翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ポリシーと管理者以外のロールの作成
<a name="setting-up-create-non-admin-iam"></a>

デフォルトでは、ユーザーおよびロールには、MediaPackage リソースを作成または変更するためのアクセス権限はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。

これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。

MediaPackage が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「サービス認可リファレンス」の「[AWS Elemental MediaPackageのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediapackage.html)」を参照してください。

このセクションでは、ユーザーが MediaPackage リソースを作成または変更できるように、ポリシーを作成して管理者以外のロールを作成する方法について説明します。このセクションでは、ユーザーがその役割を引き受け、安全な一時認証情報を付与する方法についても説明します。

**Topics**
+ [(オプション) ステップ 1: Amazon CloudFront の IAM ポリシーを作成する](#setting-up-create-non-admin-iam-cf)
+ [(オプション) ステップ 2: MediaPackage VOD の IAM ポリシーを作成する](#setting-up-create-non-admin-iam-vod)
+ [ステップ 3: IAM コンソールでロールを作成する](#setting-up-create-role)
+ [ステップ 4: IAM コンソールまたは からロールを引き受ける AWS CLI](#setting-up-create-nonadmin-roles-assume-role)

## (オプション) ステップ 1: Amazon CloudFront の IAM ポリシーを作成する
<a name="setting-up-create-non-admin-iam-cf"></a>

お客様またはお客様のユーザーが AWS Elemental MediaPackage ライブコンソールから Amazon CloudFront ディストリビューションを作成する場合は、CloudFront へのアクセスを許可する IAM ポリシーを作成します。

MediaPackage での CloudFront の使用についての詳細は、「[CDN の使用](cdns.md)」を参照してください。

**JSON ポリシーエディタでポリシーを作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。

1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。

   初めて **[ポリシー]** を選択する場合には、**[管理ポリシーにようこそ]** ページが表示されます。**今すぐ始める** を選択します。

1. ページの上部で、**[ポリシーを作成]** を選択します。

1. **ポリシーエディタ** セクションで、**JSON** オプションを選択します。

1. 次の JSON ポリシードキュメントを入力します。

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "cloudfront:GetDistribution",
                   "cloudfront:CreateDistributionWithTags",
                   "cloudfront:UpdateDistribution",
                   "cloudfront:CreateDistribution",
                   "cloudfront:TagResource",
                   "tag:GetResources"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

1. **次へ** を選択します。
**注記**  
いつでも **Visual** と **JSON** エディタオプションを切り替えることができます。ただし、**[ビジュアル]** エディタで **[次へ]** に変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、*IAM ユーザーガイド* の [ポリシーの再構成](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) を参照してください。

1. **確認と作成** ページで、作成するポリシーの **ポリシー名** と **説明** (オプション) を入力します。**このポリシーで定義されているアクセス許可** を確認して、ポリシーによって付与されたアクセス許可を確認します。

1. **ポリシーを作成** をクリックして、新しいポリシーを保存します。

## (オプション) ステップ 2: MediaPackage VOD の IAM ポリシーを作成する
<a name="setting-up-create-non-admin-iam-vod"></a>

お客様またはお客様のユーザーが MediaPackage でビデオオンデマンド (VOD) の機能を使用する場合、`mediapackage-vod` サービスのリソースへのアクセスを許可する IAM ポリシーを作成します。

以下のセクションでは、すべてのアクションを許可するポリシーと、読み取り専用権限を付与するポリシーを作成する方法について説明します。ワークフローに合うようにアクションを追加または削除することで、ポリシーをカスタマイズできます。

