翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 信頼されたエンティティを作成する - 複雑なオプション
信頼されたエンティティの設定に[複雑なオプション](scenarios-for-medialive-role.md)を使用する必要があると判断した場合は、このセクションをお読みください。
複雑なオプションでは、次のタスクを実行する必要があります。
+ ポリシーとロールを作成し、それらのポリシーとロールを使用して MediaLive を信頼できるエンティティとしてセットアップします。このタスクは、ステップ A、B、および C で説明されています。
+ チャネルを作成または編集するときに、特定の信頼ポリシーをチャネルにアタッチするアクセス許可を持つすべての MediaLive ユーザーを設定します。このタスクはステップ D で説明します。
**Topics**
+ [アクセス要件を特定する](complex-scenario-create-trusted-entity-role-step1.md)
+ [ポリシーの作成](complex-scenario-create-trusted-entity-role-step2.md)
+ [ロールを作成します](complex-scenario-create-trusted-entity-role-step3.md)
+ [ユーザーの権限を設定する](requirements-medialiverole-complex-permissions.md)
+ [信頼されるエンティティのアクセス要件](trusted-entity-requirements.md)
# アクセス要件を特定する
デプロイで MediaLive とやり取りするサービスを特定する必要があります。次いで、各サービス内で、MediaLive にアクセスする必要があるオペレーションとリソースを識別する必要があります。最後に、これらの要件を処理する IAM ポリシーを設計する必要があります。
この要件分析は、リソースへのアクセスに関する組織の要件を理解している組織内のユーザーが実行する必要があります。この担当者は、MediaLive チャネルが他の AWS サービスのリソースへのアクセスを制限する必要があるかどうかを理解する必要があります。例えば、あるチャンネルがあるバケットにはアクセスできるが、他のバケットにはアクセスできないように、チャンネルがAmazon S3のバケットへのアクセスを制限すべきかどうかを、この担当者は判断する必要があります。
**MediaLive のアクセス要件を確認するには**
1. MediaLive が通常アクセスする必要のあるサービスについては、「[信頼されるエンティティのアクセス要件](trusted-entity-requirements.md)」の表を参照してください。デプロイで使用するサービスと、必要なオペレーションを特定します。
1. サービス内で、作成する必要があるポリシーの数を決定します。ワークフローごとにオブジェクトとオペレーションの複数の異なる組み合わせが必要ですか? また、セキュリティ上の理由から、これらの組み合わせをそれぞれ分離しておく必要がありますか?
具体的には、ワークフローごとに異なるリソースにアクセスする必要があるかどうか、および特定のリソースへのアクセスを制限することが重要かどうかを判断します。たとえば、Parameter Store AWS Systems Manager では、異なるワークフローに属するパスワードがあり、特定のユーザーにのみ特定のワークフローのパスワードへのアクセスを許可できます。
ワークフローごとにオブジェクト、オペレーション、リソースの要件が異なる場合、そのサービスでは、ワークフローごとに個別のポリシーが必要です。
1. 各ポリシーを設計する。ポリシーで許可されている (または許可されていない) オブジェクト、オペレーション、および許可されている (または許可されていない) リソースを識別します。
1. 識別したポリシーのいずれかがマネージドポリシーの対象かどうかを調べます。
1. ワークフローごとに、ワークフローで使用されるすべてのサービスに必要なポリシーを特定します。ポリシーを作成すると、ポリシーに複数のサービスを含めることができます。個別のサービスごとにポリシーを作成する必要はありません。
1. 必要なロールの数を特定します。ポリシーの一意の組み合わせごとに 1 つのロールが必要です。
1. 識別したすべてのポリシーとロールに名前を割り当てます。これらの名前には、機密性の高い識別情報(顧客口座名など)を含めないようにしてください。
# ポリシーの作成
[ステップ A](complex-scenario-create-trusted-entity-role-step1.md) に従って必要なポリシーを特定したら、IAM コンソールで作成する必要があります。
ポリシーごとに、以下の手順に従います。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。次に、[**Create policy(ポリシーの作成)**] を選択します。**ポリシーの作成**ウィザードが表示されます。このウィザードでは、以下の主要なステップを含むステップを順を追って説明します。
+ サービス を選択します。
