AWS Elemental MediaConnect を信頼されたサービスとしてセットアップする - AWS Elemental MediaConnect
ステップ 1:特定のアクションを許可するポリシーを作成しますステップ 2。信頼できる関係を持つロールを作成する

AWS Elemental MediaConnect を信頼されたサービスとしてセットアップする

AWS Identity and Access Management (IAM) を使用して、どのユーザーとアプリケーションがどの AWS リソースにアクセスできるかを制御できます。これには、AWS Elemental MediaConnect がアカウントに代わって他のサービスと通信できるようにするためのアクセス許可の設定が含まれます。AWS Elemental MediaConnect を信頼できるエンティティとしてセットアップするには、次のステップを実行する必要があります。

ステップ 1。どのアクションを許可するかを管理する IAM ポリシーを作成します。

ステップ 2:信頼できる関係を持つ IAM ロールを作成し、前のステップで作成したポリシーをアタッチします。

ステップ 1:特定のアクションを許可する IAM ポリシーを作成します

このステップでは、許可するアクションを制御する IAM ポリシーを作成します。

IAM ポリシーを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーの作成 を選択し、JSON タブを選択します。

  4. JSON 形式を使用するポリシーを入力します。例については、以下を参照してください。

  5. [ポリシーの確認] を選択します。

  6. [名前] に IAM ポリシーの名前を入力します。

  7. [Create policy] (ポリシーを作成) を選択します。

ステップ 2:信頼できる関係を持つ IAM ロールを作成します

ステップ 1 では、許可するアクションを管理する IAM ポリシーを作成しました。この手順では、IAM ロールを作成し、このポリシーをロールに割り当てます。次いで、AWS Elemental MediaConnect を、ロールを引き受けられる信頼できるエンティティとして定義します。

信頼関係のあるロールを作成するには

  1. IAM コンソールのナビゲーションペインで [Roles] (ロール) をクリックします。

  2. [Role] (ロール) ページで、[Create role] (ロールの作成) を選択します。

  3. ロールを作成 ページの 信頼されたエンティティのタイプを選択 セクションで、[AWS サービス] (デフォルト)を選択します 。

  4. [このロールを使用するサービスを選択] で、[EC2] を選択します。

    MediaConnect は現在リストに含まれていないため、EC2 を選択します。EC2 を選択すると、ロールを作成できます。後の手順で、このロールを変更し、EC2 を MediaConnect に置き換えます。

  5. [Next: Permissions] (次へ: 許可) を選択します。

  6. 許可ポリシーをアタッチには、ステップ 1 で作成したポリシーの名前を入力してください。

  7. ポリシー名の横にあるチェックボックスをオンにして、次へ:タグを選択します。

  8. (オプション) タグをキーバリューペアとしてアタッチして、メタデータをユーザーに追加します。IAM でのタグの使用の詳細については、IAM ユーザーガイドの「IAM リソースのタグ付け」を参照してください。

  9. [Next: Review] (次へ: レビュー) を選択します。

  10. [Role name] (ロール名) に名前を入力します。名前 MediaConnectAccessRole は予約されているため、使用できません。代わりに、MediaConnect を含み、このロールの目的を説明する名前を使用します。

  11. ロールの説明では、デフォルトのテキストをこのロールの目的を覚えるのに役立つ説明に置き換えます。

  12. [Create role] (ロールの作成) を選択します。

  13. ページの上部に表示される確認メッセージで、[ロールを表示] を選択して作成したロールの名前を選択します。

  14. 信頼関係タブを選択し、続いて信頼ポリシーの編集を選択します。

  15. [信頼ポリシーの編集] ウィンドウで、JSON を次のように変更します。

    • [サービス] で、ec2.amazonaws.commediaconnect.amazonaws.com に変更します。

    • セキュリティを強化するには、信頼ポリシーに特定の条件を定義します。これにより、MediaConnect はアカウント内のリソースのみを使用するように制限されます。これを行うには、[アカウント ID]、[フロー ARN]、またはその両方などのグローバル条件を使用します。以下の信頼ポリシーの例を参照してください。グローバルな状況によるセキュリティ上の利点の詳細については、「サービス間の混乱した代理の防止」を参照してください。

      注記

      次の例では、[アカウント ID] と [フロー ARN] 条件の両方を使用しています。両方の条件を使用しないと、ポリシーの見え方が変わります。フローの完全な ARN が不明な場合や、複数のフローを指定する場合には、グローバルコンテキスト条件キー aws:SourceArn で、ARN の未知部分を示すためにワイルドカード文字 (*) を使用します。例えば、arn:aws:mediaconnect:*:111122223333:* です。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "mediaconnect.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:*:flow-name"
                }
            }
        }
    ]
}

  16. [ポリシーの更新] を選択します。

  17. [Summary (概要)] ページで、[Role ARN (ロール ARN)] の値をメモします。以下のような形式です:arn:aws:iam::111122223333:role/MediaConnectASM