# ステップ 3: IAM アクセス許可の設定
次に、基本的なアクセス許可のセット (Amazon IVS チャネルの作成、ストリーミング情報の取得、S3 への自動記録) が可能になる AWS Identity and Access Management (IAM) ポリシーを作成し、ユーザーにこのポリシーを割り当てます。[新しいユーザー](#iam-permissions-new-user)の作成時にアクセス許可を追加するか、あるいは[既存のユーザー](#iam-permissions-existing-user)にアクセス許可を追加することができます。両方の手順を以下に示します。
詳細 (IAM ユーザーとポリシーについて、ポリシーをユーザーにアタッチする方法、Amazon IVS を使用してユーザーのアクションを制限する方法など) については、以下を参照してください。
+ *IAM ユーザーガイド*の [IAM ユーザーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#Using_CreateUser_console)
+ IAMに関する [Amazon IVS のセキュリティ](security.md) と「IVSのマネージドポリシー」に関する情報。
+ S3 への録画機能の場合: *Amazon IVS ユーザーガイド*の「[サービスにリンクされたロールの使用](security-service-linked-roles.md)」および「[Amazon S3 への自動録画](record-to-s3.md)」
Amazon IVS 用の既存の AWS マネージドポリシーを使用するか、ユーザー、グループ、またはロールのセットに付与する権限をカスタマイズする新しいポリシーを作成できます。両方のアプローチを以下にて説明します。
## IVS のアクセス許可には既存のポリシーを使用してください。
ほとんどの場合、Amazon IVS には AWS マネージドポリシーを使用することになります。これらについては、「*IVS のセキュリティ*」の「[IVS 用マネージドポリシー](security-iam-awsmanpol.md)」セクションで詳しく説明されています。
+ `IVSReadOnlyAccess` AWS マネージドポリシーを使用し、アプリケーションデベロッパーにすべての IVS Get および List API オペレーション (低レイテンシーおよびリアルタイムストリーミングの両方) へのアクセスを許可します。
+ `IVSFullAccess` AWS マネージドポリシーを使用して、アプリケーションデベロッパーにすべての IVS API オペレーション (低レイテンシーおよびリアルタイムストリーミングの両方) へのアクセスを許可します。
## オプション: Amazon IVS アクセス許可の新しいポリシーを作成する
以下の手順に従ってください。
1. AWS マネジメントコンソールにサインインして、IAM コンソールを開きます。[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. ナビゲーションペインで、**[ポリシー]**、**[ポリシーの作成]** の順に選択します。**[アクセス許可の指定]** ウィンドウが開きます。
1. **[アクセス許可の指定]** ウィンドウで、**[JSON]** タブをクリックし、次の IVS ポリシーをコピーして **[ポリシーエディタ]** テキスト領域に貼り付けます。(このポリシーにはすべての Amazon IVS アクションが含まれるわけではありません。必要に応じてオペレーションのアクセス許可を追加/削除 (許可/拒否) できます。IVS オペレーションの詳細については「[IVS 低レイテンシーストリーミング API リファレンス](https://docs.aws.amazon.com//ivs/latest/LowLatencyAPIReference/Welcome.html)」を参照してください)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ivs:CreateChannel",
"ivs:CreateRecordingConfiguration",
"ivs:GetChannel",
"ivs:GetRecordingConfiguration",
"ivs:GetStream",
"ivs:GetStreamKey",
"ivs:GetStreamSession",
"ivs:ListChannels",
"ivs:ListRecordingConfigurations",
"ivs:ListStreamKeys",
"ivs:ListStreams",
"ivs:ListStreamSessions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"servicequotas:ListAWSDefaultServiceQuotas",
"servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
"servicequotas:ListServiceQuotas",
"servicequotas:ListServices",
"servicequotas:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource":
"arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
}
]
}
```
------
1. **[アクセス許可の指定]** ウィンドウを開いたまま、**[次へ]** を選択します (ウィンドウの一番下までスクロールすると表示されます)。**[レビューと作成]** ウィンドウが開きます。
1. **[レビューと作成]** ウィンドウで、ポリシーに**ポリシー名**を入力します。オプションで**説明**を追加します。ユーザーを作成する時に必要になるので、ポリシーの名前を書きとめておきます (下記を参照してください)。ページの最下部で、**[Create policy]** (ポリシーの作成) を選択します。
1. IAM コンソールウィンドウが表示され、新しいポリシーが作成されたことを確認するバナーが表示されます。
## 新しいユーザーを作成し、アクセス許可を付与する
### IAM ユーザーアクセスキー
IAM アクセスキーは、アクセスキー ID とシークレットアクセスキーで構成されます。これは AWS へのプログラムによるリクエストの署名に使用されます。アクセスキーがない場合は、AWS マネジメントコンソールから作成できます。ベストプラクティスとして、ルートユーザーのアクセスキーは作成しないでください。
*シークレットアクセスキーを表示またはダウンロードできるのは、アクセスキーを作成するときのみです。後で回復することはできません。*ただ、アクセスキーはいつでも新しく作成できます。必要な IAM アクションを実行するためのアクセス許可が必要です。
アクセスキーは、常に安全に保管してください。(例え Amazon からの問い合わせであっても) 第三者と共有しないでください。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーのアクセスキーの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)」を参照してください。
### 手順
以下の手順に従ってください。
1. ナビゲーションペインで **[ユーザー]**、**[ユーザーの作成]** の順に選択します。**[ユーザーの詳細を指定]** ウィンドウが開きます。
1. **[ユーザーの詳細を指定]** ウィンドウで次の手順を実行します。
1. **[ユーザーの詳細]** で、作成する新しい**ユーザーの名前**を入力します。
1. **[AWS マネジメントコンソールへのユーザーアクセスを提供]** を選択します。
1. プロンプトが表示されたら、**[IAM ユーザーを作成します]** を選択します。
1. **[コンソールパスワード]** で、**[自動生成パスワード]** を選択します。
1. **[ユーザーは次回サインイン時に新しいパスワードを作成する必要があります]** を選択します。
1. [**次へ**] を選択します。**[アクセス許可の設定]** ウィンドウが開きます。
1. **[アクセス許可の設定]** で、**[ポリシーを直接アタッチする]** を選択します。**[アクセス許可ポリシー]** ウィンドウが開きます。
1. 検索ボックスに、IVS ポリシー名 (AWS マネージドポリシーまたは以前に作成したカスタムポリシー) を入力します。見つかったら、チェックボックスをオンにして、ポリシーを選択します。
1. ページの最下部で、**[次へ]** を選択します。**[レビューと作成]** ウィンドウが開きます。
1. **[レビューと作成]** ウィンドウで、ユーザーのすべての詳細が正しいことを確認してから、ウィンドウ最下部にある **[ユーザーの作成]** を選択します。
1. **[パスワードの取得]** ウィンドウが開き、**コンソールサインインの詳細**が表示されます。*後で参照できるように、この情報を保存しておきます*。完了したら、**[ユーザーリストに戻る]** を選択します。
## 既存のユーザーへのアクセス許可を追加する
以下の手順に従ってください。
1. AWS マネジメントコンソールにサインインして、IAM コンソールを開きます。[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. ナビゲーションペインで、 [**Users (ユーザー) **] を選択し、更新する既存のユーザー名を選択します。(名前をクリックして選択します。選択ボックスはチェックしないでください。)
1. **概要**ページの[**アクセス許可**] タブで、[**アクセス許可の追加**] を選択します。**[アクセス許可の追加**] ウィンドウが開きます。
1. **[既存のポリシーを直接アタッチ]** を選択します。**[アクセス許可ポリシー]** ウィンドウが開きます。
1. 検索ボックスに、IVS ポリシー名 (AWS マネージドポリシーまたは以前に作成したカスタムポリシー) を入力します。ポリシーが見つかったら、チェックボックスをオンにして、ポリシーを選択します。
1. ページの最下部で、**[次へ]** を選択します。**[レビュー]** ウィンドウが開きます。
1. **[レビュー]** ウィンドウの下部にある **[アクセス許可の追加]** を選択します。
1. **[Summary]** (概要) ページで、IVS ポリシーが追加されたことを確認します。