を使用した Kinesis Video Streams リソースへのアクセスの制御 IAM - Amazon Kinesis Video Streams

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した Kinesis Video Streams リソースへのアクセスの制御 IAM

Amazon Kinesis Video Streams で AWS Identity and Access Management (IAM) を使用すると、組織内のユーザーが特定の Kinesis Video Streams APIオペレーションを使用してタスクを実行できるかどうか、および特定の AWS リソースを使用できるかどうかを制御できます。 Amazon Kinesis Video Streams

IAM の詳細については、以下を参照してください。

ポリシー構文

IAM ポリシーは、1 つ以上のステートメントで構成されるJSONドキュメントです。各ステートメントは次のように構成されます。

{ "Statement":[{ "Effect":"effect", "Action":"action", "Resource":"arn", "Condition":{ "condition":{ "key":"value" } } } ] }

ステートメントはさまざまなエレメントで構成されています。

  • 効果効果Allowまたは ですDeny。デフォルトでは、ユーザーにはリソースとAPIアクションを使用するアクセス許可がないため、すべてのリクエストが拒否されます。明示的な許可はデフォルトに上書きされます。明示的な拒否はすべての許可に上書きされます。

  • アクションアクションは、アクセス許可を付与または拒否する特定のAPIアクションです。

  • リソース – アクションの影響を受けるリソース。ステートメントでリソースを指定するには、その Amazon リソースネーム () を使用する必要がありますARN。

  • 条件 – 条件はオプションです。ポリシーの発効条件を指定するために使用します。

IAM ポリシーを作成および管理する際は、IAMPolicy GeneratorIAM Policy Simulator を使用することをお勧めします。

Kinesis Video Streams のアクション

IAM ポリシーステートメントでは、 をサポートする任意のサービスから任意のAPIアクションを指定できますIAM。Kinesis Video Streams では、APIアクションの名前にプレフィックス を使用しますkinesisvideo:。例えば、kinesisvideo:CreateStreamkinesisvideo:ListStreams、および kinesisvideo:DescribeStream のようになります。

単一のステートメントで複数のアクションを指定するには、次のようにカンマで区切ります。

"Action": ["kinesisvideo:action1", "kinesisvideo:action2"]

ワイルドカードを使用して複数のアクションを指定することもできます。たとえば、Getという単語で始まる名前のすべてのアクションは、以下のように指定できます。

"Action": "kinesisvideo:Get*"

すべての Kinesis Video Streams の操作を指定するには、次のようにアスタリスク (*) ワイルドカードを使用します。

"Action": "kinesisvideo:*"

Kinesis Video Streams APIアクションの完全なリストについては、Kinesis Video Streams APIリファレンスを参照してください。

Kinesis Video Streams の Amazon リソースネーム (ARNs)

各IAMポリシーステートメントは、 を使用して指定したリソースに適用されますARNs。

Kinesis Video Streams には、次のARNリソース形式を使用します。

arn:aws:kinesisvideo:region:account-id:stream/stream-name/code

以下に例を示します。

"Resource": arn:aws:kinesisvideo:*:111122223333:stream/my-stream/0123456789012

を使用してストリームARNの を取得できますDescribeStream

Kinesis ビデオストリームへのアクセス権を他のIAMアカウントに付与する

Kinesis Video Streams のストリームでオペレーションを実行するには、他の IAMアカウントに許可を付与する必要がある場合があります。次の概要では、アカウント間でビデオストリームへのアクセス許可を付与するための一般的なステップを説明します。

  1. アカウントで作成されたストリームリソースでオペレーションを実行するアクセス許可を付与するアカウントの 12 桁のアカウント ID を取得します。

    例: 次のステップでは、アクセス許可を付与するアカウントのアカウント ID として 111111111111 を使用し、Kinesis Video Streams の ID として 999999999999 を使用します。

  2. 付与するアクセスレベルを許可するストリーム (999999999999) を所有するアカウントに IAMマネージドポリシーを作成します。

    サンプルポリシー:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesisvideo:GetDataEndpoint", "kinesisvideo:DescribeStream", "kinesisvideo:PutMedia" ], "Resource": "arn:aws:kinesisvideo:us-west-2:999999999999:stream/custom-stream-name/1613732218179" } ] }

    Kinesis Video Streams リソースのその他のポリシー例については、次のセクションポリシーの例の「」を参照してください。

  3. ストリーム (999999999999) を所有するアカウントにロールを作成し、(111111111111) のアクセス許可を付与するアカウントを指定します。これにより、信頼されたエンティティがロールに追加されます。

    信頼されたポリシーの例:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:root" }, "Action": "sts:AssumeRole" } ] }

