# ステップ 1: IAM アクセス許可を設定する
次に、基本的なアクセス許可のセット (Amazon IVS ステージの作成、参加者トークンの作成など) が可能になる AWS Identity and Access Management (IAM) ポリシーを作成し、ユーザーにこのポリシーを割り当てる必要があります。[新しいユーザー](#iam-permissions-new-user)の作成時にアクセス許可を追加するか、あるいは[既存のユーザー](#iam-permissions-existing-user)にアクセス許可を追加することができます。両方の手順を以下に示します。
詳細 (IAM ユーザーとポリシーについて、ポリシーをユーザーにアタッチする方法、Amazon IVS を使用してユーザーのアクションを制限する方法など) については、以下を参照してください。
+ *IAM ユーザーガイド*の [IAM ユーザーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#Using_CreateUser_console)
+ IAM に関する [Amazon IVS セキュリティと](https://docs.aws.amazon.com/ivs/latest/LowLatencyUserGuide/security.html)「IVS のマネージドポリシー」の情報。
+ 「[Amazon IVS のセキュリテイ](https://docs.aws.amazon.com/ivs/latest/LowLatencyUserGuide/security.html)」にある IAM 情報
Amazon IVS 用の既存の AWS マネージドポリシーを使用するか、ユーザー、グループ、またはロールのセットに付与する権限をカスタマイズする新しいポリシーを作成できます。両方のアプローチを以下にて説明します。
## IVS のアクセス許可には既存のポリシーを使用してください。
ほとんどの場合、Amazon IVS には AWS マネージドポリシーを使用することになります。これらについては、「*IVS のセキュリティ*」の「[IVS 用マネージドポリシー](https://docs.aws.amazon.com/ivs/latest/LowLatencyUserGuide/security-iam-awsmanpol.html)」セクションで詳しく説明されています。
+ `IVSReadOnlyAccess` AWS マネージドポリシーを使用し、アプリケーションデベロッパーにすべての IVS Get および List API オペレーション (低レイテンシーおよびリアルタイムストリーミングの両方) へのアクセスを許可します。
+ `IVSFullAccess` AWS マネージドポリシーを使用して、アプリケーションデベロッパーにすべての IVS API オペレーション (低レイテンシーおよびリアルタイムストリーミングの両方) へのアクセスを許可します。
## オプション: Amazon IVS アクセス許可の新しいポリシーを作成する
以下の手順に従ってください。
1. AWS マネジメントコンソールにサインインして、IAM コンソールを開きます。[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. ナビゲーションペインで、**[ポリシー]**、**[ポリシーの作成]** の順に選択します。**[アクセス許可の指定]** ウィンドウが開きます。
1. **[アクセス許可の指定]** ウィンドウで、**[JSON]** タブをクリックし、次の IVS ポリシーをコピーして **[ポリシーエディタ]** テキスト領域に貼り付けます。(このポリシーには、すべての Amazon IVS アクションは含まれていません。必要に応じてオペレーションアクセス許可を追加/削除 (許可/拒否) できます。IVS オペレーションの詳細については、「[IVS リアルタイムストリーミング API リファレンス](https://docs.aws.amazon.com//ivs/latest/RealTimeAPIReference/Welcome.html)」を参照してください)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ivs:CreateStage",
"ivs:CreateParticipantToken",
"ivs:GetStage",
"ivs:GetStageSession",
"ivs:ListStages",
"ivs:ListStageSessions",
"ivs:CreateEncoderConfiguration",
"ivs:GetEncoderConfiguration",
"ivs:ListEncoderConfigurations",
"ivs:GetComposition",
"ivs:ListCompositions",
"ivs:StartComposition",
"ivs:StopComposition"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"s3:DeleteBucketPolicy",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"servicequotas:ListAWSDefaultServiceQuotas",
"servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
"servicequotas:ListServiceQuotas",
"servicequotas:ListServices",
"servicequotas:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
1. **[アクセス許可の指定]** ウィンドウを開いたまま、**[次へ]** を選択します (ウィンドウの一番下までスクロールすると表示されます)。**[レビューと作成]** ウィンドウが開きます。
1. **[レビューと作成]** ウィンドウで、ポリシーに**ポリシー名**を入力します。オプションで**説明**を追加します。ユーザーを作成する時に必要になるので、ポリシーの名前を書きとめておきます (下記を参照してください)。ページの最下部で、**[Create policy]** (ポリシーの作成) を選択します。
1. IAM コンソールウィンドウが表示され、新しいポリシーが作成されたことを確認するバナーが表示されます。
## 新しいユーザーを作成し、アクセス許可を付与する
### IAM ユーザーアクセスキー
IAM アクセスキーは、アクセスキー ID とシークレットアクセスキーで構成されます。これは AWS へのプログラムによるリクエストの署名に使用されます。アクセスキーがない場合は、AWS マネジメントコンソールから作成できます。ベストプラクティスとして、ルートユーザーのアクセスキーは作成しないでください。
*シークレットアクセスキーを表示またはダウンロードできるのは、アクセスキーを作成するときのみです。後で回復することはできません。*ただ、アクセスキーはいつでも新しく作成できます。必要な IAM アクションを実行するためのアクセス許可が必要です。
アクセスキーは、常に安全に保管してください。(例え Amazon からの問い合わせであっても) 第三者と共有しないでください。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーのアクセスキーの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)」を参照してください。
### 手順
以下の手順に従ってください。
1. ナビゲーションペインで **[ユーザー]**、**[ユーザーの作成]** の順に選択します。**[ユーザーの詳細を指定]** ウィンドウが開きます。
1. **[ユーザーの詳細を指定]** ウィンドウで次の手順を実行します。
1. **[ユーザーの詳細]** で、作成する新しい**ユーザーの名前**を入力します。
1. **[AWS マネジメントコンソールへのユーザーアクセスを提供]** を選択します。
1. **[コンソールパスワード]** で、**[自動生成パスワード]** を選択します。
1. **[ユーザーは次回サインイン時に新しいパスワードを作成する必要があります]** を選択します。
1. [**次へ**] を選択します。**[アクセス許可の設定]** ウィンドウが開きます。
1. **[アクセス許可の設定]** で、**[ポリシーを直接アタッチする]** を選択します。**[アクセス許可ポリシー]** ウィンドウが開きます。
1. 検索ボックスに、IVS ポリシー名 (AWS マネージドポリシーまたは以前に作成したカスタムポリシー) を入力します。見つかったら、チェックボックスをオンにして、ポリシーを選択します。
1. ページの最下部で、**[次へ]** を選択します。**[レビューと作成]** ウィンドウが開きます。
1. **[レビューと作成]** ウィンドウで、ユーザーのすべての詳細が正しいことを確認してから、ウィンドウ最下部にある **[ユーザーの作成]** を選択します。
1. **[パスワードの取得]** ウィンドウが開き、**コンソールサインインの詳細**が表示されます。*後で参照できるように、この情報を保存しておきます*。完了したら、**[ユーザーリストに戻る]** を選択します。
## 既存のユーザーへのアクセス許可を追加する
以下の手順に従ってください。
1. AWS マネジメントコンソールにサインインして、IAM コンソールを開きます。[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. ナビゲーションペインで、 [**Users (ユーザー) **] を選択し、更新する既存のユーザー名を選択します。(名前をクリックして選択します。選択ボックスはチェックしないでください。)
1. **概要**ページの[**アクセス許可**] タブで、[**アクセス許可の追加**] を選択します。**[アクセス許可の追加**] ウィンドウが開きます。
1. **[既存のポリシーを直接アタッチ]** を選択します。**[アクセス許可ポリシー]** ウィンドウが開きます。
1. 検索ボックスに、IVS ポリシー名 (AWS マネージドポリシーまたは以前に作成したカスタムポリシー) を入力します。ポリシーが見つかったら、チェックボックスをオンにして、ポリシーを選択します。
1. ページの最下部で、**[次へ]** を選択します。**[レビュー]** ウィンドウが開きます。
1. **[レビュー]** ウィンドウの下部にある **[アクセス許可の追加]** を選択します。
1. **[Summary]** (概要) ページで、IVS ポリシーが追加されたことを確認します。