Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en Amazon Comprehend Medical
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener información sobre los programas de conformidad que se aplican a Amazon Comprehend Medical, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a entender cómo aplicar el modelo de responsabilidad compartida al utilizar Amazon Comprehend Medical. En los temas siguientes se muestra cómo configurar Amazon Comprehend Medical para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros servicios de AWS que le ayudan a supervisar y proteger sus recursos de Amazon Comprehend Medical.
**Topics**
+ [Protección de los datos en Amazon Comprehend Medical](data-protection.md)
+ [Administración de identidades y accesos en Amazon Comprehend Medical](security-iam.md)
+ [Registro de llamadas a la API Amazon Comprehend Medical mediante AWS CloudTrail](logging-using-cloudtrail.md)
+ [Validación de la conformidad en Amazon Comprehend Medical](compliance-validation.md)
+ [Resiliencia en Amazon Comprehend Medical](resilience.md)
+ [Seguridad de la infraestructura en Amazon Comprehend Medical](infrastructure-security.md)
# Protección de los datos en Amazon Comprehend Medical
El [modelo de ](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a protección de datos en Amazon Comprehend Medical. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados que contienen Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Comprehend Medical u otro Servicios de AWS mediante la consola, la API o. AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
# Administración de identidades y accesos en Amazon Comprehend Medical
El acceso a Comprehend Medical requiere credenciales que AWS puede utilizar para autenticar las solicitudes. Esas credenciales deben tener permisos para acceder a las acciones de Comprehend Medical. Puede utilizar [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) para ayudar a proteger sus recursos controlando quién puede acceder a ellos. En las siguientes secciones se ofrece información detallada acerca de cómo puede utilizar IAM con Comprehend Medical.
+ [Autenticación](#auth-med)
+ [Control de acceso](#access-control-med)
## Autenticación
Debe conceder a los usuarios permisos para interactuar con Amazon Comprehend Medical. Para los usuarios que necesitan acceso completo, utilice `ComprehendMedicalFullAccess`.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
Para utilizar las operaciones asincrónicas de Amazon Comprehend Medical, también necesita un rol de servicio.
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre cómo especificar Amazon Comprehend Medical como servicio en la entidad principal, consulte [Para las operaciones de procesamiento por lotes se requieren permisos basados en roles.](security-iam-permissions.md#auth-role-permissions-med).
## Control de acceso
Debe tener credenciales válidas para autenticar las solicitudes. Las credenciales deben tener permisos para llamar a una acción de Amazon Comprehend Medical.
En las secciones siguientes, se describe cómo administrar los permisos de Amazon Comprehend Medical. Recomendamos que lea primero la información general.
+ [Información general sobre la administración de los permisos de acceso a los recursos de Amazon Comprehend Medical](security-iam-accesscontrol.md)
+ [Uso de políticas basadas en identidades (políticas de IAM) para Amazon Comprehend Medical](security-iam-permissions.md)
**Topics**
+ [Autenticación](#auth-med)
+ [Control de acceso](#access-control-med)
+ [Información general sobre la administración de los permisos de acceso a los recursos de Amazon Comprehend Medical](security-iam-accesscontrol.md)
+ [Uso de políticas basadas en identidades (políticas de IAM) para Amazon Comprehend Medical](security-iam-permissions.md)
+ [Permisos de la API de Amazon Comprehend Medical: referencia de acciones, recursos y condiciones](security-iam-resources.md)
+ [AWS políticas gestionadas para Amazon Comprehend Medical](security-iam-awsmanpol.md)
# Información general sobre la administración de los permisos de acceso a los recursos de Amazon Comprehend Medical
Los permisos para obtener acceso a una acción se rigen por las políticas de permisos. El administrador de la cuenta puede añadir políticas de permisos a identidades de IAM para gestionar el acceso a las acciones. Las identidades de IAM incluyen usuarios, grupos y roles.
**nota**
Un *administrador de cuentas* (o usuario administrador) es un usuario que tiene privilegios de administrador. Para obtener más información, consulte [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
Cuando concede permisos, debe decidir a quién los concede y qué acciones podrá realizar.
**Topics**
+ [Administración del acceso a las acciones](#access-control-manage-access-intro-med)
+ [Especificación de los elementos de las políticas: acciones, efectos y entidades principales](#access-control-specify-comprehend-actions-med)
+ [Especificación de las condiciones de una política](#specifying-conditions-med)
## Administración del acceso a las acciones
Una *política de permisos* describe quién tiene acceso a qué. En la siguiente sección se explican las opciones de políticas de permisos.
