翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Elemental MediaConnect を信頼されたサービスとしてセットアップする
AWS Identity and Access Management (IAM) を使用して、ユーザーとアプリケーションがアクセスできる AWS リソースを制御できます。これには、AWS Elemental MediaConnect がアカウントに代わって他のサービスと通信できるようにするためのアクセス許可の設定が含まれます。AWS Elemental MediaConnect を信頼できるエンティティとしてセットアップするには、次のステップを実行する必要があります。
**[ステップ 1.](#security-iam-trusted-entity-create-policy)** どのアクションを許可するかを管理する IAM ポリシーを作成します。
**[ステップ 2](#security-iam-trusted-entity-create-role)**: 信頼できる関係を持つ IAM ロールを作成し、前のステップで作成したポリシーをアタッチします。
## ステップ 1: 特定のアクションを許可する IAM ポリシーを作成します
このステップでは、許可するアクションを制御する IAM ポリシーを作成します。
**IAM ポリシーを作成するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで、**ポリシー** を選択してください。
1. **ポリシーの作成** を選択し、**JSON** タブを選択します。
1. JSON 形式を使用するポリシーを入力します。 の例については、次を参照してください。
+ [ VPC に接続するためのポリシーの例](security_iam_resource-based-policy-examples.md#iam-policy-examples-for-mediaconnect-vpc)
+ [のシークレットのポリシー例 AWS Secrets Manager](iam-policy-examples-asm-secrets.md)
1. **[ポリシーの確認]** を選択します。
1. **[名前]** に IAM ポリシーの名前を入力します。
1. [**Create policy**] (ポリシーの作成) を選択します。
## ステップ 2: 信頼できる関係を持つ IAM ロールを作成する
[ステップ 1](#security-iam-trusted-entity-create-policy) では、許可するアクションを管理する IAM ポリシーを作成しました。この手順では、IAM ロールを作成し、このポリシーをロールに割り当てます。次いで、AWS Elemental MediaConnect を、ロールを引き受け可能な信頼できるエンティティとして定義します。
**信頼関係のあるロールを作成するには**
1. IAM コンソールのナビゲーションペインで **[ロール]** を選択します。
1. **[Role]** (ロール) ページで、**[Create role]** (ロールの作成) を選択します。
1. **[ロールを作成]** ページの **信頼されたエンティティのタイプを選択** セクションで、**[AWS サービス]** (デフォルト)を選択します 。
1. **[Choose the service that will use this role]** (このロールを使用するサービスを選択) で、**[EC2]** を選択します。
MediaConnect は現在リストに含まれていないため、EC2 を選択します。EC2 を選択すると、ロールを作成できます。後の手順で、このロールを変更し、EC2 を MediaConnect に置き換えます。
1. **[Next: Permissions]** (次のステップ: 許可) を選択します。
1. **[許可ポリシーをアタッチ]** には、[ステップ 1](#security-iam-trusted-entity-create-policy) で作成したポリシーの名前を入力してください。
1. ポリシー名の横にあるチェックボックスをオンにして、**次へ: タグ**を選択します。
1. (オプション) タグをキーバリューペアとしてアタッチして、メタデータをユーザーに追加します。IAM でのタグの使用の詳細については、*IAM ユーザーガイド*の「[IAM リソースのタグ付け](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。
1. [**Next: Review**] を選択します。
1. **[Role name]** (ロール名) に名前を入力します。名前 `MediaConnectAccessRole` は予約されているため、使用できません。代わりに、`MediaConnect` を含み、このロールの目的を説明する名前を使用します。
1. **ロールの説明**では、デフォルトのテキストをこのロールの目的を覚えるのに役立つ説明に置き換えます。
1. [**ロールの作成**] を選択してください。
1. ページの上部に表示される確認メッセージで、**[ロールを表示]** を選択して作成したロールの名前を選択します。
1. **[信頼関係]** タブを選択し、続いて **[信頼ポリシーの編集]** を選択します。
1. **[信頼ポリシーの編集]** ウィンドウで、JSON を次のように変更します。
+ **[サービス]** で、`ec2.amazonaws.com` を `mediaconnect.amazonaws.com` に変更します。
+ セキュリティを強化するには、信頼ポリシーに特定の条件を定義します。これにより、MediaConnect はアカウント内のリソースのみを使用するように制限されます。これを行うには、**[アカウント ID]**、**[フロー ARN]**、またはその両方などのグローバル条件を使用します。以下の信頼ポリシーの例を参照してください。グローバル条件によるセキュリティ上の利点の詳細については、「[サービス間での混乱した代理問題の防止](cross-service-confused-deputy-prevention.md)」を参照してください。
**注記**
次の例では、**[アカウント ID]** と **[フロー ARN]** 条件の両方を使用しています。両方の条件を使用しないと、ポリシーの見え方が変わります。フローの完全な ARN が不明な場合や、複数のフローを指定する場合には、グローバルコンテキスト条件キー `aws:SourceArn` で、ARN の未知部分を示すためにワイルドカード文字 (`*`) を使用します。例えば、`arn:aws:mediaconnect:*:111122223333:*`。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mediaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:mediaconnect:us-west-2:111122223333:flow:*:flow-name"
}
}
}
]
}
```
------
1. [**ポリシーの更新**] を選択してください。
1. **[Summary]** (概要) ページで、**[Role ARN]** (ロール ARN) の値をメモします。以下のような形式です:`arn:aws:iam::111122223333:role/MediaConnectASM`