### VOD へのフルアクセスのポリシー
<a name="non-admin-iam-vod-all"></a>

このポリシーでは、すべての VOD リソースに対するすべてのアクションの実行をユーザーに許可します。

**JSON ポリシーエディタでポリシーを作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。

1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。

   初めて **[ポリシー]** を選択する場合には、**[管理ポリシーにようこそ]** ページが表示されます。**今すぐ始める** を選択します。

1. ページの上部で、**[ポリシーを作成]** を選択します。

1. **ポリシーエディタ** セクションで、**JSON** オプションを選択します。

1. 次の JSON ポリシードキュメントを入力します。

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "mediapackage-vod:*",
               "Resource": "*"
           }
       ]
   }
   ```

1. **次へ** を選択します。
**注記**  
いつでも **Visual** と **JSON** エディタオプションを切り替えることができます。ただし、**[ビジュアル]** エディタで **[次へ]** に変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、*IAM ユーザーガイド* の [ポリシーの再構成](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) を参照してください。

1. **確認と作成** ページで、作成するポリシーの **ポリシー名** と **説明** (オプション) を入力します。**このポリシーで定義されているアクセス許可** を確認して、ポリシーによって付与されたアクセス許可を確認します。

1. **ポリシーを作成** をクリックして、新しいポリシーを保存します。

### 読み取り専用の VOD へのアクセスのポリシー
<a name="non-admin-iam-vod-read"></a>

このポリシーでは、すべての VOD リソースの表示をユーザーに許可します。

**JSON ポリシーエディタでポリシーを作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。

1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。

   初めて **[ポリシー]** を選択する場合には、**[管理ポリシーにようこそ]** ページが表示されます。**今すぐ始める** を選択します。

1. ページの上部で、**[ポリシーを作成]** を選択します。

1. **ポリシーエディタ** セクションで、**JSON** オプションを選択します。

1. 次の JSON ポリシードキュメントを入力します。

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "mediapackage-vod:List*",
                   "mediapackage-vod:Describe*"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

1. **次へ** を選択します。
**注記**  
いつでも **Visual** と **JSON** エディタオプションを切り替えることができます。ただし、**[ビジュアル]** エディタで **[次へ]** に変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、*IAM ユーザーガイド* の [ポリシーの再構成](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) を参照してください。

1. **確認と作成** ページで、作成するポリシーの **ポリシー名** と **説明** (オプション) を入力します。**このポリシーで定義されているアクセス許可** を確認して、ポリシーによって付与されたアクセス許可を確認します。

1. **ポリシーを作成** をクリックして、新しいポリシーを保存します。

## ステップ 3: IAM コンソールでロールを作成する
<a name="setting-up-create-role"></a>

作成するポリシーごとに IAM コンソールでロールを作成します。これにより、各ユーザーに個別のポリシーをアタッチするのではなく、ユーザーがロールを引き受けることができます。

**IAM コンソールでロールを作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。

1. IAM コンソールのナビゲーションペインで、**[ロール]**、**[ロールを作成]** を選択します。

1. **[信頼されたエンティティを選択]** で、**[AWS アカウント]** を選択します。

1. ** AWS アカウント**で、このロールを引き受けるユーザーのアカウントを選択します。
   + このロールにサードパーティがアクセスする場合は、**[Require external ID]** を選択するのがベストプラクティスです。外部 ID の詳細については、IAM ユーザーガイドの[第三者によるアクセスのための外部 ID の使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)を参照してください。
   + 多要素認証 (MFA) を要求するのがベストプラクティスです。**[MFA が必要]** の横にあるチェックボックスをオンにします。MFA の詳細については、IAM ユーザーガイドの[多要素認証 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)を参照してください。

1. [**次へ**] を選択します。

1. **[アクセス許可ポリシー]** で、MediaPackage の適切なアクセス許可レベルのポリシーを探して追加します。
