本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 開始使用 MediaConvert 的先決條件
<a name="setting-up"></a>

開始使用 MediaConvert 之前，您需要 AWS 帳戶、至少一個存放在 Amazon S3 或 HTTP/HTTPS 伺服器上的輸入檔案、輸出檔案的 Amazon S3 儲存貯體，以及具有正確許可的 IAM 角色。

如需如何將檔案上傳至 Amazon S3 的資訊，請參閱《[*Amazon S3 使用者指南*》中的上傳物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html)。

如需有關為輸出目的地建立 Amazon S3 儲存貯體的資訊，請參閱《[*Amazon S3 使用者指南*》中的建立儲存貯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)體。

下列主題說明如何註冊 ， AWS 帳戶 以及如何設定 IAM 角色。

**Topics**
+ [

# 設定 IAM 許可
](iam-role.md)

# 設定 IAM 許可
<a name="iam-role"></a>

若要使用 執行轉碼任務 AWS Elemental MediaConvert，您需要 IAM 服務角色，以允許 MediaConvert 存取您的 資源。資源包括輸入檔案和輸出檔案存放位置等項目。

無論您最初如何建立 IAM 服務角色，都可以隨時使用 IAM 精簡此角色。如需詳細資訊，請參閱《 IAM 使用者指南》**中的[新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。

您可以透過下列其中一種方式建立 IAM 服務角色：
+ 在 MediaConvert 主控台中，對您授予的許可有一些限制。如需說明，請參閱[在 MediaConvert 中建立 IAM 角色](creating-the-iam-role-in-mediaconvert-configured.md)。

  從 MediaConvert 主控台，設定您的角色以允許 MediaConvert 僅存取部分 Amazon S3 儲存貯體。您也可以選擇是否授予叫用 API Gateway 端點的存取權。
+ 在 IAM 主控台中。如需說明，請參閱[在 IAM 中建立角色](creating-the-iam-role-in-iam.md)。

  您可以在 IAM 主控台中設定 IAM 角色時，對授予 MediaConvert 的存取權進行精確控制。您也可以透過 AWS Command Line Interface (AWS CLI) 或 API 或 SDK 使用 IAM。

**注意**  
如果您在 Amazon S3 儲存貯體上啟用 Amazon S3 預設加密，且您和 指定自己的金鑰由 管理 AWS Key Management Service，則必須授予其他許可。如需詳細資訊，請參閱[授予 MediaConvert 存取加密 Amazon S3 儲存貯體的許可](granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets.md)。

## 使用預設 MediaConvert 角色
<a name="default-role"></a>

如果您使用名稱 `MediaConvert_Default_Role`，則 MediaConvert 主控台會在未來建立任務時預設使用它。無論您如何為 MediaConvert 建立要使用的 IAM 服務角色，都會發生這種情況。

# 在 MediaConvert 中建立 IAM 角色
<a name="creating-the-iam-role-in-mediaconvert-configured"></a>

當您使用設定的許可在 MediaConvert 中建立 AWS Identity and Access Management (IAM) 角色時，您可以將 MediaConvert 存取限制為僅限特定 Amazon S3 儲存貯體。您也可以指定是否授予 Amazon API Gateway 端點的叫用存取權。

**使用已設定的許可在 MediaConvert 中設定 IAM 角色**

1. 在 MediaConvert 主控台中開啟[任務](https://console.aws.amazon.com/mediaconvert/home#/jobs/list)頁面。

1. 選擇**建立任務**。

1. 在**任務設定**下，選擇**AWS 整合**。

1. 在**服務存取**區段中，針對**服務角色控制**，選擇**建立新的服務角色，設定許可**。

1. 對於**新角色名稱**，我們建議您保留預設值 **MediaConvert\$1Default\$1Role**。當您這麼做時，MediaConvert 預設會針對您未來的任務使用此角色。

1. 針對**輸入 S3 位置**和**輸出 S3 位置**，選擇**新增位置**。選取您要用於輸入或輸出位置的 Amazon S3 儲存貯體。

1. （選用） 對於 **API Gateway 端點調用**，如果您使用需要的功能，請選擇允許。

   MediaConvert 需要下列功能的此存取權：
   + 使用 進行數位版權管理 SPEKE
   + Nielsen 非線性浮水印

   若要僅允許 MediaConvert 叫用存取特定端點，請在建立角色政策之後，使用 AWS Identity and Access Management (IAM) 服務修改角色政策中的這些許可。如需詳細資訊，請參閱[《 使用者指南》中的編輯 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)。 *AWS Identity and Access Management *