+ そのサービスのアクションを選択します。
通常 (デフォルトでは)、許可するアクションを指定します。
しかし、**「Switch to deny permissions 」**ボタンを選択すれば、代わりに選択したアクションを拒否することもできます。セキュリティのベストプラクティスとして、他のステートメントやポリシーで別途許可されているパーミッションを上書きしたい場合にのみ、パーミッションを拒否することをお勧めします。これにより、アクセス許可のトラブルシューティングがより困難になる可能性があるため、拒否ステートメントの数は最小限に制限することをお勧めします。
+ 各アクションの[リソースを指定します](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) (アクションでサポートされている場合)。例えば、MediaLive `DescribeChannel` ARN を選択した場合は、特定のチャネルの ARNs を指定できます。
+ 条件を指定します (オプション)。例えば:
+ あるユーザーがあるアクションを実行できるのは、そのユーザーのリクエストが特定の時間範囲内で発生した場合のみであることを指定できます。
+ ユーザーが多要素認証 (MFA) デバイスを使用して認証する必要があるように指定できます。
+ リクエストが IP アドレスの範囲から発信される必要があるように指定できます。
ポリシー条件で使用できるすべてのコンテキストキーのリストについては、*「サービス認可リファレンス*」の「 [AWS サービスのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)」を参照してください。
1. [**Create policy**] (ポリシーの作成) を選択します。
# ロールを作成します
管理者であるユーザーは、ロールを作成し、そのロールにポリシーをアタッチする手順を実行できます。
[アクセス要件を特定する](complex-scenario-create-trusted-entity-role-step1.md) では、組織内のユーザーが作成する必要のあるロールを特定しました。IAM を使用してこれらのロールを作成します。
このステップでは、信頼ポリシー(「MediaLiveに`AssumeRole`アクションを呼び出させる」)と1つ以上のポリシー(先ほど作成したポリシー)で構成されるロールを作成します。[ポリシーの作成](complex-scenario-create-trusted-entity-role-step2.md)このように、MediaLive にはロールを引き受けるアクセス許可があります。ロールを引き受けると、ポリシーで指定されたアクセス許可を取得します。
ロールごとに以下の手順に従います。
1. IAMコンソールの左側のナビゲーションペインで、**「Roles」**を選択し、**「Create Role」**を選択します。**ロールの作成**ウィザードが表示されます。このウィザードでは、信頼できるエンティティを設定し、アクセス許可を追加する (ポリシーを追加) 手順を説明します。
1. **[信頼できるエンティティの選択]**ページで、**カスタム信頼ポリシー**カードを選択します。**カスタム信頼ポリシー**セクションが表示され、サンプルポリシーが表示されます。
1. サンプルを削除し、次のテキストをコピーして、**カスタム信頼ポリシー**セクションにテキストを貼り付けます。**カスタム信頼ポリシー**セクションは次のようになります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "medialive.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. [**次へ**] を選択します。
1. アクセス**許可の追加**ページで、作成したポリシー (`MedialiveForCurlingEvents`など) を検索し、それぞれのチェックボックスを選択します。次いで、**[次へ]** を選択します。
1. レビューページで、役割の名前を入力します。`MediaLiveAccessRole` という名前は[シンプルなオプション](scenarios-for-medialive-role.md#about-simple-scenario) に予約されているので、使用しないことをお勧めします。
代わりに、`Medialive` を含み、このロールの目的を説明する名前を使用します。例えば、`MedialiveAccessRoleForSports`。
1. [**ロールの作成**] を選択してください。
1. ロールの**Summary**ページで、**Role ARN**の値をメモしてください。以下のように表示されます。
`arn:aws:iam::111122223333:role/medialiveWorkflow15`
この例では、 `111122223333`は AWS アカウント番号です。
1. すべてのロールを作成したら、ロール ARNsのリストを作成します。各項目には以下の情報を含めること:
+ ロール ARN。
+ ARN が適用されるワークフローの説明。
+ このワークフローを使用できるユーザーには、この信頼ポリシーを作成および編集するチャネルにアタッチする機能が必要です。
