AWS Elemental MediaConnect のリソースベースのポリシーの例
AWS Elemental MediaConnect コンソールにアクセスするには、AWS アカウントの MediaConnect リソースに関する詳細を表示して確認するための最小限のアクセス許可が必要です。このセクションの IAM ポリシーでは、AWS Elemental MediaConnect のリソースに対する特定のアクションを許可するポリシーの例を示しています。
AWS Elemental MediaConnect 内のすべてのリソースへの読み取りアクセスを許可する
AWS Elemental MediaConnect コンソールにアクセスするには、AWS アカウントの MediaConnect リソースに対して実行できるアクションを定義するポリシーが必要です。次の IAM ポリシーで、以下のアクセス許可が提供されます。
-
mediaconnect:List*とmediaconnect:Describe*のアクションのセクションは、 AWS Elemental MediaConnect で作成したすべてのリソースへの読み取り専用アクセスを許可します。 -
ec2:DescribeAvailabilityZonesアクションのセクションにより、サービスはフローがどのアベイラビリティーゾーンにあるかに関する情報を取得できます。ポリシーのこの部分は必須です。 -
cloudwatch:GetMetricDataアクションのセクションにより、サービスは Amazon CloudWatch からメトリックスを取得できます。ポリシーのこの部分は必須です。 -
iam:PassRoleアクションのセクションでは、IAM がサービスにロールを渡してAWS Elemental MediaConnect IAM と通信し、サービスに代わってロールを引き受けることができます。これで、その後サービスがロールを引き受け、ユーザーに代わってアクションを実行できるようになります。ポリシーのこの部分は必須です。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "mediaconnect:List*", "mediaconnect:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAvailabilityZones" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricData" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "mediaconnect.amazonaws.com" } } } ] }
すべての AWS Elemental MediaConnect リソースへのすべてのアクションを許可する
AWS Elemental MediaConnect のすべてのユーザーは、AWS Elemental MediaConnect リソースへのアクセス許可を定義するポリシーが必要です。次の IAM ポリシーで、以下のアクセス許可が提供されます。
-
mediaconnect:*アクションのセクションにより、AWS Elemental MediaConnect で作成しするすべてのリソースへのすべてのアクションを許可します。 -
ec2:DescribeAvailabilityZonesアクションのセクションにより、サービスはフローがどのアベイラビリティーゾーンにあるかに関する情報を取得できます。ポリシーのこの部分は必須です。 -
cloudwatch:GetMetricDataアクションのセクションにより、サービスは Amazon CloudWatch からメトリックスを取得できます。ポリシーのこの部分は必須です。 -
iam:PassRoleアクションのセクションでは、IAM がサービスにロールを渡してAWS Elemental MediaConnect IAM と通信し、サービスに代わってロールを引き受けることができます。これで、その後サービスがロールを引き受け、ユーザーに代わってアクションを実行できるようになります。ポリシーのこの部分は必須です。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "mediaconnect:*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAvailabilityZones" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricData" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "mediaconnect.amazonaws.com" } } } ] }
AWS Elemental MediaConnect がVPC でネットワークインターフェイスを作成および管理することを許可します
この IAM ポリシーの例では、AWS Elemental MediaConnect がVPC 内にネットワークインターフェイスを作成および管理して、コンテンツが VPC から MediaConnect に流れることができるようにします。VPC をフローに接続する場合は、このポリシーを設定する必要があります。
-
ec2:アクションのセクションでは、MediaConnect が VPC 内のネットワークインターフェースを作成、読み取り、更新、削除することができます。ポリシーのこの部分は必須です。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:describeNetworkInterfaces", "ec2:describeSecurityGroups", "ec2:describeSubnets", "ec2:createNetworkInterface", "ec2:createNetworkInterfacePermission", "ec2:deleteNetworkInterface", "ec2:deleteNetworkInterfacePermission" ], "Effect": "Allow", "Resource": "*" } ] }
