Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Conditions préalables pour commencer à utiliser MediaConvert
<a name="setting-up"></a>

Avant de commencer à l'utiliser MediaConvert, vous avez besoin d'au moins un fichier d'entrée stocké dans Amazon S3 ou sur un HTTP/HTTPS serveur, d'un compartiment Amazon S3 pour vos fichiers de sortie et d'un rôle IAM doté des autorisations appropriées. Compte AWS

Pour plus d'informations sur le chargement de fichiers sur Amazon S3, consultez la section [Chargement d'objets dans le *guide de l'utilisateur d'Amazon S3*](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html). 

Pour plus d'informations sur la création d'un compartiment Amazon S3 pour votre destination de sortie, consultez la section [Création d'un compartiment dans le *guide de l'utilisateur Amazon S3*](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). 

Les rubriques suivantes décrivent comment vous inscrire à un rôle IAM, Compte AWS puis comment configurer votre rôle IAM.

**Topics**
+ [

# Configuration des autorisations IAM
](iam-role.md)

# Configuration des autorisations IAM
<a name="iam-role"></a>

Pour exécuter des tâches de transcodage avec AWS Elemental MediaConvert, vous avez besoin d'un rôle de service IAM pour autoriser l' MediaConvert accès à vos ressources. Les ressources incluent des éléments tels que vos fichiers d'entrée et les emplacements où vos fichiers de sortie sont stockés. 

Quelle que soit la manière dont vous avez initialement créé votre rôle de service IAM, vous pouvez affiner ce rôle à tout moment à l'aide d'IAM. Pour plus d’informations, consultez [Ajout et suppression d’autorisations basées sur l’identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) dans le *Guide de l’utilisateur IAM*.

Vous pouvez créer votre rôle de service IAM de l'une des manières suivantes :
+ Dans la MediaConvert console, avec certaines restrictions quant aux autorisations que vous accordez. Pour obtenir des instructions, veuillez consulter [Création du rôle IAM dans MediaConvert](creating-the-iam-role-in-mediaconvert-configured.md).

  Depuis la MediaConvert console, en configurant votre rôle pour autoriser MediaConvert l'accès à certains de vos compartiments Amazon S3 uniquement. Vous pouvez également choisir d'accorder ou non l'accès par appel à vos points de terminaison API Gateway.
+ Dans la console IAM. Pour obtenir des instructions, veuillez consulter [Création d'un rôle dans IAM](creating-the-iam-role-in-iam.md).

  Vous pouvez contrôler précisément l'accès que vous accordez MediaConvert lorsque vous configurez votre rôle IAM dans la console IAM. Vous pouvez également utiliser IAM via le AWS Command Line Interface (AWS CLI), une API ou un SDK.

**Note**  
Si vous activez le chiffrement par défaut d'Amazon S3 sur vos compartiments Amazon S3 et que vous spécifiez votre propre clé gérée par AWS Key Management Service, vous devez accorder des autorisations supplémentaires. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations MediaConvert pour accéder aux compartiments Amazon S3 chiffrés](granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets.md).

## Utilisation du MediaConvert rôle par défaut
<a name="default-role"></a>

Si vous utilisez ce nom`MediaConvert_Default_Role`, la MediaConvert console l'utilisera par défaut lorsque vous créerez des tâches à l'avenir. Cela se produit quelle que soit la manière dont vous créez le rôle de service IAM MediaConvert à utiliser.

# Création du rôle IAM dans MediaConvert
<a name="creating-the-iam-role-in-mediaconvert-configured"></a>

Lorsque vous créez le rôle Gestion des identités et des accès AWS (IAM) MediaConvert avec des autorisations configurées, vous pouvez restreindre l' MediaConvert accès à des compartiments Amazon S3 spécifiques uniquement. Vous pouvez également spécifier si vous souhaitez accorder l'accès par appel à vos points de terminaison Amazon API Gateway.

**Pour configurer le rôle IAM MediaConvert avec des autorisations configurées**

1. Ouvrez la page [Tâches](https://console.aws.amazon.com/mediaconvert/home#/jobs/list) dans la MediaConvert console.

1. Choisissez **Créer une tâche**.

1. Sous **Paramètres du Job**, sélectionnez **AWS Intégration**.

1. Dans la section **Accès au service**, pour le **contrôle des rôles de service**, choisissez **Créer un nouveau rôle de service, configurez les autorisations**.

1. Pour **le nouveau nom du rôle**, nous vous conseillons de conserver la valeur par défaut**MediaConvert\$1Default\$1Role**. Dans ce cas, MediaConvert utilise ce rôle par défaut pour vos futures tâches.

1. Pour les **emplacements S3 d'entrée** et les **emplacements S3 de sortie**, choisissez **Ajouter un emplacement**. Sélectionnez les compartiments Amazon S3 que vous utiliserez pour les emplacements d'entrée ou de sortie.

1. (Facultatif) Pour **l'invocation du point de terminaison API Gateway**, si vous utilisez des fonctionnalités qui l'exigent, choisissez Autoriser.

