翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 信頼できるエンティティとしてMediaLiveを設定する
IAM 管理者は、組織が MediaConnect フローのソースとして Link デバイスを使用する場合に MediaLive が必要とする特別なアクセス許可を考慮する必要があります。
MediaLive を*信頼できるエンティティ*として設定する必要があります。信頼されたエンティティ関係では、ロールは MediaLive を信頼されたエンティティとして識別します。ロールには1つ以上のポリシーが添付されています。各ポリシーには、許可されたオペレーションとリソースに関するステートメントが含まれています。信頼されたエンティティ、ロール、ポリシー間のチェーンは、次のステートメントを作成します。
MediaLive は、ポリシーで指定されたリソースに対してオペレーションを実行するために、このロールを引き受けることができます。
**重要**
MediaLive が[ランタイム でチャネルを操作するために必要な](setting-up-trusted-entity.md)信頼できるエンティティロールに精通しているかもしれません。MediaLive が Link デバイスで使用するには、別の信頼されたエンティティロールを作成することをお勧めします。チャネルのアクセス許可は非常に複雑です。デバイスのアクセス許可は非常に簡単です。これらは別々に保管してください。
**MediaLive が必要とするアクセス許可**
Link デバイスを使用するには、MediaLive に MediaConnect および Secrets Manager のオペレーションとリソースに対するアクセス許可が必要です。
+ MediaConnect の場合: MediaLive はフローの詳細を読み取ることができる必要があります。
+ Secrets Manager の場合: デバイスは MediaConnect に送信するコンテンツを常に暗号化します。MediaLiveprovides が提供する暗号化キーを使用して暗号化します。MediaLive は、MediaConnect ユーザーが Secrets Manager に保存したシークレットから暗号化キーを取得します。そのため、MediaLive にはシークレットに保存されている暗号化キーを読み取るためのアクセス許可が必要です。
このテーブルは、必要なオペレーションとリソースを指定します。
| アクセス許可 | IAM でのサービス名 | アクション | リソース |
| --- | --- | --- | --- |
| フローの詳細を表示する | mediaconnect | `DescribeFlow` | すべてのリソース |
| シークレットから暗号化キーを取得します。この表の後の説明を参照してください。 | secretsmanager | `GetSecretValue` | MediaLive がアクセスする必要がある暗号化キーを保持する各シークレットの ARN |
**Topics**
+ [ステップ 1: IAM ポリシーの作成](#device-iam-medialive-policy)
+ [ステップ 2: 信頼されたエンティティロールを設定する](#device-iam-medialive-role)
## ステップ 1: IAM ポリシーの作成
このステップでは、「プリンシパルに指定されたリソースで指定された Secrets Manager アクションへのアクセスを許可する」ステートメントを作成するポリシーを作成します。ポリシーはプリンシパルを指定しないことに注意してください。次のステップで、信頼されたエンティティロールを設定するときにプリンシパルを指定します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。[**Create Policy**] (ポリシーの作成) を選択し、[**JSON**] タブを選択します。
1. **ポリシーエディタ **で、サンプルコンテンツをクリアし、以下を貼り付けます。
1. **secretsmanager **の**リソース**セクションで、リージョン、アカウント、シークレット名を実際の値に置き換えます。
1. **リソース**セクションまたは に`secretsmanager`、シークレットごとに 1 つずつ行を追加します。最後の行を除くすべての行の最後にカンマを含めてください。例えば、次のようになります。
```
"Resource": [
"arn:aws:secretsmanager:us-west-2:111122223333:secret:emx_special_skating-KM19jL",
"arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_weekly_live_poetry-3ASA30",
"arn:aws:secretsmanager:us-west-2:111122223333:secret:aes-":secret:emx_tuesday_night_curling-AMcb01"
]
```
1. このポリシーがリンクとフロー用であることを明確にする名前をポリシーに付けます。例えば、`medialiveForLinkFlowAccess`。
1. [**Create policy**] (ポリシーの作成) を選択します。
## ステップ 2: 信頼されたエンティティロールを設定する
このステップでは、信頼ポリシー (MediaLive が`AssumeRole`アクションを呼び出すレット」) とポリシー (先ほど作成したポリシー) で構成されるロールを作成します。このように、MediaLive にはロールを引き受けるアクセス許可があります。ロールを引き受けると、ポリシーで指定されたアクセス許可を取得します。
1. IAM コンソールの左側のナビゲーション ペインで、**ロール**を選択し、**ロールを作成します**。**ロールの作成**ウィザードが表示されます。このウィザードでは、信頼できるエンティティを設定し、アクセス許可を追加する (ポリシーを追加) 手順を説明します。
1. **[信頼できるエンティティの選択]**ページで、**カスタム信頼ポリシー**カードを選択します。**カスタム信頼ポリシー**セクションが表示され、サンプルポリシーが表示されます。
1. サンプルを削除し、次のテキストをコピーして、**カスタム信頼ポリシー**セクションにテキストを貼り付けます。**カスタム信頼ポリシー**セクションは次のようになります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "medialive.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. [**次へ**] を選択します。
1. アクセス**許可の追加**ページで、作成したポリシー (`medialiveForLinkFlowAccess`など) を見つけ、チェックボックスを選択します。次いで、**[次へ]** を選択します。
1. レビューページで、役割の名前を入力します。例えば、`medialiveRoleForLinkFlowAccess`。
1. [**ロールの作成**] を選択してください。