翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 管理者以外のロールの作成
アカウントの管理者グループのユーザーは、そのアカウントのすべての AWS サービスとリソースにアクセスできます。すべての AWS リソースへの直接アクセスを許可することは、最小特権のアクセス許可をユーザーに適用するというベストプラクティスに反します。このセクションでは、アクセス許可が AWS Elemental MediaConnect に制限されたロールを作成する方法について説明します。このセクションでは、ユーザーがそのロールを引き受け、安全で一時的な認証情報を付与する方法についても説明します。
**Topics**
+ [ステップ 1: 管理者以外のポリシーを作成する](#setting-up-create-nonadmin-IAM-policies)
+ [ステップ 2: 管理者以外のロールを作成する](#setting-up-create-nonadmin-roles-create-role)
+ [ステップ 3: ロールを引き受ける](#setting-up-create-nonadmin-roles-assume-role)
## ステップ 1: 管理者以外のポリシーを作成する
AWS Elemental MediaConnect 向けに、読み取り/書き込みアクセス権を付与するポリシーと、読み取り専用アクセス権を付与するポリシーの 2 つのポリシーを作成します。ポリシーごとに以下のステップを 1 回のみ実行します。その後、これらのポリシーをロールにアタッチします。その後、ユーザーがこれらのロールを一時的に引き受け、MediaConnect へのアクセスを許可することができます。
**ポリシーを作成するには**
1. AWS アカウント ID またはアカウントエイリアス、および管理者ユーザーの認証情報を使用して、[IAM コンソール](https://console.aws.amazon.com/iam)にサインインします。
1. コンソールのナビゲーションペインで、**[Policies]** (ポリシー) を選択します。
1. **ポリシー** ページで、`MediaConnectAllAccess` という名前のポリシーを作成します。このポリシーは、AWS Elemental MediaConnect のすべてのリソースに対するすべてのアクションを許可します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[JSON]** タブを選択し、以下のポリシーを貼り付けます。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"mediaconnect:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAvailabilityZones"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "mediaconnect.amazonaws.com"
}
}
}
]
}
```
------
このポリシーでは、AWS Elemental MediaConnect のすべてのリソースに対するすべてのアクションを許可します。
1. [**Next: Tags (次へ: タグ)**] を選択します。
1. **[次へ: レビュー]** を選択します。
1. **確認と作成**ページで、**ポリシー名**に と入力し**MediaConnectAllAccess**、**ポリシーの作成**を選択します。
1. **ポリシー** ページで、`MediaConnectReadOnlyAccess` という名前の AWS Elemental MediaConnect の読み取り専用ポリシーを作成します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[JSON]** タブを選択し、以下のポリシーを貼り付けます。
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"mediaconnect:List*",
"mediaconnect:Describe*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAvailabilityZones"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "mediaconnect.amazonaws.com"
}
}
}
]
}
```
------
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. **[次へ: レビュー]** を選択します。
1. **確認と作成**ページで、**ポリシー名**に と入力し**MediaConnectReadOnlyAccess**、**ポリシーの作成**を選択します。
## ステップ 2: 管理者以外のロールを作成する
ユーザーごとに個別のポリシーをアタッチするのではなく、ポリシーごとにロールを作成してユーザーがロールを引き受けることができます。以下の手順を使用して、2 つのロールを作成します。1 つは **MediaConnectAllAccess** ポリシー用、もう 1 つは **MediaConnectReadOnlyAccess** ポリシー用です。
**ロールを作成するには**
1. IAM コンソールのナビゲーションペインで **[ロール]** を選択します。
1. **ロール** ページで、`MediaConnectAllAccess` ポリシーを使用して管理者ロールを作成します。
1. [**ロールの作成**] を選択してください。
1. **信頼できるエンティティの選択** セクションで、**AWS アカウント** を選択します。
1. ** AWS アカウント** セクションで、このロールを引き受けるユーザーのアカウントを選択します。
1. 第三者がこのロールにアクセスする場合は、**外部 ID が必要** を選択するのがベストプラクティスです。外部 ID の詳細については、「IAM ユーザーガイド」の「[サードパーティーへのアクセスに外部 ID を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)」を参照してください。
1. 多要素認証 (MFA) を必要とするのがベストプラクティスです。**[MFA が必要]** の横にあるチェックボックスを選択できます。MFA の詳細については、「*IAM ユーザーガイド*」の「[多要素認証 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。
1. **次へ** を選択して **権限の追加** セクションに移動します。
1. **アクセス権限ポリシー** セクションで、「[ステップ 3a: ポリシーを作成する](#setting-up-create-nonadmin-IAM-policies)」の手順で作成した **MediaConnectAllAccess** ポリシーを選択します。
1. このグループに正しいポリシーが追加されていることを確認し、**次へ** を選択します。
1. **名前、確認、作成** セクションで、ロールに `MediaConnectAdmins` という名前を付けます。(オプション) ロールの説明を追加します。**[Create role]** (ロールの作成) を選択します。
1. **ロール** ページで、`MediaConnectReadOnlyAccess` ポリシーを使用して管理者ロールを作成します。
1. [**ロールの作成**] を選択してください。
1. **信頼できるエンティティの選択** セクションで、**AWS アカウント** を選択します。
1. ** AWS アカウント** セクションで、このロールを引き受けるユーザーのアカウントを選択します。
1. 第三者がこのロールにアクセスする場合は、**外部 ID が必要** を選択するのがベストプラクティスです。外部 ID の詳細については、「IAM ユーザーガイド」の「[サードパーティーへのアクセスに外部 ID を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)」を参照してください。
1. 多要素認証 (MFA) を必要とするのがベストプラクティスです。**[MFA が必要]** の横にあるチェックボックスを選択できます。MFA の詳細については、「*IAM ユーザーガイド*」の「[多要素認証 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。
1. **次へ** を選択して **権限の追加** セクションに移動します。
1. **アクセス権限ポリシー** セクションで、[ステップ 3a: ポリシーを作成する](#setting-up-create-nonadmin-IAM-policies) の手順で作成した **MediaConnectReadOnlyAccess** ポリシーを選択します。
1. このグループに正しいポリシーが追加されていることを確認し、**次へ** を選択します。
1. **名前、確認、作成** セクションで、ロールに `MediaConnectReaders` という名前を付けます。(オプション) ロールの説明を追加します。**[Create role]** (ロールの作成) を選択します。
## ステップ 3: ロールを引き受ける
ポリシーを作成してそのポリシーをロールにアタッチしたら、ユーザーはそのロールを引き受け、MediaConnect への安全で一時的なアクセスを許可する必要があります。
ロールを引き受ける許可をユーザーに付与する方法と、ユーザーがコンソールまたは AWS CLIからロールに切り替える方法については、以下のリソースをご覧ください。
+ ロールを切り替えるアクセス許可をユーザーに付与する: [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)
+ ロール (コンソール) の切り替え: [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)
+ ロール (AWS CLI) の切り替え: [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html)