翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# MediaConvert の使用を開始するための前提条件
<a name="setting-up"></a>

MediaConvert の使用を開始する前に AWS アカウント、、Amazon S3 または HTTP/HTTPS サーバーに保存されている少なくとも 1 つの入力ファイル、出力ファイルの Amazon S3 バケット、および正しいアクセス許可を持つ IAM ロールが必要です。

Amazon S3 にファイルをアップロードする方法については、[「Amazon S3 ユーザーガイド」の「オブジェクトのアップロード」](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html)を参照してください。

出力先に対する Amazon S3 バケットの作成の詳細については、[「Amazon S3 ユーザーガイド」の「バケットの作成」](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)を参照してください。

以下のトピックでは、 にサインアップする方法 AWS アカウント と、IAM ロールを設定する方法について説明します。

**Topics**
+ [IAM アクセス許可のセットアップ](iam-role.md)

# IAM アクセス許可のセットアップ
<a name="iam-role"></a>

でトランスコードジョブを実行するには AWS Elemental MediaConvert、MediaConvert にリソースへのアクセスを許可する IAM サービスロールが必要です。リソースには、入力ファイルや出力ファイルの保存場所などがあります。

IAM サービスロールを最初にどのように作成したかにかかわらず、IAM を使用していつでもこのロールを改良することができます。詳細については、* IAM ユーザーガイド*の「[IAM ID アクセス許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)」を参照してください。

IAM サービスロールは、以下のいずれか 1 つの方法で作成できます。
+ MediaConvert コンソールでは、許可する権限にいくつかの制限が設定されています。手順については、「[MediaConvert での IAM ロールの作成](creating-the-iam-role-in-mediaconvert-configured.md)」を参照してください。

  MediaConvert コンソールからロールを設定することにより、MediaConvert が Amazon S3 バケットの一部のみにアクセスできるようになります。API ゲートウェイエンドポイントに呼び出しアクセスを許可するかどうかを選択することもできます。
+ IAM コンソールから。手順については、「[IAM でのロールの作成](creating-the-iam-role-in-iam.md)」を参照してください。

  IAM コンソールで IAM ロールを設定すると、MediaConvert に付与するアクセス権を細かく制御できます。( AWS Command Line Interface AWS CLI) または API または SDK を使用して IAM を使用することもできます。

**注記**  
Amazon S3 バケットで Amazon S3 のデフォルトの暗号化を有効にし、 によって管理される独自のキーを指定した場合は AWS Key Management Service、追加のアクセス許可を付与する必要があります。詳細については、「[MediaConvert が暗号化された Amazon S3 バケットにアクセスするためのアクセス許可の付与](granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets.md)」を参照してください。

## デフォルトの MediaConvert ロールの使用
<a name="default-role"></a>

`MediaConvert_Default_Role` という名前を使用する場合、MediaConvert コンソールは将来ジョブを作成するときにデフォルトでこのロールを使用します。これは MediaConvert で使用するために IAM サービスロールをどのような方法で作成したかに関わらず発生します。

# MediaConvert での IAM ロールの作成
<a name="creating-the-iam-role-in-mediaconvert-configured"></a>

設定されたアクセス許可を使用して MediaConvert で AWS Identity and Access Management (IAM) ロールを作成する場合、MediaConvert へのアクセスを特定の Amazon S3 バケットのみに制限できます。Amazon API Gateway エンドポイントに呼び出しアクセスを付与するか指定することもできます。

**設定された権限を持つ MediaConvert の IAM ロールを設定する方法**

1. MediaConvert コンソールで [[ジョブ]](https://console.aws.amazon.com/mediaconvert/home#/jobs/list) ページを開きます。

1. **[ジョブの作成]** を選択します。

1. **[ジョブ設定]** で、**[AWS 統合]** を選択します。

1. **[Service access]** (サービスアクセス) セクションの **[Service role control]** (サービスロールコントロール) で、**[Create a new service role, configure permissions]** (新しいサービスロールを作成し、アクセス権を設定する) を選択します。

1. **[New role name]**( 新しいロール名) を使用する場合は、デフォルト値を **MediaConvert\$1Default\$1Role** のままにすることをお勧めします。この場合、MediaConvert は将来のジョブに対してデフォルトでこのロールを使用します。

1. **[Input S3 locations]** (入力 S3 ロケーション) および **[Output S3 locations]** (出力 S3 ロケーション) の場合、**[Add location]** (ロケーションの追加) を選択します。入力または出力の場所に使用する Amazon S3 バケットを選択します。

1. (オプション) **[API ゲートウェイのエンポイント呼び出し]** に、これを必要とする機能を使用する場合は、許可を選択します。

   MediaConvert では、次の機能を使用するためにこのアクセス権が必要です。
   + SPEKE によるデジタル著作権管理
   + Nielsen 非線形透かし

