翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# SigV4 との AWS Elemental MediaTailor オリジンインタラクションの保護
<a name="origin-sigv4"></a>

署名バージョン 4 (SigV4) は、HTTPS 経由でサポートされているオリジンへの MediaTailor リクエストを認証するために使用される署名プロトコルです。MediaTailor は HTTPS 通信のみをサポートし、HTTP 接続は許可しません。SigV4 署名では、MediaTailor は MediaTailor Channel Assembly、Amazon S3、および AWS Elemental MediaPackage バージョン 2 への HTTPS オリジンリクエストに署名付き認可ヘッダーを含めます。

オリジンで SigV4 を使用して、マニフェストリクエストが MediaTailor から送信され、署名付き認可ヘッダーが含まれている場合にのみ満たされるようにできます。これにより、不正な MediaTailor 再生設定がオリジンコンテンツにアクセスできなくなります。署名付きの認可ヘッダーが有効である場合は、オリジンがリクエストに対応します。有効でない場合は、リクエストが失敗します。

以下のセクションでは、サポートされているオリジンに MediaTailor SigV4 署名を使用するための要件について説明します。

## MediaTailor チャネルアセンブリの要件
<a name="origin-sigv4-ca"></a>

SigV4 を使用して MediaTailor Channel Assembly オリジンを保護する場合、MediaTailor がマニフェストにアクセスするには、次の要件を満たす必要があります。
+ MediaTailor 設定のオリジンベース URL は、次の形式のチャネルアセンブリチャネルである必要があります。 `channel-assembly.mediatailor.region.amazonaws.com`
+ オリジンは HTTPS を使用するように設定する必要があります。MediaTailor は HTTPS 通信のみをサポートし、HTTP 接続は許可しません。オリジンで HTTPS が有効になっていない場合、MediaTailor はリクエストに署名しません。
+ チャネルには、以下を含むオリジンアクセスポリシーが必要です。
  + MediaTailor がチャネルにアクセスするためのプリンシパルアクセス。**mediatailor.amazonaws.com** へのアクセスを許可します。
  + MediaTailor 設定で参照されるすべての多変量プレイリストを読み取るための IAM アクセス許可 **mediatailor:GetManifest**。

  チャネルでポリシーを設定する方法については、「」を参照してください[MediaTailor コンソールを使用してチャネルを作成する](channel-assembly-creating-channels.md)。

**Example MediaTailor 設定アカウントを対象とする Channel Assembly のオリジンアクセスポリシー**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "777788889999"}
    }
}
```

**Example MediaTailor 再生設定を対象とする Channel Assembly のオリジンアクセスポリシー**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediatailor:GetManifest",
    "Resource": "arn:aws:mediatailor:us-west-2:777788889999:channel/ca-origin-channel",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:777788889999:playbackConfiguration/test"}
    }
}
```

## Amazon S3 の要件
<a name="origin-sigv4-s3"></a>

SigV4 を使用して Amazon S3 オリジンを保護する場合、MediaTailor がマニフェストにアクセスするには、次の要件を満たす必要があります。
+ MediaTailor 設定のオリジンベース URL は、次の形式の S3 バケットである必要があります。 `s3.region.amazonaws.com`
+ オリジンは HTTPS を使用するように設定する必要があります。MediaTailor は HTTPS 通信のみをサポートし、HTTP 接続は許可しません。オリジンで HTTPS が有効になっていない場合、MediaTailor はリクエストに署名しません。
+ チャネルには、以下を含むオリジンアクセスポリシーが必要です。
  + MediaTailor がバケットにアクセスするためのプリンシパルアクセス。**mediatailor.amazonaws.com へのアクセスを許可します。**

    IAM でアクセスを設定する方法については、AWS Identity and [Access Management](https://docs.aws.amazon.com/) ユーザーガイドの「アクセス管理」を参照してください。 *AWS Identity and Access Management * 
  + MediaTailor 設定で参照されるすべての最上位マニフェストを読み取るための IAM アクセス許可 **s3:GetObject**。

 Amazon S3 向けの SigV4 に関する一般的な情報については、*Amazon S3 API リファレンス*の「[リクエストの認証 (AWS 署名バージョン 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) トピック」を参照してください。

**Example MediaTailor アカウントを対象とする Amazon S3 のオリジンアクセスポリシー**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "111122223333"}
    }
}
```

**Example MediaTailor 再生設定を対象とする Amazon S3 のオリジンアクセスポリシー**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:111122223333:playbackConfiguration/test”}
    }
}
```

## MediaPackage の要件
<a name="origin-sigv4-mp"></a>

SigV4 を使用して MediaPackage v2 オリジンを保護する場合、MediaTailor がマニフェストにアクセスするには、次の要件を満たす必要があります。
+ MediaTailor 設定のオリジンベース URL は、次の形式の MediaPackage v2 エンドポイントである必要があります。 `mediapackagev2.region.amazonaws.com`
+ オリジンは HTTPS を使用するように設定する必要があります。MediaTailor は HTTPS 通信のみをサポートし、HTTP 接続は許可しません。オリジンで HTTPS が有効になっていない場合、MediaTailor はリクエストに署名しません。
+ チャネルには、以下を含むオリジンアクセスポリシーが必要です。
  + MediaTailor がエンドポイントにアクセスするためのプリンシパルアクセス。**mediatailor.amazonaws.com へのアクセスを許可します。**
  + MediaTailor 設定で参照されるすべての多変量プレイリストを読み取るための IAM アクセス許可 **mediapackagev2:GetObject**。

 MediaPackage v2 用 SigV4 の一般的な情報については、*MediaPackage v2 API リファレンス*の[「リクエストの認証 (AWS 署名バージョン 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html)」トピックを参照してください。

**Example MediaTailor アカウントを対象とする MediaPackage v2 のオリジンアクセスポリシー**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceAccount": "444455556666"}
    }
}
```

**Example MediaTailor 再生設定を対象とする MediaPackage v2 のオリジンアクセスポリシー MediaTailor**  

```
{
    "Effect": "Allow",
    "Principal": {"Service": "mediatailor.amazonaws.com"},
    "Action": "mediapackagev2:GetObject",
    "Resource": "arn:aws:mediapackagev2:us-west-2:444455556666:channelGroup/emp-origin-channel-group/channel/emp-origin-channel/originEndpoint/emp-origin-endpoint",
    "Condition": {
        "StringEquals": {"AWS:SourceArn": "arn:aws:mediatailor:us-west-2:444455556666:playbackConfiguration/test”"}
    }
}
```