기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# MediaPackage 설정
AWS Elemental MediaPackage (MediaPackage) 사용을 시작하기 전에 AWS ( AWS 계정이 아직 없는 경우)에 가입하고 MediaPackage에 대한 액세스를 허용하는 IAM 사용자 및 역할을 생성해야 합니다. 여기에는 IAM 역할 생성도 포함됩니다. 암호화를 사용하여 콘텐츠를 보호하려면 암호화 키를에 저장한 AWS Secrets Manager다음 MediaPackage에 Secrets Manager 계정에서 키를 가져올 수 있는 권한을 부여해야 합니다.
이 섹션에서는 사용자 및 역할을 구성하여 MediaPackage에 액세스하는 데 필요한 단계를 안내합니다. MediaPackage용 자격 증명 및 액세스 관리에 대한 배경 설명 및 추가적인 정보는 [에 대한 자격 증명 및 액세스 관리 AWS Elemental MediaPackage](security-iam.md) 단원을 참조하십시오.
**Topics**
+ [에 가입 AWS](setting-up-aws-sign-up.md)
+ [정책 및 비관리자 역할 생성](setting-up-create-non-admin-iam.md)
+ [가 다른 AWS 서비스에 액세스 AWS Elemental MediaPackage 하도록 허용](setting-up-create-trust-rel.md)
+ [(선택 사항) 암호화 설정](set-up-encryption.md)
+ [(선택 사항) 설치 AWS CLI](setting-up-install-cli.md)
# 에 가입 AWS
**Topics**
+ [에 가입 AWS 계정](#sign-up-for-aws)
+ [관리자 액세스 권한이 있는 사용자 생성](#create-an-admin)
## 에 가입 AWS 계정
이 없는 경우 다음 단계를 AWS 계정완료하여 생성합니다.
**에 가입하려면 AWS 계정**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)을 엽니다.
1. 온라인 지시 사항을 따르세요.
등록 절차 중 전화 또는 텍스트 메시지를 받고 전화 키패드로 확인 코드를 입력하는 과정이 있습니다.
에 가입하면 AWS 계정*AWS 계정 루트 사용자*이 생성됩니다. 루트 사용자에게는 계정의 모든 AWS 서비스 및 리소스에 액세스할 권한이 있습니다. 보안 모범 사례는 사용자에게 관리 액세스 권한을 할당하고, 루트 사용자만 사용하여 [루트 사용자 액세스 권한이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 수행하는 것입니다.
AWS 는 가입 프로세스가 완료된 후 확인 이메일을 보냅니다. 언제든지 [https://aws.amazon.com/](https://aws.amazon.com/)으로 이동하고 **내 계정**을 선택하여 현재 계정 활동을 확인하고 계정을 관리할 수 있습니다.
## 관리자 액세스 권한이 있는 사용자 생성
에 가입한 후 일상적인 작업에 루트 사용자를 사용하지 않도록 관리 사용자를 AWS 계정보호 AWS IAM Identity Center, AWS 계정 루트 사용자활성화 및 생성합니다.
**보안 AWS 계정 루트 사용자**
1. **루트 사용자를** 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자[AWS Management Console](https://console.aws.amazon.com/)로에 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다.
루트 사용자를 사용하여 로그인하는 데 도움이 필요하면 *AWS Sign-In 사용 설명서*의 [루트 사용자로 로그인](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)을 참조하세요.
1. 루트 사용자의 다중 인증(MFA)을 활성화합니다.
지침은 *IAM 사용 설명서*의 [AWS 계정 루트 사용자(콘솔)에 대한 가상 MFA 디바이스 활성화를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html).
**관리자 액세스 권한이 있는 사용자 생성**
1. IAM Identity Center를 활성화합니다.
지침은 *AWS IAM Identity Center 사용 설명서*의 [AWS IAM Identity Center설정](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)을 참조하세요.
1. IAM Identity Center에서 사용자에게 관리 액세스 권한을 부여합니다.
를 자격 증명 소스 IAM Identity Center 디렉터리 로 사용하는 방법에 대한 자습서는 사용 *AWS IAM Identity Center 설명서*[의 기본값으로 사용자 액세스 구성을 IAM Identity Center 디렉터리](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) 참조하세요.