このリストは、ユーザーの[信頼できるエンティティアクセスを設定する](requirements-medialiverole-complex-permissions.md)ときに必要になります。
# ユーザーの権限を設定する
複雑なオプションでは、MediaLive ユーザーは信頼されたエンティティウィザードを使用するためのアクセス許可を持っている必要があります。このウィザードは、**チャネルと入力の詳細**ペインの **IAM ロール**セクションにあります:
![\[IAM role configuration options for AWS Elemental MediaLive channel access permissions.\]](http://docs.aws.amazon.com/ja_jp/medialive/latest/ug/images/medialiveaccessrole_withUpdateButton.png)
トピック
## ウィザードのアクセス許可を設定する
ウィザードを使用して信頼できるエンティティロールをウィザードに入力するアクセス許可を持つすべての MediaLive ユーザーを設定する必要があります。ユーザーは、付与するロールのリストを参照します。
次の表で説明されているアクセスをすべてのユーザーに許可する必要があります。アクションは IAM サービスにあります。このアクションを、ユーザー用に作成したポリシー (またはポリシーのいずれか) に含めます。
| ウィザードのフィールド | 説明 | アクション |
| --- | --- | --- |
| 既存の役割を使用する | ユーザは、「既存のロールを使用する」フィールドに付随する選択フィールドのリストを表示できないようにしてください。このリストには、 AWS アカウントで作成されたすべてのロールが表示されます。ユーザーは、このリストから を選択することはできません。既存のロールを選択する代わりに、ユーザーはカスタムロールの **ARN を指定するフィールドにロール**を入力します。 | なし |
| **テンプレートからロールを作成するオプション** | ユーザーが、[Create role from template] (テンプレートからロールを作成) フィールドを選択できないようにする必要があります。ユーザーはロールを作成しません。管理者のみがロールを作成します。 | なし |
| カスタムロール ARN を指定する | ユーザは、Specify custom role ARNフィールドに付随する入力フィールドにロールを入力できなければなりません。その後、そのロールを MediaLive に渡す必要があります。 | iam:PassRole |
| 更新 | [Update] (更新) ボタンを選択できる権限はユーザーに必要ありません。このボタンは、MediaLiveAccessRole を使用する実装でしか表示されないからです。複雑なオプションはこのロールを使用しないため、このボタンは表示されません。 | なし |
## ユーザーが必要とする情報
ユーザーがチャネルを作成すると、MediaLive にロールを渡して、正しい信頼されたポリシーで MediaLive をセットアップします。[信頼されたエンティティ をセットアップ](setup-trusted-entity-complex.md)するときに、これらのポリシーを作成しました。具体的には、[信頼されたエンティティロール を作成したときに](complex-scenario-create-trusted-entity-role-step3.md)、作成したすべてのロールの ARNs を書き留めました。
各ユーザーに、作業する各ワークフロー (チャネル) で使用する必要があるロール (ARN によって識別される) のリストを提供する必要があります。
+ 各ユーザーに、担当するワークフローに適したロールを付与してください。各ロールはMediaLive に特定のワークフローに適用されるリソースへのアクセスを許可します。
+ ユーザーごとにロールのリストが異なる場合があります。
ユーザーが**カスタムロール ARN を指定する** を選択すると、ユーザーはリストを参照して、チャネルが適用されるワークフローと、それゆえに適用されるロール ARN を見つけます。
# 信頼されるエンティティのアクセス要件
次の表に、MediaLive 信頼エンティティが必要とする可能性のあるすべてのタイプのアクセス許可を示します。[MediaLive信頼済みエンティティのアクセス要件を特定する](complex-scenario-create-trusted-entity-role-step1.md)場合は、この表を参照してください。
列の各行には、MediaLive 信頼エンティティがユーザーに対して実行する必要のあるタスクまたは一連の関連タスクが示されます。3 列目は、信頼されたエンティティがそのタスクを実行するために必要なアクセスのタイプを示します。1 列目には、そのアクセスを制御する IAM アクションまたはポリシーが一覧表示されます。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/medialive/latest/ug/trusted-entity-requirements.html)