA の詳細については、「IAM ユーザーガイド」の「多要素認証 (MFA)」を参照してください。
-
-
次へ を選択して 権限の追加 セクションに移動します。
-
アクセス権限ポリシー セクションで、ステップ 3a: ポリシーを作成する の手順で作成した MediaConnectReadOnlyAccess ポリシーを選択します。
-
このグループに正しいポリシーが追加されていることを確認し、次へ を選択します。
-
名前、確認、作成 セクションで、ロールに
MediaConnectReadersという名前を付けます。(オプション) ロールの説明を追加します。[Create role] (ロールの作成) を選択します。
ステップ 3: ロールを引き受ける
ポリシーを作成してそのポリシーをロールにアタッチしたら、ユーザーはそのロールを引き受け、MediaConnect への安全で一時的なアクセスを許可する必要があります。
ロールを引き受ける許可をユーザーに付与する方法と、ユーザーがコンソールまたは AWS CLIからロールに切り替える方法については、以下のリソースをご覧ください。
-
ロールを切り替えるアクセス許可をユーザーに付与する: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html
-
ロール (コンソール) の切り替え: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html
-
ロール (AWS CLI) の切り替え: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html
