ステップ 1: ポリシーの作成ステップ 2: ロールの作成ステップ 3: 信頼関係の変更

AWS Elemental MediaPackage が他の AWS サービスにアクセスすることを許可する

一部の機能では、MediaPackage が Amazon S3 や AWS Secrets Manager (Secrets Manager) などの他の AWS サービスにアクセスすることを許可する必要があります。このアクセスを許可するには、適切なアクセス許可を持つ IAM ロールとポリシーを作成します。次の手順では、MediaPackage の機能のロールとポリシーを作成する方法について説明します。

ステップ 1: ポリシーの作成

IAM ポリシーは、 AWS Elemental MediaPackage (MediaPackage) が他のサービスにアクセスするために必要なアクセス許可を定義します。

ビデオオンデマンド (VOD) ワークフローの場合、Amazon S3 バケットからの読み取り、課金方法の確認、コンテンツの取得を MediaPackage に許可するポリシーを作成します。請求方法については、MediaPackage で、バケットがリクエストに対する支払いをリクエスタに請求しないことを確認する必要があります。バケットで requestPayment が有効になっている場合、MediaPackage でそのバケットからコンテンツを取り込むことができません。
Live-to-VOD ワークフローの場合、Amazon S3 バケットからの読み取りおよびバケットへの Live-to-VOD アセットの保存を MediaPackage に許可するポリシーを作成します。
コンテンツ配信ネットワーク (CDN) 認可については、Secrets Manager のシークレットからの読み取りを MediaPackage に許可するポリシーを作成します。

次のセクションでは、これらのポリシーの作成方法について説明します。

MediaPackage を使用して Amazon S3 バケットから VOD アセットを取り込み、そのアセットをパッケージ化して配信する場合、Amazon S3 で次の操作の実行を許可するポリシーが必要です。

GetObject - MediaPackage でバケットから VOD アセットを取得できます。
GetBucketLocation - MediaPackage でバケットのリージョンを取得できます。バケットは MediaPackage VOD のリソースと同じリージョンにある必要があります。
GetBucketRequestPayment - MediaPackage で支払いリクエストの情報を取得できます。MediaPackage では、バケットでコンテンツリクエストの支払いをリクエスタに求めないことを確認するためにこの情報を使用します。

Live-to-VOD アセットの収集にも MediaPackage を使用する場合は、ポリシーに PutObject アクションを追加します。Live-to-VOD ワークフローに必要なポリシーの詳細については、「Live-to-VOD ワークフローのポリシー」を参照してください。

JSON ポリシーエディタでポリシーを作成するには

にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。
左側のナビゲーションペインで、[ポリシー] を選択します。

初めて [ポリシー] を選択する場合には、[管理ポリシーにようこそ] ページが表示されます。[今すぐ始める] を選択します。
ページの上部で、[ポリシーを作成] を選択します。
[ポリシーエディタ] セクションで、[JSON] オプションを選択します。

次の JSON ポリシードキュメントを入力します。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:GetBucketRequestPayment",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/*",
                "arn:aws:s3:::bucket_name"
            ],
            "Effect": "Allow"
        }
    ]
}

[次へ] をクリックします。

注記
いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [次へ] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「IAM ユーザーガイド」の「ポリシーの再構成」を参照してください。
[確認と作成] ページで、作成するポリシーの [ポリシー名] と [説明] (オプション) を入力します。[このポリシーで定義されているアクセス許可] を確認して、ポリシーによって付与されたアクセス許可を確認します。
[ポリシーの作成] をクリックして、新しいポリシーを保存します。

MediaPackage を使用してライブストリームから Live-to-VOD アセットを収集する場合、Amazon S3 で次の実行を許可するポリシーが必要です。

PutObject: MediaPackage で VOD アセットをバケットに保存できます。
GetBucketLocation: MediaPackage でバケットのリージョンを取得できます。バケットは MediaPackage VOD のリソースと同じ AWS リージョンにある必要があります。

VOD アセットの配信にも MediaPackage を使用する場合、ポリシーに GetObject および GetBucketRequestPayment アクションを追加します。VOD ワークフローに必要なポリシーの詳細については、「VOD ワークフローでの Amazon S3 へのアクセスに関するポリシー」を参照してください。

JSON ポリシーエディタでポリシーを作成するには

にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。
左側のナビゲーションペインで、[ポリシー] を選択します。

初めて [ポリシー] を選択する場合には、[管理ポリシーにようこそ] ページが表示されます。[今すぐ始める] を選択します。
ページの上部で、[ポリシーを作成] を選択します。
[ポリシーエディタ] セクションで、[JSON] オプションを選択します。

次の JSON ポリシードキュメントを入力します。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/*",
                "arn:aws:s3:::bucket_name"
            ],
            "Effect": "Allow"
        }
    ]
}

[次へ] をクリックします。

注記
いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [次へ] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「IAM ユーザーガイド」の「ポリシーの再構成」を参照してください。
[確認と作成] ページで、作成するポリシーの [ポリシー名] と [説明] (オプション) を入力します。[このポリシーで定義されているアクセス許可] を確認して、ポリシーによって付与されたアクセス許可を確認します。
[ポリシーの作成] をクリックして、新しいポリシーを保存します。