    前のステップで作成したポリシーをこのロールにアタッチします。

    これで、アカウント 999999999999 にロールが作成されました。このロールには、管理ポリシーARNのストリームリソースPutMediaに対する DescribeStreamGetDataEndpoint、 などのオペレーションに対するアクセス許可が付与されています。この新しいロールは、このロールを引き受ける他のアカウント 111111111111 も信頼します。

    重要

    ロール を書き留めておきます。次のステップで必要ARNになります。

  4. 前のステップでアカウント 111111111111 で作成したロールに対する AssumeRoleアクションを許可するマネージドポリシーを、他のアカウント 999999999999 に作成します。前のステップのロールARNについて言及する必要があります。

    サンプルポリシー:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::999999999999:role/CustomRoleName" } }
  5. 前のステップで作成したポリシーを、アカウント 111111111111 のロールやユーザーなどのIAMエンティティにアタッチします。このユーザーは、アカウント 999999999999 CustomRoleNameでロールを引き受けるアクセス許可を持つようになりました。

    このユーザーの認証情報は APIを呼び出し AWS STS AssumeRoleてセッション認証情報を取得し、その後、アカウント 999999999999 で作成されたストリームAPIsで Kinesis Video Streams を呼び出すために使用されます。

    aws sts assume-role --role-arn "arn:aws:iam::999999999999:role/CustomRoleName" --role-session-name "kvs-cross-account-assume-role" { "Credentials": { "AccessKeyId": "", "SecretAccessKey": "", "SessionToken": "", "Expiration": "" }, "AssumedRoleUser": { "AssumedRoleId": "", "Arn": "" } }
  6. 環境内の以前のセットに基づいて、アクセスキー、シークレットキー、およびセッション認証情報を設定します。

    set AWS_ACCESS_KEY_ID= set AWS_SECRET_ACCESS_KEY= set AWS_SESSION_TOKEN=
  7. Kinesis Video Streams を実行してAPIs、アカウント 999999999999 のストリームのデータエンドポイントを記述して取得します。

    aws kinesisvideo describe-stream --stream-arn "arn:aws:kinesisvideo:us-west-2:999999999999:stream/custom-stream-name/1613732218179" { "StreamInfo": { "StreamName": "custom-stream-name", "StreamARN": "arn:aws:kinesisvideo:us-west-2:999999999999:stream/custom-stream-name/1613732218179", "KmsKeyId": "arn:aws:kms:us-west-2:999999999999:alias/aws/kinesisvideo", "Version": "abcd", "Status": "ACTIVE", "CreationTime": "2018-02-19T10:56:58.179000+00:00", "DataRetentionInHours": 24 } } aws kinesisvideo get-data-endpoint --stream-arn "arn:aws:kinesisvideo:us-west-2:999999999999:stream/custom-stream-name/1613732218179" --api-name "PUT_MEDIA" { "DataEndpoint": "https://s-b12345.kinesisvideo.us-west-2.amazonaws.com" }

クロスアカウントアクセスを付与する一般的な step-by-step手順については、IAM「ロール AWS アカウント を使用した 間のアクセスの委任」を参照してください。

Kinesis Video Streams のポリシー例

次のポリシー例は、Kinesis Video Streams へのユーザーアクセスを制御する方法を示しています。

例 1: ユーザーに Kinesis ビデオストリームからのデータの取得を許可する

このポリシーにより、ユーザーまたはグループが任意の Kinesis ビデオストリームに対して DescribeStreamGetDataEndpointGetMediaListStreams、および ListTagsForStream の操作を実行できます。このポリシーは、任意のビデオストリームからデータを取得できるユーザーに適しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesisvideo:Describe*", "kinesisvideo:Get*", "kinesisvideo:List*" ], "Resource": "*" } ] }
例 2: ユーザーに Kinesis ビデオストリームの作成とビデオストリームへのデータの書き込みを許可する

このポリシーにより、ユーザーまたはグループは CreateStream および PutMedia の操作を実行できます。このポリシーは、ビデオストリームを作成し、それにデータを送信できる監視カメラに適しています。

{ "Statement": [ { "Effect": "Allow", "Action": [ "kinesisvideo:CreateStream", "kinesisvideo:PutMedia" ], "Resource": "*" } ] }
例 3: すべての Kinesis Video Streams リソースへのフルアクセスをユーザーに許可する

このポリシーにより、ユーザーまたはグループが任意のリソースに対して任意の Kinesis Video Streams オペレーションを実行できます。このポリシーは、管理者に適しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kinesisvideo:*", "Resource": "*" } ] }
例 4: ユーザーに特定の Kinesis ビデオストリームへのデータの書き込みを許可する

このポリシーにより、ユーザーまたはグループは特定のビデオストリームにデータを書き込むことができます。このポリシーは、1 つのストリームにデータを送信できるデバイスに適してします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kinesisvideo:PutMedia", "Resource": "arn:aws:kinesisvideo:us-west-2:123456789012:stream/your_stream/0123456789012" } ] }