As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Pré-requisitos para começar a usar MediaConvert
<a name="setting-up"></a>

Antes de começar a usar MediaConvert, você precisa de pelo menos um arquivo de entrada armazenado no Amazon S3 ou em um HTTP/HTTPS servidor, um bucket do Amazon S3 para seus arquivos de saída e uma função do IAM com as permissões corretas. Conta da AWS

Para obter informações sobre como fazer upload de arquivos para o Amazon S3, consulte [Carregamento de objetos no *Guia do usuário do Amazon S3*](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html). 

Para obter informações sobre a criação de um bucket do Amazon S3 para o destino de saída, consulte [Criação de um bucket no *Guia do usuário do Amazon S3*](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). 

Os tópicos a seguir descrevem como se inscrever em um Conta da AWS e, em seguida, como configurar sua função do IAM.

**Topics**
+ [Configurar permissões do IAM](iam-role.md)

# Configurar permissões do IAM
<a name="iam-role"></a>

Para executar trabalhos de transcodificação com AWS Elemental MediaConvert, você precisa de uma função de serviço do IAM para permitir o MediaConvert acesso aos seus recursos. Os recursos incluem itens como os arquivos de entrada e os locais onde os arquivos de saída são armazenados. 

Independentemente de como você criou inicialmente o perfil de serviço do IAM, é possível refinar essa função a qualquer momento usando o IAM. Para saber mais, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) no *Guia do usuário do IAM*.

Você pode criar seu perfil de serviço IAM de uma das seguintes maneiras:
+ No MediaConvert console, com algumas restrições nas permissões que você concede. Para instruções, consulte [Criando a função do IAM em MediaConvert](creating-the-iam-role-in-mediaconvert-configured.md).

  No MediaConvert console, configurando sua função para permitir o MediaConvert acesso somente a alguns dos seus buckets do Amazon S3. Você também pode escolher se deseja conceder acesso de invocar aos seus endpoints do API Gateway.
+ No console do IAM. Para instruções, consulte [Criar um perfil no IAM](creating-the-iam-role-in-iam.md).

  Você pode exercer um controle preciso sobre exatamente qual acesso você concede MediaConvert ao configurar sua função do IAM no console do IAM. Você também pode usar o IAM por meio do AWS Command Line Interface (AWS CLI) ou de uma API ou SDK.

**nota**  
Se você habilitar a criptografia padrão do Amazon S3 em seus buckets do Amazon S3 e especificar sua própria chave gerenciada AWS Key Management Service por, deverá conceder permissões adicionais. Para obter mais informações, consulte [Conceder permissões MediaConvert para acessar buckets criptografados do Amazon S3](granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets.md).

## Usando a MediaConvert função padrão
<a name="default-role"></a>

Se você usar o nome`MediaConvert_Default_Role`, o MediaConvert console o usará por padrão quando você criar trabalhos no future. Isso acontece independentemente de como você cria a função de serviço do IAM MediaConvert para uso.

# Criando a função do IAM em MediaConvert
<a name="creating-the-iam-role-in-mediaconvert-configured"></a>

Ao criar a função AWS Identity and Access Management (IAM) MediaConvert com permissões configuradas, você pode restringir o MediaConvert acesso somente a buckets específicos do Amazon S3. Você também pode especificar se deseja conceder acesso de invocar os seus endpoints do Amazon API Gateway.

**Para configurar a função do IAM MediaConvert com permissões configuradas**

1. Abra a página [Trabalhos](https://console.aws.amazon.com/mediaconvert/home#/jobs/list) no MediaConvert console.

1. Escolha **Criar trabalho**.

1. Em **Configurações do trabalho**, escolha **AWS Integração**.

1. Na seção **Acesso ao serviço**, em **Controle do perfil de serviço**, escolha **Criar nova função de serviço, configurar permissões**.

1. Para **Nome da nova função**, sugerimos que você mantenha o valor padrão **MediaConvert\$1Default\$1Role**. Ao fazer isso, MediaConvert usa essa função por padrão para seus futuros trabalhos.

1. Para **Locais de entrada S3** e **Locais de saída S3**, selecione **Adicionar local**. Selecione os buckets do Amazon S3 que você usará para localização de entrada ou saída.

1. (Opcional) Para a **Invocação do endpoint do API Gateway**, se você usar recursos que exijam isso, escolha permitir.

