MediaConnect 向けのサービスリンクロールの使用 - AWS Elemental MediaConnect
MediaConnect のサービスリンクロール許可MediaConnect のサービスリンクロールの作成MediaConnect でのサービスにリンクされたロールの編集MediaConnect のサービスリンクロールの削除MediaConnect のサービスにリンクされたロールをサポートするリージョン

MediaConnect 向けのサービスリンクロールの使用

AWS Elemental MediaConnect は、AWS Identity and Access Management (IAM) のサービスにリンクされたロールを使用します。サービスにリンクされたロールは、MediaConnect に直接リンクされた一意のタイプの IAM ロールです サービスにリンクされたロールは、MediaConnect によって事前定義されており、あるサービスから他の AWS のサービスをユーザーに代わって呼び出す際に、必要となる許可がすべて含まれています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、MediaConnect の設定が簡単になります。MediaConnect は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、MediaConnect のみがそのロールを引き受けることができます。定義される許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他のIAM エンティティにアタッチすることはできません。

サービスにリンクされたロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースへのアクセス許可が意図せず削除されることが防止されるので、MediaConnect リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連動する AWS のサービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) の列内で [Yes] (はい) と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

MediaConnect のサービスリンクロール許可

MediaConnect は、AWSServiceRoleForMediaConnect という名前のサービスリンクロールを使用します。これは、MediaConnect によって使用または管理される AWS のサービスとリソースへのアクセスを可能にする、デフォルトのService-Linked Role (サービスリンクロール) です。

サービスにリンクされたロール AWSServiceRoleForECS は、次のサービスを信頼してロールを引き受けます。

  • MediaConnect

MediaConnectServiceRolePolicy というロールアクセス許可ポリシーは、MediaConnect に、指定されたリソースで次のアクションを完了することを許可します。

  • アクション: リソース arn:aws:ecs:*:*:* での ecs:CreateCluster, ecs:RegisterTaskDefinition, ecs:DescribeTaskDefinition, ecs:ListAttributes, ecs:UpdateContainerInstancesState, ecs:DeregisterContainerInstance

  • アクション: リソース arn:aws:ecs:*:*:cluster/MediaConnect での ecs:UpdateCluster, ecs:UpdateClusterSettings, ecs:DescribeClusters

  • アクション: 条件が StringLike: {ecs:Cluster: arn:aws:ecs:*:*:cluster/MediaConnect} であるリソース ecs:CreateService, ecs:UpdateService, ecs:RunTask, ecs:StartTask, ecs:StopTask, ecs:ExecuteCommand, ecs:PutAttributes, ecs:DeleteAttributes, ecs:DescribeServices, ecs:DescribeTasks, ecs:ListTasks での arn:aws:ecs:*:*:*

サービスにリンクされたロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。

MediaConnect のサービスリンクロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Console コンソール、AWS CLI、または AWS API で関連付けられた MediaConnect を作成すると、MediaConnect がサービスにリンクされたロールを作成します。

重要

このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。MediaConnect がサービスリンクロールのサポートを開始した 2023 年 3 月 1 日より前にこのサービスを使用していた場合、MediaConnect によってアカウントに AWSServiceRoleForMediaConnect ロールが作成されています。詳細については、 IAM アカウントに新しいロールが表示されるを参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。関連付けられた MediaConnect リソースを作成すると、MediaConnect によってサービスにリンクされたロールが再び作成されます。

MediaConnect ユースケースでサービスにリンクされたロールを作成する場合は、IAM コンソールも使用できます。AWS CLI または AWS API で、MediaConnect サービス名を使用してサービスリンクロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除する場合、この同じプロセスを使用して、もう一度ロールを作成できます。

MediaConnect でのサービスにリンクされたロールの編集

MediaConnect では、サービスにリンクされたロール AWSServiceRoleForMediaConnect を編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

MediaConnect のサービスリンクロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースの削除を試みた際に、このロールが MediaConnect のサービスで使用されている場合、削除処理が失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForMediaConnect が使用している MediaConnect リソースを削除するには

  1. すべてのゲートウェイのブリッジをすべて削除します。

  2. すべてのゲートウェイのすべてのインスタンスを登録解除します。

  3. すべてのゲートウェイを削除する

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロールである AWSServiceRoleForMediaConnect を削除します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。

MediaConnect のサービスにリンクされたロールをサポートするリージョン

MediaConnect は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「MediaConnect のリージョンとエンドポイント」を参照してください。