**nota**
En esta sección se explica IAM en el contexto de Amazon Comprehend Medical. No se proporciona información detallada sobre el servicio de IAM. Para obtener más información acerca de IAM, consulte [¿Qué es IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) en la *Guía del usuario de IAM*. Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte [Referencia de políticas de AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.
Las políticas que se asocian a una identidad de IAM se denominan *políticas basadas en identidades*. Las políticas que se asocian a un recurso se denominan *políticas basadas en recursos*. Amazon Comprehend Medical solo admite políticas basadas en identidades.
### Políticas basadas en identidades (políticas de IAM)
Puede asociar políticas a identidades de IAM. A continuación se incluyen dos ejemplos.
+ **Asociar una política de permisos a un usuario o un grupo de su cuenta** Para permitir a un usuario o un grupo de usuarios llamar a una acción de Amazon Comprehend Medical, asocie una política de permisos al usuario. Asocie la política al grupo donde está el usuario.
+ **Asocie una política de permisos a un rol para conceder permisos entre cuentas** Para conceder permisos entre cuentas, asocie una política de permisos basada en identidades a un rol de IAM. Por ejemplo, el administrador de la cuenta A puede crear un rol para conceder permisos entre cuentas a otra cuenta. En este ejemplo, se denomina “cuenta B”, que también podría ser un servicio de AWS.
1. El administrador de la cuenta A crea un rol de IAM y asocia a dicho rol una política que concede permisos a los recursos de la cuenta A.
1. El administrador de la cuenta A asocia una política de confianza al rol. La política identifica la cuenta B como la entidad principal, que puede asumir el rol.
1. A continuación, el administrador de la cuenta B puede delegar permisos para asumir el rol a cualquier usuario de la cuenta B. De este modo, los usuarios de la cuenta B podrán crear y acceder a recursos en la cuenta A. Si desea conceder permisos para asumir el rol a un servicio de AWS, la entidad principal de la política de confianza también puede ser la entidad principal de un servicio de AWS.
Para obtener más información sobre el uso de IAM para delegar permisos, consulte [Administración de accesos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) en la *Guía del usuario de IAM*.
Para obtener más información acerca del uso de políticas basadas en identidades con Amazon Comprehend Medical, consulte [Uso de políticas basadas en identidades (políticas de IAM) para Amazon Comprehend Medical](security-iam-permissions.md). Para obtener más información sobre usuarios, grupos, roles y permisos, consulte [Identidades (usuarios, grupos y roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Otros servicios, como, por ejemplo AWS Lambda, admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. Amazon Comprehend Medical no admite políticas basadas en recursos.
## Especificación de los elementos de las políticas: acciones, efectos y entidades principales
Amazon Comprehend Medical define un conjunto de operaciones de la API. Para conceder permisos para estas operaciones de la API, Amazon Comprehend Medical define el conjunto de acciones que se pueden especificar en una política.
Los cuatro elementos que aparecen aquí son los elementos más básicos de la política.
+ **Recurso**: en una política, utilice un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. En Amazon Comprehend Medical, el recurso es siempre `"*"`.
+ **Acción**: utilice palabras clave de acción para identificar las operaciones que desea permitir o denegar. Por ejemplo, en función del efecto especificado, `comprehendmedical:DetectEntities` permite o deniega los permisos de usuario para realizar la operación `DetectEntities` de Amazon Comprehend Medical.
+ **Efecto**: especifique el efecto que se produce cuando el usuario solicita la acción específica, ya sea permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso. Esto puede servir para asegurarse de que un usuario no pueda tener acceso al recurso, aunque otra política le conceda acceso.
+ **Entidad principal**: en las políticas basadas en identidades, el usuario al que se asocia esta política es la entidad principal implícita.
Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM consulte [Referencia de políticas de IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.
Para ver una tabla con todas las acciones de la API de Amazon Comprehend Medical, consulte [Permisos de la API de Amazon Comprehend Medical: referencia de acciones, recursos y condiciones](security-iam-resources.md).
## Especificación de las condiciones de una política
Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte [Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) en la *Guía del usuario de IAM*.
AWS proporciona un conjunto de claves de condición predefinidas para todos los servicios de AWS que admiten IAM para el control de acceso. Por ejemplo, puede utilizar la clave de condición `aws:userid` para exigir un ID de AWS específico al solicitar una acción. Para obtener más información y ver una lista completa de claves de AWS, consulte [Claves disponibles para las condiciones](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) en la *Guía del usuario de IAM*.
Amazon Comprehend Medical no proporciona claves de condición adicionales.