**관리 액세스 권한이 있는 사용자로 로그인**
+ IAM IDentity Center 사용자로 로그인하려면 IAM Identity Center 사용자를 생성할 때 이메일 주소로 전송된 로그인 URL을 사용합니다.
IAM Identity Center 사용자를 사용하여 로그인하는 데 도움이 필요하면 *AWS Sign-In 사용 설명서*[의 AWS 액세스 포털에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)을 참조하세요.
**추가 사용자에게 액세스 권한 할당**
1. IAM Identity Center에서 최소 권한 적용 모범 사례를 따르는 권한 세트를 생성합니다.
지침은 *AWS IAM Identity Center 사용 설명서*의 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)를 참조하세요.
1. 사용자를 그룹에 할당하고, 그룹에 Single Sign-On 액세스 권한을 할당합니다.
지침은 *AWS IAM Identity Center 사용 설명서*의 [그룹 추가](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)를 참조하세요.
# 정책 및 비관리자 역할 생성
기본적으로 사용자 및 역할에는 MediaPackage 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.
각 리소스 유형에 대한 ARN 형식을 포함하여 MediaPackage에서 정의한 작업 및 리소스 유형에 대한 자세한 내용은 *서비스 인증 참조*에서 [AWS Elemental MediaPackage에 대한 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediapackage.html)를 참조하십시오.
이 섹션에서는 사용자가 MediaPackage 리소스를 생성하거나 수정할 수 있도록 정책을 생성하고 비관리자 역할을 생성하는 방법을 설명합니다. 또한 이 섹션에서는 사용자가 해당 역할을 맡아 보안 및 임시 자격 증명을 부여하는 방법도 설명합니다.
**Topics**
+ [(선택 사항) 1단계: Amazon CloudFront를 위한 IAM 정책 생성](#setting-up-create-non-admin-iam-cf)
+ [(선택 사항) 2단계: MediaPackage VOD를 위한 IAM 정책 생성](#setting-up-create-non-admin-iam-vod)
+ [3단계: IAM 콘솔에서 역할 생성](#setting-up-create-role)
+ [4단계: IAM 콘솔 또는에서 역할 수임 AWS CLI](#setting-up-create-nonadmin-roles-assume-role)
## (선택 사항) 1단계: Amazon CloudFront를 위한 IAM 정책 생성
여러분이나 여러분의 사용자가 AWS Elemental MediaPackage 라이브 콘솔에서 Amazon CloudFront 배포를 생성한다면, CloudFront에 대한 액세스를 허용하는 IAM 정책을 생성해야 합니다.
MediaPackage에서 CloudFront를 사용하는 자세한 방법은 [CDN 작업](cdns.md) 단원을 참조하십시오.
**JSON 정책 편집기를 사용하여 정책을 생성하는 방법**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 왼쪽의 탐색 창에서 **정책**을 선택합니다.
**정책**을 처음으로 선택하는 경우 **관리형 정책 소개** 페이지가 나타납니다. **시작**을 선택합니다.
1. 페이지 상단에서 **정책 생성**을 선택합니다.
1. **정책 편집기** 섹션에서 **JSON** 옵션을 선택합니다.
1. 다음 JSON 정책 문서를 입력합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution",
"cloudfront:CreateDistributionWithTags",
"cloudfront:UpdateDistribution",
"cloudfront:CreateDistribution",
"cloudfront:TagResource",
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
1. **다음**을 선택합니다.
**참고**
언제든지 **시각적** 편집기 옵션과 **JSON** 편집기 옵션 간에 전환할 수 있습니다. 그러나 변경을 적용하거나 **시각적** 편집기에서 **다음**을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [정책 재구성](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)을 참조하세요.
1. **검토 및 생성** 페이지에서 생성하는 정책에 대한 **정책 이름**과 **설명**(선택 사항)을 입력합니다. **이 정책에 정의된 권한**을 검토하여 정책이 부여한 권한을 확인합니다.