# 使用 IAM 主控台建立角色
<a name="creating-the-iam-role-in-iam"></a>

直接使用 AWS Identity and Access Management (IAM)，您可以執行 MediaConvert 主控台中無法使用的動作。您可以在 IAM 中建立角色時執行此操作，也可以在 MediaConvert 中建立角色，然後使用 IAM 稍後進行精簡。

下列程序說明如何使用 IAM 主控台建立角色。如需有關以程式設計方式存取 IAM 的資訊，請參閱 [IAM 文件集中的適當文件](https://docs.aws.amazon.com/iam/)。

**建立 MediaConvert 的服務角色 (IAM 主控台）**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在 IAM 主控台的導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 對於 **Trusted entity type** (信任的實體類型)，請選擇 **AWS 服務**。

1. 針對**服務或使用案例**，選擇 **MediaConvert**，然後選擇 **MediaConvert** 使用案例。

1. 選擇**下一步**。

1. 選取您在先前程序中建立的 MediaConvert 政策旁的方塊。

1. (選用) 設定[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。這是進階功能，可用於服務角色，而不是服務連結的角色。

   1. 開啟**設定許可界限**區段，然後選擇**使用許可界限來控制角色許可上限**。

      IAM 包含您帳戶中 AWS 受管和客戶受管政策的清單。

   1. 選取用於許可界限的政策。

1. 選擇**下一步**。

1. 輸入角色名稱或角色名稱字尾，協助識別該角色的用途。
**重要**  
當您命名角色時，請注意下列事項：  
角色名稱在您的 中必須是唯一的 AWS 帳戶，而且無法依大小寫設為唯一。  
例如，不要同時建立名為 **PRODROLE** 和 **prodrole** 的角色。當角色名稱用於政策或 ARN 的一部分時，角色名稱會區分大小寫，但是當角色名稱在主控台中顯示給客戶時，例如在登入過程中，角色名稱不會區分大小寫。
因為其他實體可能會參考角色，所以在建立角色之後，就無法編輯其名稱。

1. (選用) 在**說明**中，輸入角色的說明。

1. (選用) 若要編輯使用案例和角色許可，請在**步驟 1：選取受信任的實體**或者**步驟 2：新增許可**區段中選擇**編輯**。

1. (選用) 若要協助識別、組織或搜尋角色，請將標籤新增為索引鍵值對。如需在 IAM 中使用標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 資源的標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。

1. 檢閱角色，然後選擇 **Create role** (建立角色)。

**注意**  
針對**新角色名稱**，我們建議您輸入 **MediaConvert\$1Default\$1Role**。當您這麼做時，MediaConvert 預設會針對您未來的任務使用此角色。

# 授予 MediaConvert 存取加密 Amazon S3 儲存貯體的許可
<a name="granting-permissions-for-mediaconvert-to-access-encrypted-s3-buckets"></a>

當您[啟用 Amazon S3 預設加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up)時，Amazon S3 會在您上傳物件時自動加密物件。您可以選擇使用 AWS Key Management Service (AWS KMS) 來管理金鑰。此稱為 SSE-KMS 加密。

如果您在存放 AWS Elemental MediaConvert 輸入或輸出檔案的儲存貯體上啟用 SSE-KMS 預設加密，則必須[將內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)新增至 IAM 服務角色。如果您不新增內嵌政策，MediaConvert 就無法讀取輸入檔案或寫入輸出檔案。

在下列使用案例中授予這些許可：
+ 如果您的輸入儲存貯體有 SSE-KMS 預設加密，請授予 `kms:Decrypt`
+ 如果您的輸出儲存貯體有 SSE-KMS 預設加密，請授予 `kms:GenerateDataKey`

下列內嵌政策範例會同時授予這兩個許可。

## 使用 kms:Decrypt和 的內嵌政策範例 kms:GenerateDataKey
<a name="example-inline-policy-kms-decrypt-generatedatakey"></a>

此政策會授予 `kms:Decrypt`和 的許可`kms:GenerateDataKey`。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike":

{           "kms:ViaService": "s3.*.amazonaws.com"         }
      }
    }
  ]
}
```

------