기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# IAM 권한 설정
를 사용하여 트랜스코딩 작업을 실행하려면 MediaConvert가 리소스에 액세스할 수 있도록 허용하는 IAM 서비스 역할이 AWS Elemental MediaConvert필요합니다. 리소스에는 입력 파일, 출력 파일이 저장되는 위치 등이 포함됩니다.
IAM 서비스 역할을 처음 생성한 방법에 관계없이 IAM을 사용하여 언제든지 이 역할을 세부 조정할 수 있습니다. 자세한 내용은 * IAM 사용 설명서*의 [IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)를 참조하세요.
IAM 서비스 역할은 다음 방법 중 하나로 생성할 수 있습니다.
+ MediaConvert 콘솔에서는 부여하는 권한에 몇 가지 제한 사항이 있습니다. 지침은 [MediaConvert 내에서 IAM 역할 생성](creating-the-iam-role-in-mediaconvert-configured.md) 섹션을 참조하세요.
MediaConvert 콘솔에서, MediaConvert가 일부 Amazon S3 버킷에만 액세스할 수 있도록 사용자의 역할을 구성하는 방법으로. API Gateway 엔드포인트에 호출 액세스 권한을 부여할지 여부도 선택할 수 있습니다.
+ IAM 콘솔을 엽니다. 지침은 [IAM 역할 생성](creating-the-iam-role-in-iam.md) 섹션을 참조하세요.
IAM 콘솔에서 IAM 역할을 설정할 때 MediaConvert에 부여하는 액세스 권한의 정확한 유형을 정밀 제어할 수 있습니다. AWS Command Line Interface (AWS CLI) 또는 API 또는 SDK를 통해 IAM을 사용할 수도 있습니다.
**참고**
Amazon S3 버킷에서 Amazon S3 기본 암호화를 활성화하고에서 관리하는 자체 키를 지정하는 경우 추가 권한을 부여 AWS Key Management Service해야 합니다. 자세한 내용은 [MediaConvert가 암호화된 Amazon S3 버킷에 액세스할 수 있는 권한 부여](granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets.md) 단원을 참조하십시오.
## 기본 MediaConvert 역할 사용
이름 `MediaConvert_Default_Role`(을)를 사용하는 경우 MediaConvert 콘솔은 향후 작업을 생성할 때 기본값으로 이 이름을 사용합니다. 이는 MediaConvert에 사용할 IAM 서비스 역할을 생성하는 방법에 관계없이 발생합니다.
# MediaConvert 내에서 IAM 역할 생성
구성된 권한으로 MediaConvert에서 AWS Identity and Access Management (IAM) 역할을 생성할 때 MediaConvert 액세스를 특정 Amazon S3 버킷으로만 제한할 수 있습니다. Amazon API Gateway 엔드포인트에 호출 액세스 권한을 부여할지 여부도 지정할 수 있습니다.
**구성된 권한을 사용하여 MediaConvert에서 IAM 역할 설정하기**
1. MediaConvert 콘솔에서 [작업](https://console.aws.amazon.com/mediaconvert/home#/jobs/list) 페이지를 엽니다.
1. **작업 생성**을 선택합니다.
1. **작업 설정**에서 **AWS 통합**을 선택합니다.
1. **서비스 액세스** 섹션의 **서비스 역할 제어**에서 **새 서비스 역할 생성, 권한 구성**을 선택합니다.
1. **새 역할 이름**의 경우 기본값 **MediaConvert\$1Default\$1Role**를 유지하는 것이 좋습니다. 이렇게 하면 MediaConvert는 향후 작업에 기본값으로 이 역할을 사용합니다.
1. **입력 S3 위치**와 **출력 S3 위치**의 경우 **위치 추가**를 선택합니다. 입력 또는 출력 위치에 사용할 Amazon S3 버킷을 선택합니다.
1. (선택 사항) **API Gateway 엔드포인트 간접 호출**의 경우 해당 호출이 필요한 기능을 사용하는 경우 허용을 선택합니다.
MediaConvert에는 다음 기능에 대한 이러한 액세스 권한이 필요합니다.
+ SPEKE에 대한 디지털 권한 관리
+ Nielsen 비선형 워터마킹
MediaConvert가 특정 엔드포인트에 대한 액세스만 호출하도록 허용하려면, AWS Identity and Access Management (IAM) 서비스를 사용하여 역할 정책을 생성한 후 역할 정책에서 이러한 권한을 수정하세요. 자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [ IAM 정책 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)을 참조하세요.
# IAM 콘솔에서 역할 생성
AWS Identity and Access Management (IAM)로 직접 작업하면 MediaConvert 콘솔에서 사용할 수 없는 작업을 수행할 수 있습니다. IAM에서 역할을 생성할 때 이 작업을 수행하거나, MediaConvert에서 역할을 생성한 후 IAM을 사용하여 나중에 이를 정밀 조정할 수 있습니다.