1. **정책 생성**을 선택하고 새로운 정책을 저장합니다.
## (선택 사항) 2단계: MediaPackage VOD를 위한 IAM 정책 생성
여러분이나 여러분의 사용자가 MediaPackage의 온디맨드 비디오(VOD) 기능을 사용한다면, `mediapackage-vod` 서비스에 대한 리소스 액세스를 허용하는 IAM 정책을 생성해야 합니다.
다음 단원에서는 모든 작업을 허용하는 정책과 읽기 권한만 허용하는 정책의 생성 방법을 설명합니다. 정책은 작업을 본인의 워크플로우에 맞게 추가하거나 제거하여 사용자 지정할 수 있습니다.
### 전체 VOD 액세스를 위한 정책
이 정책은 사용자가 모든 VOD 리소스에 대해 작업을 모두 수행할 수 있도록 허용합니다.
**JSON 정책 편집기를 사용하여 정책을 생성하는 방법**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 왼쪽의 탐색 창에서 **정책**을 선택합니다.
**정책**을 처음으로 선택하는 경우 **관리형 정책 소개** 페이지가 나타납니다. **시작**을 선택합니다.
1. 페이지 상단에서 **정책 생성**을 선택합니다.
1. **정책 편집기** 섹션에서 **JSON** 옵션을 선택합니다.
1. 다음 JSON 정책 문서를 입력합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "mediapackage-vod:*",
"Resource": "*"
}
]
}
```
1. **다음**을 선택합니다.
**참고**
언제든지 **시각적** 편집기 옵션과 **JSON** 편집기 옵션 간에 전환할 수 있습니다. 그러나 변경을 적용하거나 **시각적** 편집기에서 **다음**을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [정책 재구성](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)을 참조하세요.
1. **검토 및 생성** 페이지에서 생성하는 정책에 대한 **정책 이름**과 **설명**(선택 사항)을 입력합니다. **이 정책에 정의된 권한**을 검토하여 정책이 부여한 권한을 확인합니다.
1. **정책 생성**을 선택하고 새로운 정책을 저장합니다.
### 읽기 전용 VOD 액세스를 위한 정책
이 정책은 사용자가 모든 VOD 리소스를 볼 수 있도록 허용합니다.
**JSON 정책 편집기를 사용하여 정책을 생성하는 방법**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 왼쪽의 탐색 창에서 **정책**을 선택합니다.
**정책**을 처음으로 선택하는 경우 **관리형 정책 소개** 페이지가 나타납니다. **시작**을 선택합니다.
1. 페이지 상단에서 **정책 생성**을 선택합니다.
1. **정책 편집기** 섹션에서 **JSON** 옵션을 선택합니다.
1. 다음 JSON 정책 문서를 입력합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mediapackage-vod:List*",
"mediapackage-vod:Describe*"
],
"Resource": "*"
}
]
}
```
1. **다음**을 선택합니다.
**참고**
언제든지 **시각적** 편집기 옵션과 **JSON** 편집기 옵션 간에 전환할 수 있습니다. 그러나 변경을 적용하거나 **시각적** 편집기에서 **다음**을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [정책 재구성](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)을 참조하세요.
1. **검토 및 생성** 페이지에서 생성하는 정책에 대한 **정책 이름**과 **설명**(선택 사항)을 입력합니다. **이 정책에 정의된 권한**을 검토하여 정책이 부여한 권한을 확인합니다.
1. **정책 생성**을 선택하고 새로운 정책을 저장합니다.
## 3단계: IAM 콘솔에서 역할 생성
생성하는 각 정책에 대해 IAM 콘솔에서 역할을 생성합니다. 이렇게 하면 개별 정책을 각 사용자에게 연결하는 대신 사용자가 역할을 수임하게 할 수 있습니다.
**IAM 콘솔에서 역할을 생성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. IAM 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다.
1. **신뢰할 수 있는 엔터티 선택**에서 **AWS 계정**을 선택합니다.
1. ** AWS 계정**에서이 역할을 수임할 사용자가 있는 계정을 선택합니다.