   + ライブ機能へのアクセスには、次のオプションのいずれかを選択します。
     + MediaPackage のすべてのライブリソースに対してすべてのアクションを実行することをユーザーに許可するには、**[AWSElementalMediaPackageFullAccess]** を使用します。
     + MediaPackage のすべてのリソースに対して読み取り権限をユーザーに付与するには、**[AWSElementalMediaPackageReadOnly]** を使用します。
   + ビデオオンデマンド (VOD) 機能にアクセスするには、「[(オプション) ステップ 2: MediaPackage VOD の IAM ポリシーを作成する](#setting-up-create-non-admin-iam-vod)」で作成したポリシーを使用します。

1. ユーザーに代わって Amazon CloudWatch を呼び出すことを MediaPackage コンソールに許可するポリシーを追加します。これらのポリシーがないと、ユーザーが使用できるのはサービスの API のみとなり、コンソールは使用できません。以下のオプションのいずれかを選択してください。
   + **ReadOnlyAccess** を使用して、MediaPackage が CloudWatch と通信できるようにし、アカウントのすべての AWS サービスへの読み取り専用アクセスをユーザーに付与します。
   + **[CloudWatchReadOnlyAccess]**、**[CloudWatchEventsReadOnlyAccess]**、**[CloudWatchLogsReadOnlyAccess]** を使用して、CloudWatch との通信を MediaPackage に許可し、CloudWatch に対するユーザーの読み取り専用アクセスを制限します。

1. (オプション) このユーザーが MediaPackage コンソールから Amazon CloudFront ディストリビューションを作成する場合は、[(オプション) ステップ 1: Amazon CloudFront の IAM ポリシーを作成する](#setting-up-create-non-admin-iam-cf) で作成したポリシーをアタッチします。

1. (オプション) [アクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。

   1. **[Permissions boundary]** (アクセス許可の境界) セクションを展開し、**[Use a permissions boundary to control the maximum role permissions]** (アクセス許可の境界を使用して、ロールのアクセス許可の上限を設定する) を選択します。IAM には、 アカウントの AWS 管理ポリシーとカスタマー管理ポリシーのリストが含まれます。

   1. アクセス許可の境界に使用するポリシーを選択するか、[**ポリシーを作成**] を選択して新しいブラウザタブを開き、新しいポリシーをゼロから作成します。詳細については、『*IAM ユーザーガイド*』の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start)」を参照してください。

   1. ポリシーを作成したら、そのタブを閉じて元のタブに戻り、アクセス許可の境界に使用するポリシーを選択します。

1. このグループに正しいポリシーが追加されていることを確認し、**[次へ]** を選択します。

1. 可能な場合は、このロールの目的を識別するのに役立つロール名またはロール名サフィックスを入力します。ロール名は AWS アカウントアカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、**PRODROLE** と **prodrole** というロール名を両方作成することはできません。多くのエンティティによりロールが参照されるため、作成後にロール名を変更することはできません。

1. (オプション) [**Description (説明)**] には、新しいロールの説明を入力します。

1. **[Step 1: Select trusted entities]** (ステップ 1: 信頼済みエンティティの選択) または **[Step 2: Select permissions]** (ステップ 2: 権限の選択) のセクションで **[Edit]** (編集) を選択し、ロールのユースケースと権限を変更します。

1. (オプション) タグをキーバリューペアとしてアタッチして、メタデータをユーザーに追加します。IAM でのタグの使用に関する詳細については、「IAM ユーザーガイド」の「[IAM リソースにタグを付ける](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。

1. ロール情報を確認し、**ロールの作成** を選択します。

## ステップ 4: IAM コンソールまたは からロールを引き受ける AWS CLI
<a name="setting-up-create-nonadmin-roles-assume-role"></a>

ロールを引き受けるためのアクセス許可をユーザーに付与する方法と、ユーザーが IAM コンソールまたは AWS CLIからそのロールに切り替える方法については、以下のリソースをご覧ください。
+ ロールを切り替えるユーザー許可の付与に関する詳細については、IAM ユーザーガイドの「[ロールを切り替えるアクセス許可をユーザーに付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)」を参照してください。
+ ロールの切り替え (コンソール) に関する詳細については、IAM ユーザーガイドの「[ロールの切り替え (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)」を参照してください。
+ ロールの切り替え (AWS CLI) に関する詳細については、IAM ユーザーガイドの「[IAM ロール (AWS CLI) の切り替え](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html)」を参照してください。