信頼できるエンティティとしてMediaLiveを設定する - MediaLive
ステップ 1: IAM ポリシーの作成ステップ 2: 信頼されたエンティティロールを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼できるエンティティとしてMediaLiveを設定する

IAM 管理者は、組織が MediaConnect フローのソースとして Link デバイスを使用する場合に MediaLive が必要とする特別なアクセス許可を考慮する必要があります。

MediaLive を信頼できるエンティティとして設定する必要があります。信頼されたエンティティ関係では、ロールは MediaLive を信頼されたエンティティとして識別します。ロールには1つ以上のポリシーが添付されています。各ポリシーには、許可されたオペレーションとリソースに関するステートメントが含まれています。信頼されたエンティティ、ロール、ポリシー間のチェーンは、次のステートメントを作成します。

MediaLive は、ポリシーで指定されたリソースに対してオペレーションを実行するために、このロールを引き受けることができます。

重要

MediaLive がランタイム でチャネルを操作するために必要な信頼できるエンティティロールに精通しているかもしれません。MediaLive が Link デバイスで使用するには、別の信頼されたエンティティロールを作成することをお勧めします。チャネルのアクセス許可は非常に複雑です。デバイスのアクセス許可は非常に簡単です。これらは別々に保管してください。

MediaLive が必要とするアクセス許可

Link デバイスを使用するには、MediaLive に、Secrets Manager の MediaConnectand のオペレーションとリソースに対するアクセス許可が必要です。

  • MediaConnect の場合: MediaLive はフローの詳細を読み取ることができる必要があります。

  • Secrets Manager の場合: デバイスは MediaConnect に送信するコンテンツを常に暗号化します。MediaLiveprovides が提供する暗号化キーを使用して暗号化します。MediaLive は、MediaConnect ユーザーが Secrets Manager に保存したシークレットから暗号化キーを取得します。そのため、MediaLive には、シークレットに保存されている暗号化キーを読み取るアクセス許可が必要です。

このテーブルは、必要なオペレーションとリソースを指定します。

アクセス許可 IAM でのサービス名 アクション リソース
フローの詳細を表示する mediaconnect

DescribeFlow

 すべてのリソース
シークレットから暗号化キーを取得します。この表の後の説明を参照してください。 secretsmanager

GetSecretValue

 MediaLive がアクセスする必要がある暗号化キーを保持する各シークレットの ARN

ステップ 1: IAM ポリシーの作成

このステップでは、「プリンシパルに指定されたリソースで指定された Secrets Manager アクションへのアクセスを許可する」ステートメントを作成するポリシーを作成します。ポリシーはプリンシパルを指定しないことに注意してください。次のステップで、信頼されたエンティティロールを設定するときにプリンシパルを指定します。

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左側のナビゲーションペインで、[ポリシー] を選択します。[Create Policy] (ポリシーの作成) を選択し、[JSON] タブを選択します。

  3. ポリシーエディタ で、サンプルコンテンツをクリアし、以下を貼り付けます。

      { "Version":  "2012-10-17",
     "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "mediaconnect:DescribeFlow"
          ],
          "Resource": [
            "*"
      ]
    },
       { "Effect":  "Allow",
         "Action": [
           "secretsmanager:GetSecretValue"
        ],
         "Resource": [
        "arn:aws:secretsmanager:Region:account:secret:secret name"
      ]
    }
  ]
}

  4. secretsmanager リソースセクションで、リージョン、アカウント、シークレット名を実際の値に置き換えます。

  5. リソースセクションまたは にsecretsmanager、シークレットごとに 1 つずつ行を追加します。最後の行を除くすべての行の最後にカンマを含めてください。例えば:

          "Resource": [
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL",
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30",
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01"
      ]

  6. このポリシーがリンクとフロー用であることを明確にする名前をポリシーに付けます。例えば、medialiveForLinkFlowAccess と指定します。

  7. [Create policy] を選択します。

ステップ 2: 信頼されたエンティティロールを設定する

このステップでは、信頼ポリシー (MediaLive がAssumeRoleアクションを呼び出すレット」) とポリシー (先ほど作成したポリシー) で構成されるロールを作成します。このように、MediaLive にはロールを引き受けるアクセス許可があります。ロールを引き受けると、ポリシーで指定されたアクセス許可を取得します。

  1. IAM コンソールの左側のナビゲーション ペインで、ロールを選択し、ロールを作成しますロールの作成ウィザードが表示されます。このウィザードでは、信頼できるエンティティを設定し、アクセス許可を追加する (ポリシーを追加) 手順を説明します。

  2. [信頼できるエンティティの選択]ページで、カスタム信頼ポリシーカードを選択します。カスタム信頼ポリシーセクションが表示され、サンプルポリシーが表示されます。

  3. サンプルを削除し、次のテキストをコピーして、カスタム信頼ポリシーセクションにテキストを貼り付けます。カスタム信頼ポリシーセクションは次のようになります。

    {
    "Version": "2012-10-17",
    "Statement": [
	{
            "Effect": "Allow",
            "Principal": {
                "Service": "medialive.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. [Next] を選択します。

  5. アクセス許可の追加ページで、作成したポリシー (medialiveForLinkFlowAccessなど) を見つけ、チェックボックスを選択します。次いで、[次へ] を選択します。

  6. レビューページで、役割の名前を入力します。例えば、medialiveRoleForLinkFlowAccess と指定します。

  7. [ロールの作成] を選択します。