View a markdown version of this page

Secrets Manager で MediaConnect 暗号化キーにアクセスするためのポリシー例 - AWS Elemental MediaConnect
特定のシークレットへの読み取りアクセスを許可する特定のリージョンで作成されたすべてのシークレットへの読み取りアクセスを許可するすべてのリソースへの読み取りアクセスを許可する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Secrets Manager で MediaConnect 暗号化キーにアクセスするためのポリシー例

シークレットとして保存されている暗号化キー AWS Elemental MediaConnect の読み取りを に許可する IAM ポリシーを作成できます AWS Secrets Manager。

MediaConnect を使用して静的キー暗号化を設定するときは、 MediaConnectMediaConnect に割り当てる IAM ポリシーを作成します。このポリシーにより、MediaConnect は Secrets Manager に保存したシークレットを読み取ることができます。このポリシーの設定はお客様の判断次第です。ポリシーは、最も制限の厳しい (特定のシークレットのみへのアクセスを許可する) から、最も制限の低い ( を使用して作成するシークレットへのアクセスを許可する) まで多岐にわたります AWS アカウント。ベストプラクティスとして、最も制限の厳しいポリシーを使用することをお勧めします。ただし、次の例は、さまざまな制限レベルでポリシーを設定する方法を示しています。MediaConnect はシークレットへの読み取りアクセスのみを必要とするため、すべての例に、保存する値の読み取りに必要なアクションのみが表示されます。

注記

Secrets Manager の次の IAM ポリシーの例はさまざまな に広く適用できますが AWS のサービス、このページでは MediaConnect のコンテキストでの使用を具体的に示しています。Secrets Manager の詳細については、 AWS Secrets Manager ドキュメントを参照してください。

Secrets Manager で特定のシークレットへの読み取りアクセスを許可する

次の IAM ポリシーの例では、Secrets Manager で作成した特定のリソース (シークレット) への読み取りアクセスを許可します。

ARNs のプレースホルダーテキストを独自の情報に置き換えます。ARNs は、MediaConnect で使用する暗号化キーを保存するシークレットを表す必要があります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes128-1a2b3c",
                "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes192-4D5e6F",
                "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

Secrets Manager AWS リージョン の特定の で作成されたすべてのシークレットへの読み取りアクセスを許可する

次の IAM ポリシーは、MediaConnect に使用される暗号化キーを含め、Secrets Manager AWS リージョン の特定の で作成したすべてのシークレットへの読み取りアクセスを許可します。このポリシーは、すでに作成したリソースと、指定したリージョンで将来作成するすべてのリソースに適用されます。これは、同じリージョン内で複数の暗号化された MediaConnect フローを管理する場合に役立ちます。

ARNs のプレースホルダーテキストを独自の情報に置き換えます。リージョンとアカウント ID は、シークレットの保存場所を表す必要があります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

Secrets Manager のすべてのリソースへの読み取りアクセスを許可する

次の IAM ポリシーは、MediaConnect に使用される暗号化キーを含め、Secrets Manager で作成するすべてのリソースへの読み取りアクセスを許可します。このポリシーは、既に作成したリソースと、今後作成するすべてのリソースに適用されます。この広範なアクセスは、複数のリージョンで暗号化された MediaConnect フローを管理するときに必要になる場合があります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds",
                "secretsmanager:ListSecrets"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

MediaConnect フローの暗号化の設定の詳細については、このガイドの「データ保護」を参照してください。Secrets Manager の使用に関する一般的な情報については、AWS Secrets Manager 「 ユーザーガイド」を参照してください。