   MediaConvert の呼び出しへのアクセスを特定のエンドポイントにのみ許可する場合は、ロールポリシーを作成した後で、 AWS Identity and Access Management IAM サービスを使用してこれらの許可を変更できます。詳細については、[「AWS Identity and Access Management ユーザーガイド」](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)の「Editing IAM policies」(IAM ポリシーの編集) を参照してください。

# IAM コンソールでのロールの作成
<a name="creating-the-iam-role-in-iam"></a>

 AWS Identity and Access Management (IAM) を直接使用すると、MediaConvert コンソールでは利用できないアクションを実行できます。これは、IAM でロールを作成するときに行うか、MediaConvert でロールを作成し、後で IAM を使用してロールを絞り込むことができます。

以下の手順では、IAM コンソールでロールを作成する方法を説明します。IAM をプログラム的にアクセスする方法については、「[IAM ドキュメントセット](https://docs.aws.amazon.com/iam/)」 の該当するドキュメントを参照してください。

**MediaConvert のサービスロールを作成するには (IAM コンソール)**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。

1. IAM コンソールのナビゲーションペインで、**[ロール]**、**[ロールを作成]** を選択します。

1. **信頼できるエンティティタイプ** で、**AWS のサービス** を選択します。

1. **サービスまたはユースケース**では、**MediaConvert** を選択し、**MediaConvert** ユースケースを選択します。

1. [**次へ**] を選択します。

1. 前の手順で作成した MediaConvert ポリシーの横にあるボックスをオンにします。

1. (オプション) [アクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。

   1. **[アクセス許可の境界の設定]** セクションを開き、**[アクセス許可の境界を使用してロールのアクセス許可の上限を設定する]** を選択します。

      IAM には、 アカウントの AWS 管理ポリシーとカスタマー管理ポリシーのリストが含まれます。

   1. アクセス許可の境界として使用するポリシーを選択します。

1. [**次へ**] を選択します。

1. このロールの目的を識別しやすいロール名またはロール名サフィックスを入力します。
**重要**  
ロールに名前を付けるときは、次のことに注意してください。  
ロール名は 内で一意である必要があり AWS アカウント、大文字と小文字を区別することはできません。  
例えば、**PRODROLE** と **prodrole** の両方の名前でロールを作成することはできません。ロール名がポリシーまたは ARN の一部として使用される場合、ロール名は大文字と小文字が区別されます。ただし、サインインプロセスなど、コンソールにロール名がユーザーに表示される場合、ロール名は大文字と小文字が区別されません。
他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。

1. (オプション) **[説明]** にロールの説明を入力します。

1. (オプション) ロールのユースケースとアクセス許可を編集するには、**[ステップ 1: 信頼されたエンティティを選択]** または **[ステップ 2: アクセス権限を追加]** のセクションで **[編集]** を選択します。

1. (オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとしてタグを追加します。IAM でのタグの使用の詳細については、IAM *ユーザーガイド*の[AWS Identity and Access Management 「リソースのタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。

1. ロールを確認したら、**[ロールを作成]** を選択します。

**注記**  
**[新しいロール名]** に「**MediaConvert\$1Default\$1Role**」と入力することをお勧めします この場合、MediaConvert では、今後のジョブでこのロールがデフォルトで使用されます。

# MediaConvert が暗号化された Amazon S3 バケットにアクセスするためのアクセス許可の付与
<a name="granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets"></a>

[Amazon S3 のデフォルトの暗号化を有効](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up)にすると、Amazon S3 はオブジェクトをアップロード時に自動的に暗号化します。オプションで、 AWS Key Management Service (AWS KMS) を使用してキーを管理できます。これは SSE-KMS 暗号化と呼ばれます。

 AWS Elemental MediaConvert 入力ファイルまたは出力ファイルを保持するバケットで SSE-KMS のデフォルト暗号化を有効にする場合は、IAM サービスロールに[インラインポリシーを追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)する必要があります。インラインポリシーを追加しない場合、MediaConvert は入力ファイルを読むことも出力ファイルに書き込むこともできません。

以下のユースケースでこれらのアクセス許可を付与します。
+ 入力バケットに対して SSE-KMS のデフォルトの暗号化が設定されている場合は、`kms:Decrypt` を付与します。
+ 出力バケットに対して SSE-KMS のデフォルトの暗号化が設定されている場合は、`kms:GenerateDataKey` を付与します。

このインラインポリシーの例では、両方のアクセス許可を付与します。

## kms:Decrypt と kms:GenerateDataKey のインラインポリシー例
<a name="example-inline-policy-kms-decrypt-generatedatakey"></a>

このポリシーでは `kms:Decrypt` と `kms:GenerateDataKey` の両方にアクセス許可を付与します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}
```

------