翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# MediaConvert が暗号化された Amazon S3 バケットにアクセスするためのアクセス許可の付与
<a name="granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets"></a>

[Amazon S3 のデフォルトの暗号化を有効](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up)にすると、Amazon S3 はオブジェクトをアップロード時に自動的に暗号化します。オプションで、 AWS Key Management Service (AWS KMS) を使用してキーを管理できます。これは SSE-KMS 暗号化と呼ばれます。

 AWS Elemental MediaConvert 入力ファイルまたは出力ファイルを保持するバケットで SSE-KMS のデフォルト暗号化を有効にする場合は、IAM サービスロールに[インラインポリシーを追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)する必要があります。インラインポリシーを追加しない場合、MediaConvert は入力ファイルを読むことも出力ファイルに書き込むこともできません。

以下のユースケースでこれらのアクセス許可を付与します。
+ 入力バケットに対して SSE-KMS のデフォルトの暗号化が設定されている場合は、`kms:Decrypt` を付与します。
+ 出力バケットに対して SSE-KMS のデフォルトの暗号化が設定されている場合は、`kms:GenerateDataKey` を付与します。

このインラインポリシーの例では、両方のアクセス許可を付与します。

## kms:Decrypt と kms:GenerateDataKey のインラインポリシー例
<a name="example-inline-policy-kms-decrypt-generatedatakey"></a>

このポリシーでは `kms:Decrypt` と `kms:GenerateDataKey` の両方にアクセス許可を付与します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}
```

------