Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einrichten von IAM-Berechtigungen
<a name="iam-role"></a>

Um Transcodierungsaufträge mit ausführen zu können AWS Elemental MediaConvert, benötigen Sie eine IAM-Dienstrolle, die den MediaConvert Zugriff auf Ihre Ressourcen ermöglicht. Zu den Ressourcen gehören Dinge wie Ihre Eingabedateien und die Speicherorte, an denen Ihre Ausgabedateien gespeichert sind. 

Unabhängig davon, wie Sie Ihre IAM-Servicerolle ursprünglich erstellen, können Sie diese Rolle mithilfe von IAM jederzeit verfeinern. Informationen finden Sie im Abschnitt [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) im *-IAM-Benutzerhandbuch*.

Sie können Ihre IAM-Servicerolle auf eine der folgenden Arten erstellen:
+ In der MediaConvert Konsole, mit einigen Einschränkungen in Bezug auf die von Ihnen gewährten Berechtigungen. Detaillierte Anweisungen finden Sie unter [Erstellung der IAM-Rolle innerhalb MediaConvert](creating-the-iam-role-in-mediaconvert-configured.md).

  Von der MediaConvert Konsole aus, indem Sie Ihre Rolle so konfigurieren, dass nur auf einige Ihrer Amazon S3 S3-Buckets MediaConvert zugegriffen werden kann. Sie können auch wählen, ob Sie Ihren API Gateway Gateway-Endpunkten Aufrufzugriff gewähren möchten.
+ In der IAM-Konsole. Detaillierte Anweisungen finden Sie unter [Eine Rolle in IAM erstellen](creating-the-iam-role-in-iam.md).

  Sie können genau steuern, welchen Zugriff Sie gewähren, MediaConvert wenn Sie Ihre IAM-Rolle in der IAM-Konsole einrichten. Sie können IAM auch über die AWS Command Line Interface (AWS CLI) oder eine API oder ein SDK verwenden.

**Anmerkung**  
Wenn Sie die Amazon S3 S3-Standardverschlüsselung für Ihre Amazon S3 S3-Buckets aktivieren und Sie Ihren eigenen Schlüssel angeben, der von verwaltet wird AWS Key Management Service, müssen Sie zusätzliche Berechtigungen gewähren. Weitere Informationen finden Sie unter [Erteilen von Zugriffsberechtigungen für MediaConvert verschlüsselte Amazon S3 S3-Buckets](granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets.md).

## Verwenden Sie die Standardrolle MediaConvert
<a name="default-role"></a>

Wenn Sie den Namen verwenden`MediaConvert_Default_Role`, verwendet ihn die MediaConvert Konsole standardmäßig, wenn Sie in future Jobs erstellen. Dies geschieht unabhängig davon, wie Sie die zu verwendende IAM-Servicerolle MediaConvert erstellen.

# Erstellen Sie die IAM-Rolle in MediaConvert
<a name="creating-the-iam-role-in-mediaconvert-configured"></a>

Wenn Sie die AWS Identity and Access Management (IAM) -Rolle MediaConvert mit konfigurierten Berechtigungen erstellen, können Sie den MediaConvert Zugriff nur auf bestimmte Amazon S3 S3-Buckets beschränken. Sie können auch angeben, ob Sie Aufrufzugriff auf Ihre Amazon API Gateway Gateway-Endpunkte gewähren möchten.

**Um die IAM-Rolle mit konfigurierten Berechtigungen einzurichten MediaConvert**

1. Öffnen Sie die Seite [Jobs](https://console.aws.amazon.com/mediaconvert/home#/jobs/list) in der MediaConvert Konsole.

1. Wählen Sie **Job erstellen** aus.

1. Wählen Sie unter **Jobeinstellungen** die Option **AWS Integration** aus.

1. Wählen Sie im Abschnitt **Dienstzugriff** für die **Steuerung der Servicerolle** die Option **Neue Servicerolle erstellen, Berechtigungen konfigurieren** aus.

1. Für **Neuer Rollenname** empfehlen wir, den Standardwert beizubehalten**MediaConvert\$1Default\$1Role**. Wenn Sie dies tun, MediaConvert verwendet diese Rolle standardmäßig für Ihre future Jobs.

1. Wählen Sie für **Eingabe-S3-Standorte** und **Ausgabe-S3-Standorte** die Option **Standort hinzufügen** aus. Wählen Sie die Amazon S3 S3-Buckets aus, die Sie für Eingabe- oder Ausgabespeicherorte verwenden möchten.

1. (Optional) Wählen Sie für den **API-Gateway-Endpunktaufruf** Zulassen aus, wenn Sie Funktionen verwenden, die dies erfordern.

   MediaConvert erfordert diesen Zugriff für die folgenden Funktionen:
   + Verwaltung digitaler Rechte mit SPEKE
   + Nielsennichtlineares Wasserzeichen

   Um MediaConvert Aufrufzugriff nur für einen bestimmten Endpunkt zu gewähren, ändern Sie diese Berechtigungen in der Rollenrichtlinie, nachdem Sie sie mithilfe des AWS Identity and Access Management (IAM-) Dienstes erstellt haben. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).AWS Identity and Access Management *

# Eine Rolle mit der IAM-Konsole erstellen
<a name="creating-the-iam-role-in-iam"></a>

Wenn Sie direkt mit AWS Identity and Access Management (IAM) arbeiten, können Sie Aktionen  ausführen, die in der MediaConvert Konsole nicht verfügbar sind. Sie können dies entweder tun, wenn Sie Ihre Rolle in IAM erstellen, oder Sie können Ihre Rolle in IAM erstellen MediaConvert und dann IAM verwenden, um sie später zu verfeinern.