다음 절차에서는 IAM 콘솔을 사용하여 프리셋을 생성하는 방법을 설명합니다. 프로그래밍 방식으로 IAM에 액세스하는 방법에 대한 정보는 [IAM 설명서 세트](https://docs.aws.amazon.com/iam/)의 해당 문서를 참조하세요.
**MediaConvert에 대한 서비스 역할을 생성하려면(IAM 콘솔)**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. IAM 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다.
1. **신뢰할 수 있는 엔터티 유형**에서 **AWS 서비스**를 선택합니다.
1. **서비스 또는 사용 사례**에서 **MediaConvert**를 선택한 다음 **MediaConvert** 사용 사례를 선택합니다.
1. **다음**을 선택합니다.
1. 이전 절차에서 생성한 MediaConvert 정책 옆의 상자를 선택합니다.
1. (선택 사항) [권한 경계](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 선택합니다. 이는 서비스 역할에서 사용 가능한 고급 기능이며 서비스에 연결된 역할은 아닙니다.
1. **권한 경계 설정** 섹션을 열고 **최대 역할 권한을 관리하기 위한 권한 경계 사용**을 선택합니다.
IAM에는 계정의 AWS 관리형 및 고객 관리형 정책 목록이 포함됩니다.
1. 정책을 선택하여 권한 경계를 사용합니다.
1. **다음**을 선택합니다.
1. 역할의 목적을 식별하는 데 도움이 되는 역할 이름이나 역할 이름 접미사를 입력합니다.
**중요**
역할 이름을 지정할 때는 다음 사항에 유의하세요.
역할 이름은 내에서 고유해야 하며 대/소문자를 구분할 AWS 계정수 없습니다.
예를 들어, 이름이 **PRODROLE**과 **prodrole**, 두 가지로 지정된 역할을 만들지 마세요. 역할 이름이 정책 또는 ARN의 일부로 사용되는 경우 역할 이름은 대소문자를 구분합니다. 그러나 로그인 프로세스와 같이 콘솔에서 역할 이름이 고객에게 표시되는 경우에는 역할 이름이 대소문자를 구분하지 않습니다.
다른 엔터티가 역할을 참조할 수 있기 때문에 역할이 생성된 후에는 역할 이름을 편집할 수 없습니다.
1. (선택 사항) **설명**에 역할에 대한 설명을 입력합니다.
1. (선택 사항) 역할에 대한 사용 사례와 권한을 편집하려면 **1단계: 신뢰할 수 있는 엔터티 선택** 또는 **2단계: 권한 추가** 섹션에서 **편집**을 선택합니다.
1. (선택 사항) 역할을 식별, 구성 또는 검색하려면 태그를 키-값 페어로 추가합니다. IAM에서 태그를 사용하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS Identity and Access Management 리소스에 대한 태그를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html).
1. 역할을 검토한 다음 **역할 생성**을 선택합니다.
**참고**
**새 역할 이름**의 경우 **MediaConvert\$1Default\$1Role**을(를) 입력하는 것이 좋습니다. 이렇게 하면 MediaConvert는 향후 작업에 기본값으로 이 역할을 사용합니다.
# MediaConvert가 암호화된 Amazon S3 버킷에 액세스할 수 있는 권한 부여
[Amazon S3 기본 암호화를 활성화하면](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up) 사용자가 객체를 업로드할 때 Amazon S3가 자동으로 암호화합니다. 선택적으로 AWS Key Management Service (AWS KMS)를 사용하여 키를 관리하도록 선택할 수 있습니다. 이를 SSE-KMS 암호화라고 합니다.
AWS Elemental MediaConvert 입력 또는 출력 파일이 있는 버킷에서 SSE-KMS 기본 암호화를 활성화하는 경우 IAM 서비스 역할에 [인라인 정책을 추가](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)해야 합니다. 인라인 정책을 추가하지 않으면, MediaConvert에서 입력 파일을 읽거나 출력 파일을 기록할 수 없습니다.
다음 사용 사례에서 이러한 권한을 부여합니다.
+ 입력 버킷에 SSE-KMS 기본 암호화를 사용하는 경우, `kms:Decrypt`
+ 출력 버킷에 SSE-KMS 기본 암호화를 사용하는 경우, `kms:GenerateDataKey`
다음 예시와 같은 인라인 정책은 이러한 권한들을 부여합니다.
## kms:Decrypt과 kms:GenerateDataKey의 경우에 인라인 정책의 예시
이 정책은 `kms:Decrypt`과 `kms:GenerateDataKey` 모두에 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike":
{ "kms:ViaService": "s3.*.amazonaws.com" }
}
}
]
}
```
------