   MediaConvert requer esse acesso para os seguintes recursos:
   + Gerenciamento de direitos digitais SPEKE
   + Marca d'água não linear da Nielsen

   Para permitir o acesso de MediaConvert invocação somente a um endpoint específico, modifique essas permissões na política de função depois de criá-la usando o serviço AWS Identity and Access Management (IAM). Para obter mais informações, consulte [Edição de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) no *Guia do usuário do AWS Identity and Access Management *.

# Criar um perfil com o console IAM
<a name="creating-the-iam-role-in-iam"></a>

Trabalhando diretamente com o AWS Identity and Access Management (IAM),  você pode realizar ações que não estão disponíveis no MediaConvert console. Você pode fazer isso ao criar sua função no IAM ou criar sua função no IAM MediaConvert e depois usar o IAM para refiná-la posteriormente.

O procedimento a seguir explica como criar um perfil usando o console do IAM. Para obter informações sobre como acessar o IAM de forma programática,  consulte o documento apropriado no [IAM documentation set](https://docs.aws.amazon.com/iam/) (Conjunto de documentação do IAM.

**Para criar a função de serviço para MediaConvert (console do IAM)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console do IAM, escolha **Perfis** e, em seguida, **Criar perfil**.

1. Em **Tipo de entidade confiável**, escolha **AWS service (Serviço da AWS)**.

1. Para **Serviço ou caso de uso**, escolha e **MediaConvert**, em seguida, escolha o caso de **MediaConvert**uso.

1. Escolha **Próximo**.

1. Selecione a caixa ao lado da MediaConvert política que você criou no procedimento anterior.

1. (Opcional) Defina um [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço.

   1. Abra a seção **Definir limite de permissões** e escolha **Usar um limite de permissões para controlar o número máximo de permissões do perfil**.

      O IAM inclui uma lista das políticas AWS gerenciadas e gerenciadas pelo cliente em sua conta.

   1. Selecione a política a ser usada para o limite de permissões.

1. Escolha **Próximo**.

1. Insira um nome de perfil ou um sufixo de nome de perfil para ajudar a identificar a finalidade do perfil.
**Importante**  
Quando nomear um perfil, observe o seguinte:  
Os nomes das funções devem ser exclusivos dentro de você Conta da AWS e não podem ser diferenciados por maiúsculas e minúsculas.  
Por exemplo, não crie dois perfis denominados **PRODROLE** e **prodrole**. Quando usado em uma política ou como parte de um ARN, o nome de perfil diferencia maiúsculas de minúsculas. No entanto, quando exibido para os clientes no console, como durante o processo de login, o nome de perfil diferencia maiúsculas de minúsculas.
Não é possível editar o nome do perfil depois de criá-lo porque outras entidades podem referenciar o perfil.

1. (Opcional) Em **Descrição**, insira uma descrição para o perfil.

1. (Opcional) Para editar os casos de uso e as permissões do perfil, escolha **Editar** nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: adicionar permissões**.

1. (Opcional) Para ajudar a identificar, organizar ou pesquisar o perfil, adicione tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte [Tags para AWS Identity and Access Management recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

1. Reveja a função e escolha **Criar função**.

**nota**  
Em **Novo nome de perfil**, sugerimos que você insira **MediaConvert\$1Default\$1Role**. Ao fazer isso, MediaConvert usa essa função por padrão para seus futuros trabalhos.

# Conceder permissões MediaConvert para acessar buckets criptografados do Amazon S3
<a name="granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets"></a>

Quando você [habilita a criptografia padrão do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up), o Amazon S3 automaticamente criptografa seus objetos ao carregá-los. Opcionalmente, você pode escolher usar AWS Key Management Service (AWS KMS) para gerenciar a chave. Chamamos isso de criptografia SSE-KMS.

Se você habilitar a criptografia padrão SSE-KMS nos buckets que contêm seus arquivos de AWS Elemental MediaConvert entrada ou saída, deverá [adicionar políticas embutidas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) à sua função de serviço do IAM. Se você não adicionar políticas em linha, não MediaConvert conseguirá ler seus arquivos de entrada nem gravar seus arquivos de saída. 

Conceda essas permissões nos seguintes casos de uso:
+ Se o bucket de entrada tem criptografia padrão SSE-KMS, conceda `kms:Decrypt`
+ Se o bucket de saída tem criptografia padrão SSE-KMS, conceda `kms:GenerateDataKey`.

No exemplo a seguir a política em linha concede ambas as permissões.

## Exemplo de política em linha com kms:Decrypt e kms:GenerateDataKey
<a name="example-inline-policy-kms-decrypt-generatedatakey"></a>

Essa política concede permissões para `kms:Decrypt` e `kms:GenerateDataKey`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}
```

------