AWS Elemental MediaConnect を使用した SRT パスワード暗号化の設定 - AWS Elemental MediaConnect
ステップ 1: 暗号化パスワードを AWS Secrets Manager に保存します。ステップ 2る. MediaConnect にシークレットへのアクセスを許可するポリシーを作成するステップ 3. 信頼できる関係を持つロールを作成する

AWS Elemental MediaConnect を使用した SRT パスワード暗号化の設定

暗号化されたソースや SRT パスワード暗号化を使用する出力を含むフローを作成する前に、次の手順を実行する必要があります。

ステップ 1 — SRT パスワードをシークレットとして AWS Secrets Manager に保存します。

ステップ 2 — AWS Elemental MediaConnect が AWS Secrets Manager に保存されたシークレットを読み取ることを許可する IAM ポリシーを作成します。

ステップ 3 — IAM ロールを作成し、作成したポリシーをアタッチします。次に、AWS Elemental MediaConnect を信頼できるエンティティとして設定します。このエンティティは、このロールを引き受け、アカウントに代わってリクエストを行うことが許可されます。

ステップ 1: 暗号化パスワードを AWS Secrets Manager に保存します。

SRT パスワード暗号化を使用して AWS Elemental MediaConnect コンテンツを暗号化するには、AWS Secrets Manager を使用してパスワードを保存するシークレットを作成する必要があります。シークレットと、そのシークレットを使用するリソース (ソースまたは出力) を同じ AWS アカウントで作成する必要があります。シークレットはアカウント間で共有できません。

注記

2 つのフローを使用して 1 つの AWS リージョンから別のリージョンに動画を配信する場合は、2 つのシークレット (各リージョンに 1 つのシークレット) を作成する必要があります。

出力を暗号化するために新しい SRT パスワードを作成する場合は、以下のパスワードポリシーをお勧めします。

  • パスワードの文字数制限: 10~80 文字

  • 大文字、小文字、数字、! @ # $ % ^ & * ( ) _ + - = [ ] { } | ' 記号のうち、最低 3 つの文字タイプの組み合わせ

  • AWS アカウント名または E メールアドレスと同じでないこと

Secrets Manager にパスワードを保存するには

  1. 次の場所で AWS Secrets Manager コンソールにサインインします: https://console.aws.amazon.com/secretsmanager/

  2. [Store a new secret] (新しいシークレットの保存) ページの [Select secret type] (シークレットタイプの選択) で、[Other type of secrets] (他の種類のシークレット) を選択します。

  3. キー/値のペア では、プレーンテキスト を選択します。

  4. ボックス内のテキストをすべて消去し、SRT パスワードの のみに置き換えます。

  5. 暗号化 キーについては、デフォルトの設定を aws/secretsmanager のままにしてください。

  6. [Next] (次へ) をクリックします。

  7. [シークレット名] には、後で識別しやすいシークレットの名前を指定します。例えば、2018-12-01_baseball-game-source です。

  8. [Next] (次へ) をクリックします。

  9. 自動ローテーションの設定 セクションでは、自動ローテーション を解除します。

  10. [Next] (次へ) を選択してから、[Store] (保存) を選択します。次の画面で、作成したシークレットの名前を選択します。

    新しいシークレットの詳細ページが表示され、シークレット ARN などの情報が表示されます。

  11. Secrets Manager のシークレット ARN を書き留めます。この情報は、次の手順で必要になります。

ステップ 2: AWS Elemental MediaConnect にシークレットへのアクセスを許可する IAM ポリシーを作成する

ステップ 1 では、シークレットを作成して AWS Secrets Manager に保存しました。このステップでは、保存したシークレットを読み取ることをAWS Elemental MediaConnect に許可する IAM ポリシーを作成します。

MediaConnect にシークレットへのアクセスを許可する IAM ポリシーを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインから、[Policies] (ポリシー) を選択します。

  3. ポリシーの作成 を選択し、JSON タブを選択します。

  4. 以下のフォーマットを使用するポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret",
        "secretsmanager:ListSecretVersionIds"
      ],
      "Resource": [
        "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
      ]
    }
  ]
}

    Resource セクションでは、各行は作成した異なるシークレットの ARN を表しています。前の手順のシークレット ARN を入力します。[Next: Tags] (次へ: タグ) を選択します。

  5. [Next: Review] (次へ: レビュー) を選択します。

  6. 名前 にポリシーの名前を入力します (例: SecretsManagerForMediaConnect)。

  7. [Create policy] (ポリシーを作成) を選択します。

ステップ 3: 信頼できる関係を持つ IAM ロールを作成する

ステップ 2 では、AWS Secrets Manager に保存したシークレットへの読み取りアクセスを許可する IAM ポリシーを作成しました。この手順では、IAM ロールを作成し、このポリシーをロールに割り当てます。次いで、AWS Elemental MediaConnect を、ロールを引き受けられる信頼できるエンティティとして定義します。これにより、MediaConnect はシークレットへの読み取りアクセス権を持つことができます。

信頼関係のあるロールを作成するには

  1. IAM コンソールのナビゲーションペインで [Roles] (ロール) をクリックします。

  2. [Role] (ロール) ページで、[Create role] (ロールの作成) を選択します。

  3. ロールの作成 ページの 信頼されたエンティティのタイプを選択 セクションで、AWS service (AWS サービス) を選択します (デフォルト)。

  4. [Choose the service that will use this role] (このロールを使用するサービスを選択) で、[EC2] を選択します。

    EC2 を選択する理由は、現在、AWS Elemental MediaConnect はリストに含まれていないためです。EC2 を選択すると、ロールを作成できます。後の手順で、このロールを変更し、EC2 を MediaConnect に置き換えます。

  5. [Next: Permissions] (次へ: 許可) を選択します。

  6. アクセス権限ポリシーをアタッチする で、事前に作成した IAM ポリシーの名前を入力してください。

  7. SecretsManagerForMediaConnect の場合は、チェックボックスを選択して 次へ を選択します。

  8. [Role name] (ロール名) に名前を入力します。MediaConnectAccessRole は留保されているため、この名前は使用しないことを強くお勧めします。代わりに、MediaConnect を含み、このロールの目的を説明する名前を使用します (例: MediaConnect-ASM)。

  9. ロールの説明 では、デフォルトのテキストをこのロールの目的の説明に置き換えます。例えば、Allows MediaConnect to view secrets stored in AWS Secrets Manager. などです。

  10. [Create role] (ロールの作成) を選択します。

  11. ページの上部に表示される確認メッセージで、作成したロール名を選択します。

  12. [Trust relationships] (信頼関係) を選択し、[Edit trust policy] (信頼ポリシーの編集) を選択します。

  13. 信頼ポリシーの編集 では、ec2.amazonaws.commediaconnect.amazonaws.com に変更します。

    ポリシードキュメントは次のようになります。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "mediaconnect.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  14. [ポリシーの更新] を選択します。

  15. [Summary] (概要) ページで、[Role ARN] (ロール ARN) の値をメモします。以下のような形式です:arn:aws:iam::111122223333:role/MediaConnectASM