Im folgenden Verfahren wird erklärt, wie Sie eine Rolle mit der IAM-Konsole erstellen. [Informationen zum programmgesteuerten Zugriff auf IAM  finden Sie im entsprechenden Dokument in der IAM-Dokumentation.](https://docs.aws.amazon.com/iam/)

**So erstellen Sie die Servicerolle für MediaConvert (IAM-Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.

1. Wählen Sie für **Vertrauenswürdige Entität** die Option **AWS-Service** aus.

1. Wählen Sie für **Service oder Anwendungsfall** die Option und wählen **MediaConvert**Sie dann den **MediaConvert**Anwendungsfall aus.

1. Wählen Sie **Weiter** aus.

1. Aktivieren Sie das Kästchen neben der MediaConvert Richtlinie, die Sie im vorherigen Verfahren erstellt haben.

1. (Optional) Legen Sie eine [Berechtigungsgrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen.

   1. Öffnen Sie den Abschnitt **Berechtigungsgrenze festlegen** und wählen Sie dann **Eine Berechtigungsgrenze verwenden, um die maximalen Rollenberechtigungen zu steuern** aus.

      IAM enthält eine Liste der AWS verwalteten und kundenverwalteten Richtlinien in Ihrem Konto.

   1. Wählen Sie die Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll.

1. Wählen Sie **Weiter** aus.

1. Geben Sie einen Rollennamen oder ein Rollennamen-Suffix ein, mit dem der Zweck dieser Rolle einfach zu erkennen ist.
**Wichtig**  
Beachten Sie beim Benennen einer Rolle Folgendes:  
Rollennamen müssen innerhalb Ihres AWS-Konto Unternehmens eindeutig sein und können nicht von Fall zu Fall eindeutig sein.  
Erstellen Sie beispielsweise keine Rollen mit dem Namen **PRODROLE** und **prodrole**. Wenn ein Rollenname in einer Richtlinie oder als Teil einer ARN verwendet wird, muss die Groß-/Kleinschreibung des Rollennamens beachtet werden. Wenn ein Rollenname den Kunden jedoch in der Konsole angezeigt wird, z. B. während des Anmeldevorgangs, wird die Groß-/Kleinschreibung des Rollennamens nicht beachtet.
Sie können den Namen der Rolle nach ihrer Erstellung nicht mehr bearbeiten, da andere Entitäten möglicherweise auf die Rolle verweisen.

1. (Optional) Geben Sie unter **Beschreibung** eine Beschreibung für die neue Rolle ein.

1. (Optional) Um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten, wählen Sie in den Abschnitten **Schritt 1: Vertrauenswürdige Entitäten auswählen** oder **Schritt 2: Berechtigungen hinzufügen** die Option **Bearbeiten**.

1. (Optional) Fügen Sie Tags als Schlüssel-Wert-Paare hinzu, um die Identifizierung, Organisation oder Suche nach der Rolle zu vereinfachen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.

1. Prüfen Sie die Rolle und klicken Sie dann auf **Create Role (Rolle erstellen)**.

**Anmerkung**  
Wir empfehlen Ihnen, **den Namen einer neuen Rolle** einzugeben. **MediaConvert\$1Default\$1Role** Wenn Sie dies tun, MediaConvert verwendet diese Rolle standardmäßig für Ihre future Jobs.

# Erteilen von Zugriffsberechtigungen für MediaConvert verschlüsselte Amazon S3 S3-Buckets
<a name="granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets"></a>

Wenn Sie die [Amazon S3-Standardverschlüsselung aktivieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up), verschlüsselt Amazon S3 Ihre Objekte automatisch, wenn Sie sie hochladen. Sie können optional AWS Key Management Service (AWS KMS) verwenden, um den Schlüssel zu verwalten. Dies wird als SSE-KMS-Verschlüsselung bezeichnet.

Wenn Sie die SSE-KMS-Standardverschlüsselung für die Buckets aktivieren, die Ihre AWS Elemental MediaConvert Eingabe- oder Ausgabedateien enthalten, müssen Sie Ihrer [IAM-Dienstrolle Inline-Richtlinien hinzufügen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console). Wenn Sie keine Inline-Richtlinien hinzufügen, MediaConvert können Sie Ihre Eingabedateien nicht lesen oder Ihre Ausgabedateien schreiben. 

Erteilen Sie diese Berechtigungen in den folgenden Anwendungsfällen:
+ Wenn für Ihren Eingabe-Bucket die SSE-KMS-Standardverschlüsselung aktiviert ist, erteilen Sie die `kms:Decrypt`-Berechtigung.
+ Wenn für Ihren Ausgabe-Bucket die SSE-KMS-Standardverschlüsselung aktiviert ist, erteilen Sie die `kms:GenerateDataKey`-Berechtigung.

Das folgende Beispiel für eine Inline-Richtlinie gewährt beide Berechtigungen.

## Beispiel für eine Inline-Richtlinie mit kms:Decrypt und kms:GenerateDataKey
<a name="example-inline-policy-kms-decrypt-generatedatakey"></a>

Diese Richtlinie gewährt Berechtigungen sowohl für als `kms:Decrypt` auch`kms:GenerateDataKey`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}
```

------