本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开始使用的先决条件 MediaConvert
<a name="setting-up"></a>

在开始使用之前 MediaConvert，您需要至少一个存储在 Amazon S3 或 HTTP/HTTPS 服务器上的输入文件、一个用于输出文件的 Amazon S3 存储桶，以及一个具有正确权限的 IAM 角色。 AWS 账户

有关如何将文件上传到 Amazon S3 的信息，请参阅 [*Amazon S3 用户指南*中的上传对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html)。

有关为您的输出目标创建的 Amazon S3 存储桶的信息，请参阅 [*Amazon S3 用户指南*中的创建存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。

以下主题介绍如何注册 AWS 账户 以及如何配置您的 IAM 角色。

**Topics**
+ [设置 IAM 权限](iam-role.md)

# 设置 IAM 权限
<a name="iam-role"></a>

要使用运行转码作业 AWS Elemental MediaConvert，您需要一个 IAM 服务角色来允许 MediaConvert 访问您的资源。资源包括您的输入文件和存储输出文件的位置之类的内容。

不管最初如何创建 IAM 服务角色，可以随时使用 IAM 完善此角色。有关更多信息，请参阅《 IAM 用户指南》**中的[添加和移除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。

您可以通过以下方式之一创建 IAM 服务角色：
+ 在 MediaConvert 控制台中，对您授予的权限有一些限制。有关说明，请参阅[在中创建 IAM 角色 MediaConvert](creating-the-iam-role-in-mediaconvert-configured.md)。

  在 MediaConvert 控制台中，将您的角色配置为仅允许 MediaConvert 访问您的部分 Amazon S3 存储桶。您还可以选择是否向您的 API Gateway 端点授予调用访问权限。
+ 打开 IAM 控制台。有关说明，请参阅[创建 IAM 角色](creating-the-iam-role-in-iam.md)。

  在 IAM 控制台中设置 IAM 角色 MediaConvert 时，您可以精确控制自己授予的访问权限。您也可以通过 AWS Command Line Interface (AWS CLI)、API 或软件开发工具包使用 IAM。

**注意**  
如果您在您的 Amazon S3 存储桶上启用 Amazon S3 默认加密，并且您自己指定由管理的密钥 AWS Key Management Service，则必须授予其他权限。有关更多信息，请参阅 [授予访问加密的 MediaConvert Amazon S3 存储桶的权限](granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets.md)。

## 使用默认 MediaConvert 角色
<a name="default-role"></a>

如果您使用该名称`MediaConvert_Default_Role`，则 MediaConvert控制台将在将来创建任务时默认使用该名称。无论您如何创建要使用的 IAM 服务角色，都会发生这种情况。 MediaConvert 

# 在中创建 IAM 角色 MediaConvert
<a name="creating-the-iam-role-in-mediaconvert-configured"></a>

当您使用配置的权限在中 MediaConvert 创建 AWS Identity and Access Management (IAM) 角色时，您可以将 MediaConvert 访问权限限制为仅访问特定的 Amazon S3 存储桶。您还可以选择是否向您的 Amazon API Gateway 端点授予调用访问权限。

**使用已配置的权限在中 MediaConvert 设置 IAM 角色**

1. 在 MediaConvert 控制台中打开 “[作业](https://console.aws.amazon.com/mediaconvert/home#/jobs/list)” 页面。

1. 请选择**创建任务**。

1. 在**任务设置**下，选择**AWS 集成**。

1. 在**服务访问权限**部分，对于**服务角色控制**，选择**创建新服务角色，配置权限**。

1. 对于**新角色名称**，我们建议您保留默认值**MediaConvert\$1Default\$1Role**。当你这样做时， MediaConvert 默认情况下将这个角色用于你将来的工作。

1. 对于**输入 S3 位置**和**输出 S3 位置**，请选择**添加位置**。选择将用于输入或输出位置的 Amazon S3 存储桶。

1. （可选）对于 **API Gateway 端点调用**，如果您需要使用某特征，请选择允许。

   MediaConvert 需要此访问权限才能使用以下功能：
   + 带 SPEKE 的数字版权管理
   + Nielsen 非线性水印

   要仅允许 MediaConvert 调用访问特定终端节点，请在创建角色策略后使用 AWS Identity and Access Management (IAM) 服务修改角色策略中的这些权限。有关更多信息，请参阅*AWS Identity and Access Management 用户指南中的[编辑 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)*。