+ 제3자가 이 역할에 액세스할 경우 **외부 ID 필요**를 선택하는 것이 좋습니다. 외부 ID에 대한 자세한 내용은 *IAM 사용 설명서*의 [서드 파티 액세스를 위한 외부 ID 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)을 참조하십시오.
+ 다중 인증(MFA)을 요구하는 것이 좋습니다. **MFA 필요** 옆의 확인란을 선택할 수 있습니다. MFA에 대한 자세한 내용은 *IAM 사용 설명서*의 [다중 인증(MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)을 참조하십시오.
1. **다음**을 선택합니다.
1. **권한 정책**에서 적절한 MediaPackage 권한 수준이 포함된 정책을 검색하여 추가합니다.
+ 라이브 기능에 액세스하려면 다음 옵션 중 하나를 선택합니다.
+ **AWSElementalMediaPackageFullAccess**를 사용하면 사용자가 MediaPackage의 모든 라이브 리소스에서 모든 작업을 수행할 수 있습니다.
+ **AWSElementalMediaPackageReadOnly**를 사용하면 MediaPackage의 모든 라이브 리소스에 대한 읽기 전용 권한을 사용자에게 제공할 수 있습니다.
+ VOD(온디맨드 비디오) 기능에 대한 액세스의 경우 [(선택 사항) 2단계: MediaPackage VOD를 위한 IAM 정책 생성](#setting-up-create-non-admin-iam-vod)에 생성한 정책을 사용합니다.
1. 사용자를 대신하여 MediaPackage 콘솔에서 Amazon CloudWatch를 호출할 수 있도록 정책을 추가합니다. 이러한 정책이 없으면 사용자는 서비스의 API(콘솔 아님)만 사용할 수 있습니다. 다음 옵션 중 하나를 선택하세요.
+ **ReadOnlyAccess**를 사용하여 MediaPackage가 CloudWatch와 통신하고 사용자에게 계정의 모든 AWS 서비스에 대한 읽기 전용 액세스 권한을 제공할 수 있습니다.
+ **CloudWatchReadOnlyAccess**, **CloudWatchEventsReadOnlyAccess** 및 **CloudWatchLogsReadOnlyAccess**를 사용하면 MediaPackage가 CloudWatch와 통신할 수 있으며, CloudWatch에 대한 사용자의 읽기 전용 액세스를 제한할 수 있습니다.
1. (선택 사항) 이 사용자가 MediaPackage 콘솔에서 Amazon CloudFront 배포를 생성하면 [(선택 사항) 1단계: Amazon CloudFront를 위한 IAM 정책 생성](#setting-up-create-non-admin-iam-cf)에 생성한 정책을 연결해야 합니다.
1. (선택 사항) [권한 경계](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 선택합니다. 이는 서비스 역할에서 사용 가능한 고급 기능이며 서비스에 연결된 역할은 아닙니다.
1. **권한 경계** 섹션을 열고 **최대 역할 권한을 관리하기 위한 권한 경계 사용**을 선택합니다. IAM에는 계정의 AWS 관리형 및 고객 관리형 정책 목록이 포함됩니다.
1. 권한 경계를 사용하기 위한 정책을 선택하거나 **정책 생성**을 선택하여 새 브라우저 탭을 열고 완전히 새로운 정책을 생성합니다. 자세한 내용은 *IAM 사용자 설명서*에서 [IAM 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start)을 참조하세요.
1. 정책을 생성한 후 해당 탭을 닫고 원래 탭으로 돌아가 권한 경계에 사용할 정책을 선택합니다.
1. 이 그룹에 올바른 정책이 추가되었는지 확인한 후 **다음**을 선택합니다.
1. 가능한 경우 이 역할의 목적을 식별하는 데 도움이 되는 역할 이름이나 역할 이름 접미사를 입력합니다. 역할 이름은 AWS 계정내에서 고유해야 합니다. 대/소문자를 구분하지 않습니다. 예를 들어, 이름이 **PRODROLE**과 **prodrole**, 두 가지로 지정된 역할을 만들 수는 없습니다. 다양한 주체가 역할을 참조할 수 있기 때문에 역할이 생성된 후에는 역할 이름을 편집할 수 없습니다.