   MediaConvert nécessite cet accès pour les fonctionnalités suivantes :
   + Gestion des droits numériques avec SPEKE
   + Nielsenfiligrane non linéaire

   Pour autoriser l' MediaConvert accès par appel à un point de terminaison spécifique uniquement, modifiez ces autorisations dans la politique de rôle après l'avoir créée à l'aide du service Gestion des identités et des accès AWS (IAM). Pour plus d'informations, consultez la section [Modification des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) dans le *guide de l'Gestion des identités et des accès AWS utilisateur*.

# Création d'un rôle avec la console IAM
<a name="creating-the-iam-role-in-iam"></a>

En travaillant directement avec Gestion des identités et des accès AWS (IAM), vous pouvez  effectuer des actions qui ne sont pas disponibles dans la MediaConvert console. Vous pouvez soit le faire lorsque vous créez votre rôle dans IAM, soit créer votre rôle dans MediaConvert puis utiliser IAM pour l'affiner ultérieurement.

La procédure suivante explique comment créer un rôle avec la console IAM. Pour plus d'informations sur l'accès à IAM par programmation,  consultez le document approprié dans le kit de documentation [IAM](https://docs.aws.amazon.com/iam/).

**Pour créer le rôle de service pour MediaConvert (console IAM)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le volet de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).

1. Pour **Trusted entity** (Entité de confiance), choisissez **Service AWS**.

1. Pour **Service ou cas d'utilisation**, choisissez **MediaConvert**, puis choisissez le cas **MediaConvert**d'utilisation.

1. Choisissez **Suivant**.

1. Cochez la case à côté de la MediaConvert politique que vous avez créée lors de la procédure précédente.

1. (Facultatif) Définissez une [limite d'autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service.

   1. Ouvrez la section **Définir une limite des autorisations** et choisissez **Utiliser une limite des autorisations pour contrôler le nombre maximum d’autorisations de rôle**.

      IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte.

   1. Sélectionnez la politique à utiliser comme limite d'autorisations.

1. Choisissez **Suivant**.

1. Saisissez un nom de rôle ou un suffixe de nom de rôle pour vous aider à identifier l’objectif du rôle.
**Important**  
Lorsque vous nommez un rôle, notez ce qui suit :  
Les noms de rôles doivent être uniques au sein du Compte AWS vôtre et ne peuvent pas être rendus uniques au cas par cas.  
Par exemple, ne créez pas deux rôles nommés **PRODROLE** et **prodrole**. Lorsqu’un nom de rôle est utilisé dans une politique ou dans le cadre d’un ARN, le nom de rôle est sensible à la casse. Cependant, lorsqu’un nom de rôle apparaît aux clients dans la console, par exemple lors de la procédure d’ouverture de session, le nom de rôle est insensible à la casse.
Vous ne pouvez pas modifier le nom du rôle après sa création, car d’autres entités pourraient y faire référence.

1. (Facultatif) Pour **Description**, saisissez la description du rôle.

1. (Facultatif) Pour modifier les cas d’utilisation et les autorisations du rôle, dans les sections **Étape 1 : sélectionner les entités de confiance** ou **Étape 2 : ajouter des autorisations**, sélectionnez **Modifier**.

1. (Facultatif) Pour identifier, organiser ou rechercher le rôle, ajoutez des identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la section [Balises pour les Gestion des identités et des accès AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le Guide de l'*utilisateur d'IAM*.

1. Passez en revue les informations du rôle, puis choisissez **Create role** (Créer un rôle).

**Note**  
Pour le **nouveau nom du rôle**, nous vous suggérons de le saisir**MediaConvert\$1Default\$1Role**. Dans ce cas, MediaConvert utilise ce rôle par défaut pour vos futures tâches.

# Octroi d'autorisations MediaConvert pour accéder aux compartiments Amazon S3 chiffrés
<a name="granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets"></a>

Lorsque vous [activez le chiffrement par défaut d'Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up), Amazon S3 chiffre automatiquement vos objets lorsque vous les chargez. Vous pouvez éventuellement choisir d'utiliser AWS Key Management Service (AWS KMS) pour gérer la clé. C'est ce que l'on appelle le chiffrement SSE-KMS.

Si vous activez le chiffrement par défaut SSE-KMS sur les compartiments contenant vos fichiers AWS Elemental MediaConvert d'entrée ou de sortie, vous devez [ajouter des politiques intégrées à votre rôle de service IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console). Si vous n'ajoutez pas de politiques intégrées, vous ne MediaConvert pouvez pas lire vos fichiers d'entrée ou écrire vos fichiers de sortie. 

Accordez ces autorisations dans les cas d'utilisation suivants :
+ Si votre compartiment d'entrée utilise le chiffrement par défaut SSE-KMS, accordez `kms:Decrypt`
+ Si votre compartiment de sortie utilise le chiffrement par défaut SSE-KMS, accordez `kms:GenerateDataKey`

L'exemple de politique intégrée suivant accorde les deux autorisations.

## Exemple de politique en ligne avec et kms:Decrypt kms:GenerateDataKey
<a name="example-inline-policy-kms-decrypt-generatedatakey"></a>

Cette politique accorde des autorisations à la fois pour `kms:Decrypt` et`kms:GenerateDataKey`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}
```

------