コンテンツ配信ネットワーク (CDN) 認可ヘッダーを使用して MediaPackage のエンドポイントへのアクセスを制限する場合、Secrets Manager で次の実行を許可するポリシーが必要です。

GetSecretValue - MediaPackage でシークレットのバージョンから暗号化された認可コードを取得できます。
DescribeSecret - MediaPackage で暗号化されたフィールドを除いてシークレットの詳細を取得できます。
ListSecrets - MediaPackage で AWS アカウント内のシークレットのリストを取得できます。
ListSecretVersionIds: MediaPackage で、指定したシークレットに添付されているすべてのバージョンを取得できます。

注記

Secrets Manager に保存しているシークレットごとに個別のポリシーは必要ありません。次の手順で説明するようなポリシーを作成すると、MediaPackage でこのリージョンのアカウント内のすべてのシークレットにアクセスできます。

JSON ポリシーエディタでポリシーを作成するには

にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。
左側のナビゲーションペインで、[ポリシー] を選択します。

初めて [ポリシー] を選択する場合には、[管理ポリシーにようこそ] ページが表示されます。[今すぐ始める] を選択します。
ページの上部で、[ポリシーを作成] を選択します。
[ポリシーエディタ] セクションで、[JSON] オプションを選択します。

次の JSON ポリシードキュメントを入力します。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret",
        "secretsmanager:ListSecrets",
        "secretsmanager:ListSecretVersionIds"
      ],
      "Resource": [
        "arn:aws:secretsmanager:region:account-id:secret:secret-name"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
         "iam:GetRole",
         "iam:PassRole"
       ],
       "Resource": "arn:aws:iam::account-id:role/role-name"
     }
  ]
}

[次へ] をクリックします。

注記
いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [次へ] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「IAM ユーザーガイド」の「ポリシーの再構成」を参照してください。
[確認と作成] ページで、作成するポリシーの [ポリシー名] と [説明] (オプション) を入力します。[このポリシーで定義されているアクセス許可] を確認して、ポリシーによって付与されたアクセス許可を確認します。
[ポリシーの作成] をクリックして、新しいポリシーを保存します。

ステップ 2: ロールの作成

IAM ロールは、特定の許可があり、アカウントで作成できるもう 1 つの IAM アイデンティティです。IAM ロールは、 AWS アイデンティティが実行できることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、IAM ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。Amazon S3 からソースコンテンツを取り込むときにが AWS Elemental MediaPackage 引き受けるロールを作成します。

ロールを作成する際、MediaPackage は選択できないため、ロールを引き受けることができる信頼されたエンティティとして Amazon Elastic Compute Cloud (Amazon EC2) を選択します。ステップ 3: 信頼関係の変更で、信頼されたエンティティを MediaPackage に変更します。

サービスロールの作成については、IAM ユーザーガイドの「 AWS サービスにアクセス許可を委任するロールの作成」を参照してください。

ステップ 3: 信頼関係の変更

信頼関係は、ステップ 2: ロールの作成で作成したロールをどのエンティティが引き受けることができるかを定義します。ロールを作成して信頼関係を確立する際に、信頼されたエンティティとして Amazon EC2 を選択しました。ロールを変更して、信頼関係が AWS アカウントとの間にあるようにします AWS Elemental MediaPackage。

MediaPackage に対する信頼関係を変更するには

ステップ 2: ロールの作成で作成したロールにアクセスします。

まだロールを表示していない場合は、IAM コンソールのナビゲーションペインで [Roles] (ロール) を選択します。作成したロールを検索し、選択します。
そのロールの [Summary (概要)] ページで、[Trust relationship (信頼関係)] を選択します。
[Edit trust relationship (信頼関係の編集)] を選択します。
[Edit Trust Relationship (信頼関係の編集)] ページの [Policy Document (ポリシードキュメント)] で、ec2.amazonaws.com を mediapackage.amazonaws.com に変更します。

ポリシードキュメントは次のようになります。
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "mediapackage.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}  
```
オプトインリージョンで MediaPackage および関連サービスを使用している場合、リージョンはポリシードキュメントの Serviceセクションにリストされている必要があります。例えば、アジアパシフィック (メルボルン) リージョンでサービスを使用している場合、ポリシードキュメントは次のようになります。
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "mediapackage.amazonaws.com","mediapackage.ap-southeast-4.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}  
```
信頼ポリシーの更新 を選択します。
[Summary] (概要) ページで、[Role ARN] (ロール ARN) の値をメモします。ビデオオンデマンド (VOD) ワークフローのソースコンテンツを取得するとき、この ARN を使用します。ARN は次のようになります。

arn:aws:iam::111122223333:role/role-name

この例では、111122223333 が AWS アカウント番号です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ポリシーと管理者以外のロールの作成

(オプション) 暗号化の設定