1. (선택 사항)**설명**에 새 역할에 대한 설명을 입력합니다.
1. **1단계: 신뢰할 수 있는 엔터티 선택(Step 1: Select trusted entities)** 또는 **2단계: 권한 선택(Step 2: Select permissions)** 섹션에서 **편집(Edit)**을 선택하여 역할에 대한 사용 사례와 권한을 편집합니다.
1. (선택 사항) 태그를 키 값 페어로 연결하여 메타데이터를 사용자에게 추가합니다. IAM에서 태그 사용에 대한 자세한 내용을 알아보려면 *IAM 사용 설명서*의 [IAM 리소스에 태그 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)을 참조하십시오.
1. 역할을 검토한 다음 **역할 생성**을 선택합니다.
## 4단계: IAM 콘솔 또는에서 역할 수임 AWS CLI
사용자에게 역할을 수임할 권한을 부여하는 방법과 사용자가 IAM 콘솔 또는 AWS CLI에서 역할을 전환하는 방법을 알아보려면 다음 리소스를 참조하십시오.
+ 사용자에게 역할을 전환할 수 있는 권한을 부여하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [사용자에게 역할을 전환할 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)를 참조하십시오.
+ 역할 전환(콘솔)에 대한 자세한 내용은 *IAM 사용 설명서*의 [역할로 전환(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)을 참조하십시오.
+ 역할 전환(AWS CLI)에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 역할로 전환(AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html)을 참조하십시오.
# 가 다른 AWS 서비스에 액세스 AWS Elemental MediaPackage 하도록 허용
일부 기능을 사용하려면 MediaPackage가 Amazon S3 및 AWS Secrets Manager (Secrets Manager)와 같은 다른 AWS 서비스에 액세스하도록 허용해야 합니다. 이 액세스를 허용하려면 적절한 권한이 있는 IAM 역할 및 정책을 생성하십시오. 다음 단계에서는 MediaPackage 기능에 대해 역할 및 정책을 생성하는 방법에 대해 설명합니다.
**Topics**
+ [1단계: 정책 생성](#setting-up-create-trust-rel-policy)
+ [2단계: 역할 생성](#setting-up-create-trust-rel-role)
+ [3단계: 신뢰 관계 수정](#setting-up-create-trust-rel-trust)
## 1단계: 정책 생성
IAM 정책은 AWS Elemental MediaPackage (MediaPackage)가 다른 서비스에 액세스하는 데 필요한 권한을 정의합니다.
+ 온디맨드 비디오(VOD) 워크플로에 대해 MediaPackage가 Amazon S3 버킷에서 읽고, 결제 방법을 확인하고, 콘텐츠를 검색하도록 허용하는 정책을 생성합니다. 결제 방법의 경우 MediaPackage는 버킷이 요청자에게 요청에 대한 요금을 요구하지 *않는지* 확인해야 합니다. 버킷이 **requestPayment**를 활성화한 경우 MediaPackage는 해당 버킷에서 콘텐츠를 수집하지 못합니다.
+ live-to-VOD 워크플로에 대해 MediaPackage가 Amazon S3 버킷에서 읽고 live-to-VOD 자산을 저장하도록 허용하는 정책을 생성합니다.
+ 콘텐츠 배포 네트워크(CDN) 승인의 경우 MediaPackage가 Secrets Manager의 보안 암호에서 읽을 수 있게 허용하는 정책을 생성합니다.
다음 섹션에서는 이러한 정책을 생성하는 방법에 대해 설명합니다.
### VOD 워크플로를 위한 Amazon S3 액세스 정책
MediaPackage를 사용하여 Amazon S3 버킷 및 패키지에서 VOD 자산을 수집하고 이 자산을 제공하고 있다면 Amazon S3에서 다음 작업을 수행하도록 허용하는 정책이 필요합니다.
+ `GetObject` - MediaPackage가 버킷에서 VOD 자산을 검색할 수 있습니다.
