ステップ 3: IAM アクセス許可の設定
AWS Elemental MediaConvert で変換ジョブを実行するには、最初に AWS Identity and Access Management (IAM) ロールを設定し、入力ファイルへのアクセスと出力ファイルの保存先へのアクセスを MediaConvert に許可します。DRM を使用する場合は、IAM アクセス許可により、API Gateway を通じて暗号化キーへのアクセスも MediaConvert に許可します。
IAM で MediaConvert ロールを設定するには
-
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。
-
IAM コンソールのナビゲーションペインで、[Roles]、[Create role] の順に選択します。
-
[AWS サービス] ロールタイプを選択し、[MediaConvert] サービスを選択します。
-
サービスの [MediaConvert] ユースケースを選択します。続いて、[Next: Permissions] を選択します。サービスには、ロールで使用するアクセス権限が定義済みです。これらのアクセス権限により、MediaConvert に以下の権限が付与されます。
-
Amazon S3 リソースへのフルアクセス
-
API Gateway 呼び出しへのフルアクセス
このロールを引き受けることができる唯一のエンティティは MediaConvert サービスです。
-
-
[Next: Review (次へ: レビュー)] を選択します。
-
[ロール名] に、ロールの目的がわかるような名前を入力します。
MediaConvert_Default_Roleという名前を使用する場合、MediaConvert コンソールはジョブを実行するときにデフォルトでこのロールを使用します。ロール名は AWS アカウント内で一意でなければなりません。最大 64 文字で構成し、文字、数字、または記号 + = , . @ - _ を使用できます。
多くのエンティティによりロールが参照されるため、作成後にロール名を変更することはできません。
-
(オプション) [ロールの説明] で、新しいサービスロールの説明を編集します。
-
ロールを確認し、[ロールの作成] を選択します。
注記
Amazon S3 のデフォルトの暗号化を有効にすると、Amazon S3 はオブジェクトをアップロード時に自動的に暗号化します。オプションで、AWS Key Management Service(KMS) を使用してマスターキーを管理することを選択できます。これは SSE-KMS 暗号化と呼ばれます。
AWS Elemental MediaConvert の入力ファイルまたは出力ファイルを保持するバケットに対して SSE-KMS のデフォルトの暗号化を有効にする場合は、この MediaConvert ロールにインラインポリシーを追加する必要もあります。追加しないと、MediaConvert は入力ファイルを読み取ることも、出力ファイルに書き込むこともできません。以下のアクセス許可を付与します。
-
入力バケットに対して SSE-KMS のデフォルトの暗号化が設定されている場合は、
kms:Decryptを付与します。 -
出力バケットに対して SSE-KMS のデフォルトの暗号化が設定されている場合は、
kms:GenerateDataKeyを付与します。
このインラインポリシーの例では、両方のアクセス許可を付与します。