# Uso de políticas basadas en identidades (políticas de IAM) para Amazon Comprehend Medical
En esta sección se incluyen ejemplos de políticas basadas en identidades. Los ejemplos muestran cómo un administrador de la cuenta puede asociar políticas de permisos a identidades de IAM. Esto permite a los usuarios, grupos y roles realizar acciones de Amazon Comprehend Medical.
**importante**
Para entender los permisos, le recomendamos que consulte [Información general sobre la administración de los permisos de acceso a los recursos de Amazon Comprehend Medical](security-iam-accesscontrol.md).
Este ejemplo de política es obligatorio para utilizar las acciones de análisis de documentos de Amazon Comprehend Medical.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2",
"comprehendmedical:DetectPHI",
"comprehendmedical:StartEntitiesDetectionV2Job",
"comprehendmedical:ListEntitiesDetectionV2Jobs",
"comprehendmedical:DescribeEntitiesDetectionV2Job",
"comprehendmedical:StopEntitiesDetectionV2Job",
"comprehendmedical:StartPHIDetectionJob",
"comprehendmedical:ListPHIDetectionJobs",
"comprehendmedical:DescribePHIDetectionJob",
"comprehendmedical:StopPHIDetectionJob",
"comprehendmedical:StartRxNormInferenceJob",
"comprehendmedical:ListRxNormInferenceJobs",
"comprehendmedical:DescribeRxNormInferenceJob",
"comprehendmedical:StopRxNormInferenceJob",
"comprehendmedical:StartICD10CMInferenceJob",
"comprehendmedical:ListICD10CMInferenceJobs",
"comprehendmedical:DescribeICD10CMInferenceJob",
"comprehendmedical:StopICD10CMInferenceJob",
"comprehendmedical:StartSNOMEDCTInferenceJob",
"comprehendmedical:ListSNOMEDCTInferenceJobs",
"comprehendmedical:DescribeSNOMEDCTInferenceJob",
"comprehendmedical:StopSNOMEDCTInferenceJob",
"comprehendmedical:InferRxNorm",
"comprehendmedical:InferICD10CM",
"comprehendmedical:InferSNOMEDCT"
],
"Resource": "*"
}
]
}
```
------
La política tiene una instrucción que concede permisos para utilizar las acciones `DetectEntities` y `DetectPHI`.
La política no especifica el elemento `Principal`, ya que en una política basada en identidad no se especifica el elemento principal que obtiene el permiso. Al asociar una política a un usuario, el usuario es la entidad principal implícita. Cuando se asocia una política a un rol de IAM, la entidad principal identificada en la política de confianza del rol obtiene el permiso.
Para ver todas las acciones de la API de Amazon Comprehend Medical y los recursos a los que se aplican, consulte [Permisos de la API de Amazon Comprehend Medical: referencia de acciones, recursos y condiciones](security-iam-resources.md).
## Permisos necesarios para usar la consola de Amazon Comprehend Medical
En la tabla de referencia de los permisos, se muestran las operaciones de la API de Amazon Comprehend Medical y se indican los permisos necesarios para cada operación. Para obtener más información sobre los permisos de la API de Amazon Comprehend Medical, consulte [Permisos de la API de Amazon Comprehend Medical: referencia de acciones, recursos y condiciones](security-iam-resources.md).
Para usar la consola de Amazon Comprehend Medical, debe conceder permisos para las acciones mostradas en la política siguiente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
La consola de Amazon Comprehend Medical necesita estos permisos por los siguientes motivos:
+ Permisos de `iam` para indicar los roles de IAM disponibles en su cuenta.
+ Permisos de `s3` para acceder a los buckets y objetos de Amazon S3 que contienen los datos.
Cuando crea un trabajo de procesamiento por lotes asincrónico mediante la consola, también puede crear un rol de IAM para dicho trabajo. Para crear un rol de IAM mediante la consola, se deben conceder a los usuarios los permisos adicionales que se muestran aquí para crear políticas y roles de IAM, así como para asociar políticas a los roles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
La consola de Amazon Comprehend Medical necesita estos permisos para crear y asociar roles y políticas. Mediante la acción `iam:PassRole`, la consola puede pasar el rol a Amazon Comprehend Medical.
## Políticas administradas de AWS (predefinidas) en Amazon Comprehend Medical
AWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes creadas y administradas por AWS. Estas políticas administradas por AWS conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para más información, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
La siguiente política administrada de AWS, que puede asociar a los usuarios de su cuenta, es específica de Amazon Comprehend Medical.
+ **ComprehendMedicalFullAccess**— Otorga acceso completo a los recursos de Amazon Comprehend Medical. Incluye permiso para indicar y obtener roles de IAM.