+ `GetBucketLocation` - MediaPackage가 버킷에 대한 리전을 검색할 수 있습니다. 버킷은 MediaPackage VOD 리소스와 동일한 리전에 있어야 합니다.
+ `GetBucketRequestPayment` - MediaPackage가 결제 요청 정보를 검색할 수 있습니다. MediaPackage는 이 정보를 사용하여 버킷에 콘텐츠 요청에 대해 비용을 지불할 요청자가 필요하지 않은지 확인합니다.
live-to-VOD 자산 수집에도 MediaPackage를 사용한다면 정책에 `PutObject` 작업을 추가하십시오. live-to-VOD 워크플로우에 필요한 정책에 대한 자세한 내용은 [live-to-VOD 워크플로를 위한 정책](#setting-up-create-trust-rel-policy-ltov) 단원을 참조하십시오.
**JSON 정책 편집기를 사용하여 정책을 생성하는 방법**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 왼쪽의 탐색 창에서 **정책**을 선택합니다.
**정책**을 처음으로 선택하는 경우 **관리형 정책 소개** 페이지가 나타납니다. **시작**을 선택합니다.
1. 페이지 상단에서 **정책 생성**을 선택합니다.
1. **정책 편집기** 섹션에서 **JSON** 옵션을 선택합니다.
1. 다음 JSON 정책 문서를 입력합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:GetBucketLocation",
"s3:GetBucketRequestPayment",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket_name/*",
"arn:aws:s3:::bucket_name"
],
"Effect": "Allow"
}
]
}
```
1. **다음**을 선택합니다.
**참고**
언제든지 **시각적** 편집기 옵션과 **JSON** 편집기 옵션 간에 전환할 수 있습니다. 그러나 변경을 적용하거나 **시각적** 편집기에서 **다음**을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [정책 재구성](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)을 참조하세요.
1. **검토 및 생성** 페이지에서 생성하는 정책에 대한 **정책 이름**과 **설명**(선택 사항)을 입력합니다. **이 정책에 정의된 권한**을 검토하여 정책이 부여한 권한을 확인합니다.
1. **정책 생성**을 선택하고 새로운 정책을 저장합니다.
### live-to-VOD 워크플로를 위한 정책
MediaPackage를 사용하여 라이브 스트림에서 live-to-VOD 자산을 수집할 경우 Amazon S3에서 다음과 같은 작업을 수행하도록 허용하는 정책이 필요합니다.
+ `PutObject`: MediaPackage가 VOD 자산을 버킷에 저장할 수 있습니다.
+ `GetBucketLocation`: MediaPackage가 버킷에 대한 리전을 검색할 수 있습니다. 버킷은 MediaPackage VOD 리소스와 동일한 AWS 리전에 있어야 합니다.
VOD 자산 전송에도 MediaPackage를 사용하는 경우 정책에 `GetObject` 및 `GetBucketRequestPayment` 작업을 추가합니다. VOD 워크플로우에 필요한 정책에 대한 자세한 내용은 [VOD 워크플로를 위한 Amazon S3 액세스 정책](#setting-up-create-trust-rel-policy-vod) 단원을 참조하십시오.
**JSON 정책 편집기를 사용하여 정책을 생성하는 방법**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 왼쪽의 탐색 창에서 **정책**을 선택합니다.
**정책**을 처음으로 선택하는 경우 **관리형 정책 소개** 페이지가 나타납니다. **시작**을 선택합니다.
1. 페이지 상단에서 **정책 생성**을 선택합니다.
1. **정책 편집기** 섹션에서 **JSON** 옵션을 선택합니다.
1. 다음 JSON 정책 문서를 입력합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket_name/*",
"arn:aws:s3:::bucket_name"
],
"Effect": "Allow"
}
]
}
```
1. **다음**을 선택합니다.
**참고**
언제든지 **시각적** 편집기 옵션과 **JSON** 편집기 옵션 간에 전환할 수 있습니다. 그러나 변경을 적용하거나 **시각적** 편집기에서 **다음**을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [정책 재구성](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)을 참조하세요.