# 在 IAM 控制台中创建一个角色。
<a name="creating-the-iam-role-in-iam"></a>

直接使用 AWS Identity and Access Management (IAM)，您可以执行 MediaConvert控制台中不可用的操作。您可以在 IAM 中创建角色时执行此操作，也可以在中创建自己的角色， MediaConvert 然后使用 IAM 对其进行完善。

以下步骤将说明如何使用 IAM 控制台创建角色。有关以编程方式访问 IAM 的信息，请参阅 [IAM 文档集](https://docs.aws.amazon.com/iam/)中相应的文档。

**为 MediaConvert （IAM 控制台）创建服务角色**

1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在 IAM 控制台的导航窗格中，选择**角色**，然后选择**创建角色**。

1. 对于 **Trusted entity type**（可信实体类型），选择 **AWS 服务**。

1. 对于 “**服务” 或 “用例**” **MediaConvert**，选择，然后选择**MediaConvert**用例。

1. 选择**下一步**。

1. 选中您在上一个过程中创建的 MediaConvert 策略旁边的复选框。

1. （可选）设置[权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。这是一项高级功能，可用于服务角色，但不可用于服务相关角色。

   1. 打开**设置权限边界**部分，然后选择**使用权限边界控制最大角色权限**。

      IAM 包含您账户中的 AWS 托管策略和客户托管策略列表。

   1. 选择要用于权限边界的策略。

1. 选择**下一步**。

1. 输入有助于识别角色的作用的角色名称或者角色名称后缀。
**重要**  
命名角色时，请注意以下事项：  
角色名称在您的内部必须是唯一的 AWS 账户，并且不能因大小写而变得唯一。  
例如，不要同时创建名为 **PRODROLE** 和 **prodrole** 的角色。当角色名称在策略中使用或者作为 ARN 的一部分时，角色名称区分大小写，但是当角色名称在控制台中向客户显示时（例如，在登录期间），角色名称不区分大小写。
创建角色后，您无法编辑该角色的名称，因为其他实体可能会引用该角色。

1. （可选）对于**描述**，输入角色的描述。

1. （可选）要编辑角色的使用案例和权限，请在**步骤 1：选择可信实体**或**步骤 2：添加权限**部分中选择**编辑**。

1. （可选）为了帮助识别、组织或搜索角色，请以键值对形式添加标签。有关在 IAM 中使用标签的更多信息，请参阅 *IAM 用户指南*中的[AWS Identity and Access Management 资源标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。

1. 检查该角色，然后选择**创建角色**。

**注意**  
对于**新角色名称**，我们建议您输入 **MediaConvert\$1Default\$1Role**。当你这样做时， MediaConvert 默认情况下将这个角色用于你将来的工作。

# 授予访问加密的 MediaConvert Amazon S3 存储桶的权限
<a name="granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets"></a>

当您启用 [Amazon S3 默认加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up)时，Amazon S3 会在您上传对象时自动加密这些对象。您可以选择使用 AWS Key Management Service (AWS KMS) 来管理密钥。这称为 SSE-KMS 加密。

如果您在存放 AWS Elemental MediaConvert 输入或输出文件的存储桶上启用 SSE-KMS 默认加密，则必须[向 IAM 服务角色添加内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。如果您不添加内联策略，则 MediaConvert 无法读取您的输入文件或写入输出文件。

在以下使用案例中授予这些权限：
+ 如果您的输入存储桶具有 SSE-KMS 默认加密，请授予 `kms:Decrypt`
+ 如果您的输出存储桶具有 SSE-KMS 默认加密，请授予 `kms:GenerateDataKey`

以下示例内联策略将授予这两个权限。

## 带有 kms:Decrypt 和 kms:GenerateDataKey 的内联策略示例
<a name="example-inline-policy-kms-decrypt-generatedatakey"></a>

此策略向 `kms:Decrypt` 和 `kms:GenerateDataKey` 授予权限。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}
```

------