Debe aplicar la siguiente política adicional a cualquier usuario que utilice Amazon Comprehend Medical:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
Para consultar las políticas de permisos administradas, inicie sesión en la consola de IAM y busque las políticas específicas.
Estas políticas funcionan cuando utiliza AWS SDKs o la CLI de AWS.
También puede crear sus propias políticas de IAM para conceder permisos a las acciones y los recursos de Amazon Comprehend Medical. Puede asociar estas políticas personalizadas a los grupos o usuarios de IAM que las requieran.
## Para las operaciones de procesamiento por lotes se requieren permisos basados en roles.
Para utilizar las operaciones asincrónicas de Amazon Comprehend Medical, conceda a Amazon Comprehend Medical acceso al bucket de Amazon S3 que contiene su colección de documentos. Para ello, cree un rol de acceso a los datos en su cuenta para confiar en la entidad principal del servicio Amazon Comprehend Medical. Para obtener más información sobre cómo crear un rol, consulte [Creación de un rol para delegar permisos a un servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de AWS Identity and Access Management*.
A continuación, se incluye la política de confianza del rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehendmedical.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Una vez que haya creado el rol, cree una política de acceso para él. La política debe conceder los permisos `GetObject` y `ListBucket` de Amazon S3 para el bucket de Amazon S3 que contiene los datos de entrada. También concede permisos para el `PutObject` de Amazon S3 a su bucket de datos de salida de Amazon S3.
El siguiente ejemplo de política de acceso contiene esos permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::input bucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::input bucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::output bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
## Ejemplos de políticas administradas por el cliente
En esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversas acciones de Amazon Comprehend Medical. Estas políticas funcionan cuando utiliza AWS SDKs o la CLI de AWS. Cuando utilice la consola, debe conceder permisos a todos los Amazon Comprehend APIs Medical. Esto se explica en [Permisos necesarios para usar la consola de Amazon Comprehend Medical](#auth-console-permissions-med).
**nota**
Todos los ejemplos utilizan la región us-east-2 y contienen una cuenta ficticia. IDs
**Ejemplos**
### Ejemplo 1: permitir todas las acciones de Amazon Comprehend Medical
Tras registrarte AWS, debes crear un administrador para gestionar tu cuenta, lo que incluye la creación de usuarios y la gestión de sus permisos.
Si quiere, puede crear un usuario que tenga permisos para todas las acciones de Amazon Comprehend. Piense en este usuario como un administrador específico del servicio para trabajar con Amazon Comprehend Medical. Puede vincular la siguiente política de permisos con este usuario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAllComprehendMedicalActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:*"],
"Resource": "*"
}
]
}
```
------
### Ejemplo 2: Permitir solo DetectEntities acciones
La siguiente política de permisos concede a los usuarios permisos para detectar entidades en Amazon Comprehend Medical, pero no para detectar operaciones de PHI.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectEntityActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2"
],
"Resource": "*"
}
]
}
```
------
# Permisos de la API de Amazon Comprehend Medical: referencia de acciones, recursos y condiciones
Utilice la siguiente tabla como referencia cuando configure [Control de acceso](security-iam.md#access-control-med) y escriba una política de permisos para asociarla a un usuario. La lista incluye cada operación de la API de Amazon Comprehend Medical, la acción correspondiente para la que puede conceder permisos y el recurso de AWS para el que puede conceder los permisos. Las acciones se especifican en el campo `Action` de la política y el valor del recurso se especifica en el campo `Resource` de la política.
Para expresar condiciones, puede utilizar claves de condiciones de AWS en sus políticas de Amazon Comprehend Medical. Para ver la lista completa de las claves, consulte [Claves disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) en la *Guía del usuario de IAM*.
**nota**
Para especificar una acción, use el prefijo `comprehendmedical:` seguido del nombre de la operación API (por ejemplo, `comprehendmedical:DetectEntities`).
Utilice las barras de desplazamiento para ver el resto de la tabla.