1. **검토 및 생성** 페이지에서 생성하는 정책에 대한 **정책 이름**과 **설명**(선택 사항)을 입력합니다. **이 정책에 정의된 권한**을 검토하여 정책이 부여한 권한을 확인합니다.
1. **정책 생성**을 선택하고 새로운 정책을 저장합니다.
### CDN 인증에 대한 Secrets Manager 액세스 정책
콘텐츠 배포 네트워크(CDN) 인증 헤더를 사용하여 MediaPackage에서 엔드포인트에 대한 액세스를 제한하는 경우 Secrets Manager에서 이러한 작업을 수행하도록 허용하는 정책이 필요합니다.
+ `GetSecretValue` - MediaPackage는 보안 암호 버전에서 암호화된 권한 부여 코드를 검색할 수 있습니다.
+ `DescribeSecret` - MediaPackage는 보안 암호의 세부 정보를 검색할 수 있습니다(암호화된 필드 제외).
+ `ListSecrets` - MediaPackage는 AWS 계정의 보안 암호 목록을 검색할 수 있습니다.
+ `ListSecretVersionIds`: MediaPackage는 지정된 보안 암호에 첨부된 모든 버전을 검색할 수 있습니다.
**참고**
사용자가 Secrets Manager에 저장하는 각 보안 암호에 대해 별도의 정책이 필요 없습니다. 다음 절차에 설명된 것과 같은 정책을 생성하는 경우 MediaPackage는 이 리전의 계정에 있는 모든 보안 암호에 액세스할 수 있습니다.
**JSON 정책 편집기를 사용하여 정책을 생성하는 방법**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 왼쪽의 탐색 창에서 **정책**을 선택합니다.
**정책**을 처음으로 선택하는 경우 **관리형 정책 소개** 페이지가 나타납니다. **시작**을 선택합니다.
1. 페이지 상단에서 **정책 생성**을 선택합니다.
1. **정책 편집기** 섹션에서 **JSON** 옵션을 선택합니다.
1. 다음 JSON 정책 문서를 입력합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:region:account-id:secret:secret-name"
]
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id:role/role-name"
}
]
}
```
1. **다음**을 선택합니다.
**참고**
언제든지 **시각적** 편집기 옵션과 **JSON** 편집기 옵션 간에 전환할 수 있습니다. 그러나 변경을 적용하거나 **시각적** 편집기에서 **다음**을 선택한 경우 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [정책 재구성](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)을 참조하세요.
1. **검토 및 생성** 페이지에서 생성하는 정책에 대한 **정책 이름**과 **설명**(선택 사항)을 입력합니다. **이 정책에 정의된 권한**을 검토하여 정책이 부여한 권한을 확인합니다.
1. **정책 생성**을 선택하고 새로운 정책을 저장합니다.
## 2단계: 역할 생성
[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)은 계정에 생성할 수 있는, 특정 권한을 지닌 IAM 자격 증명입니다. IAM 역할은 자격 AWS 증명이 할 수 있는 것과 없는 것을 결정하는 권한 정책이 있는 자격 증명이라는 점에서 IAM 사용자와 유사합니다 AWS. 그러나 역할은 한 사람하고만 연관되지 않고 해당 역할이 필요한 사람이라면 누구든지 맡을 수 있어야 합니다. 또한 역할에는 그와 연관된 암호 또는 액세스 키와 같은 표준 장기 자격 증명이 없습니다. 대신에 역할을 맡은 사람에게는 해당 역할 세션을 위한 임시 보안 자격 증명이 제공됩니다. Amazon S3에서 소스 콘텐츠를 수집할 때가 AWS Elemental MediaPackage 수임하는 역할을 생성합니다.
역할을 생성할 때 MediaPackage는 선택할 수 없으므로 Amazon Elastic Compute Cloud(Amazon EC2)를 이 역할을 맡을 수 있는 신뢰할 수 있는 엔터티로 선택합니다. [3단계: 신뢰 관계 수정](#setting-up-create-trust-rel-trust)에서 신뢰할 수 있는 엔터티를 MediaPackage로 변경합니다.
서비스 역할 생성에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스에 대한 권한을 위임할 역할 생성을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
## 3단계: 신뢰 관계 수정
신뢰 관계는 [2단계: 역할 생성](#setting-up-create-trust-rel-role)에서 생성한 역할을 맡을 수 있는 엔터티를 정의합니다. 역할을 생성하고 신뢰 관계를 설정할 때, 신뢰할 수 있는 엔터티로 Amazon EC2를 선택했습니다. AWS 계정과 간에 신뢰할 수 있는 관계가 되도록 역할을 수정합니다 AWS Elemental MediaPackage.
**MediaPackage에 대한 신뢰 관계를 변경하려면**
1. [2단계: 역할 생성](#setting-up-create-trust-rel-role)에서 생성한 역할에 액세스합니다.
IAM 콘솔의 탐색 창에 아직 역할이 표시되지 않은 경우에는 **역할**을 선택합니다. 생성한 역할을 검색하여 선택합니다.
1. 역할의 **요약** 페이지에서 **신뢰 관계**를 선택합니다.
1. **신뢰 관계 편집**을 선택합니다.
1. **Edit Trust Relationship(신뢰 관계 편집)** 페이지의 **정책 문서**에서 `ec2.amazonaws.com`를 `mediapackage.amazonaws.com`으로 변경합니다.
이제 정책 문서가 다음과 같을 것입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "mediapackage.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
옵트인 리전에서 MediaPackage 및 관련 서비스를 사용하는 경우 해당 리전이 정책 문서의 `Service` 섹션에 나열되어야 합니다. 예를 들어 아시아 태평양(멜버른) 리전에서 서비스를 사용하는 경우 정책 문서는 다음과 같습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"mediapackage.amazonaws.com",
"mediapackage.ap-southeast-4.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. **신뢰 정책 업데이트**를 선택합니다.
1. **요약** 페이지에서 **역할 ARN**의 값을 메모해 둡니다. 온디맨드 비디오(VOD) 워크플로우의 소스 콘텐츠를 수집할 때 이 ARN을 사용합니다. ARN은 다음과 같습니다.
`arn:aws:iam::111122223333:role/role-name`
이 예제에서 *111122223333*은 AWS 계정 번호입니다.
# (선택 사항) 암호화 설정
콘텐츠 암호화 및 디지털 권한 관리(DRM)를 통해 콘텐츠가 무단으로 사용되지 않도록 보호합니다.는 [AWS Secure Packager and Encoder Key Exchange(SPEKE) API](https://aws.amazon.com/media/tech/speke-basics-secure-packager-encoder-key-exchange-api/)를 AWS Elemental MediaPackage 사용하여 DRM 공급자의 콘텐츠 암호화 및 복호화를 용이하게 합니다. SPEKE를 사용하면 DRM 공급자가 SPEKE API를 통해 MediaPackage에 암호화 키를 제공할 수 있습니다. 또한 DRM 공급자가 지원되는 미디어 플레이어에 복호화를 위한 라이선스를 제공할 수 있습니다. 클라우드에서 실행되는 서비스 및 기능과 함께 SPEKE를 사용하는 방법에 대한 자세한 내용은 *SPEKE(Secure Packager and Encoder Key Exchange) API 사양 설명서*의 [AWS 클라우드 기반 아키텍처](https://docs.aws.amazon.com/speke/latest/documentation/what-is-speke.html#services-architecture)를 참조하십시오.
콘텐츠를 암호화하려면 DRM 솔루션 공급자가 있어야 하며 암호화를 사용하도록 설정되어야 합니다. 자세한 내용은 [의 콘텐츠 암호화 및 DRM AWS Elemental MediaPackage](using-encryption.md) 단원을 참조하십시오.
# (선택 사항) 설치 AWS CLI
를 AWS CLI 와 함께 사용하려면 최신 AWS CLI 버전을 AWS Elemental MediaPackage설치합니다. 를 설치 AWS CLI 하거나 최신 버전으로 업그레이드하는 방법에 대한 자세한 내용은 *AWS Command Line Interface 사용 설명서*[의 설치를 AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) 참조하세요.