**API de Amazon Comprehend Medical y permisos necesarios para las acciones**
| Operaciones de la API de Amazon Comprehend Medical | Permisos necesarios (acciones de la API) | Recursos |
| --- | --- | --- |
| DescribeEntitiesDetectionV2Job | comprehendmedical:DescribeEntitiesDetectionV2Job | \$1 |
| Describa el PHIDetection trabajo | comprehendmedical:DescribePHIDetectionJob | \$1 |
| DetectEntities | comprehendmedical:DetectEntities | \$1 |
| DetectEntitiesV2 | comprehendmedical:DetectEntitiesV2 | \$1 |
| DetectPHI | comprehendmedical:DetectPHI | \$1 |
| ListEntitiesDetectionV2 Jobs | comprehendmedical:ListEntitiesDetectionV2Jobs | \$1 |
| Listar trabajos PHIDetection | comprehendmedical:ListPHIDetectionJobs | \$1 |
| StartEntitiesDetectionV2Job | comprehendmedical:StartEntitiesDetectionV2Job | \$1 |
| Iniciar PHIDetection trabajo | comprehendmedical:StartPHIDetectionJob | \$1 |
| StopEntitiesDetectionV2Job | comprehendmedical:StopEntitiesDetectionV2Job | \$1 |
| Detener PHIDetection Job | comprehendmedical:StopPHIDetectionJob | \$1 |
| Infiera CM ICD10 | comprehendmedical:InferICD10CM | \$1 |
| InferRxNorm | comprehendmedical:InferRxNorm | \$1 |
| InferSNOMEDCT | comprehendmedical:InferSNOMEDCT | \$1 |
| Iniciar ICD10 CMInference trabajo | comprehendmedical:StartICD10CMInferenceJob | \$1 |
| StartRxNormInferenceJob | comprehendmedical:StartRxNormInferenceJob | \$1 |
| Iniciar SNOMEDCTInference trabajo | comprehendmedical:StartSNOMEDCTInferenceJob | \$1 |
| Listar ICD10 CMInference trabajos | comprehendmedical:ListICD10CMInferenceJobs | \$1 |
| ListRxNormInferenceJobs | comprehendmedical:ListRxNormInferenceJobs | \$1 |
| Listar SNOMEDCTInference trabajos | comprehendmedical:ListSNOMEDCTInferenceJobs | \$1 |
| Detener ICD10 CMInference Job | comprehendmedical:StopICD10CMInferenceJob | \$1 |
| StopRxNormInferenceJob | comprehendmedical:StopRxNormInferenceJob | \$1 |
| Detener SNOMEDCTInference Job | comprehendmedical:StopSNOMEDCTInferenceJob | \$1 |
| Describa el ICD10 CMInference trabajo | comprehendmedical:DescribeICD10CMInferenceJob | \$1 |
| DescribeRxNormInferenceJob | comprehendmedical:DescribeRxNormInferenceJob | \$1 |
| Describa el SNOMEDCTInference trabajo | comprehendmedical:DescribeSNOMEDCTInferenceJob | \$1 |
# AWS políticas gestionadas para Amazon Comprehend Medical
Una política AWS gestionada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
**Topics**
+ [AWS política gestionada: ComprehendMedicalFullAccess](#security-iam-awsmanpol-ComprehendMedicalFullAccess)
+ [Amazon Comprehend Medical actualiza las políticas AWS gestionadas](#security-iam-awsmanpol-updates)
## AWS política gestionada: ComprehendMedicalFullAccess
Puede asociar la política `ComprehendMedicalFullAccess` a las identidades de IAM.
Esta política otorga permisos administrativos a todas las acciones de Amazon Comprehend Medical.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Action" : [
"comprehendmedical:*"
],
"Effect" : "Allow",
"Resource" : "*"
}
]
}
```
------
## Amazon Comprehend Medical actualiza las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Comprehend Medical desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre los cambios realizados en esta página, suscríbase a la fuente RSS en la [Página del historial de revisión de ](comprehendmedical-releases.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Amazon Comprehend Medical comenzó a rastrear los cambios | Amazon Comprehend Medical comenzó a realizar un seguimiento de los cambios en AWS sus políticas gestionadas. | 27 de noviembre de 2018 |
# Registro de llamadas a la API Amazon Comprehend Medical mediante AWS CloudTrail
Amazon Comprehend Medical está integrado AWS CloudTrail con. CloudTrail es un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio desde Amazon Comprehend Medical. CloudTrail captura todas las llamadas a la API de Amazon Comprehend Medical como eventos. En las llamadas capturadas se incluyen las llamadas realizadas desde la consola de Amazon Comprehend Medical y las efectuadas a través de código a las operaciones de la API de Amazon Comprehend Medical. Si crea un registro, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos de Amazon Comprehend Medical. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el **historial** de eventos. Con la información recopilada por CloudTrail, puedes determinar varios factores, como los siguientes:
+ La solicitud que se realizó a Amazon Comprehend Medical
+ La dirección IP desde la que se realizó la solicitud
+ Quién realizó la solicitud
+ La hora a la que se realizó la solicitud
+ Otros detalles
Para obtener más información CloudTrail, consulte la [Guía AWS CloudTrail del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Información médica de Amazon Comprehend Medical en CloudTrail
CloudTrail está activado en su AWS cuenta al crear la cuenta. Cuando se produce una actividad en Amazon Comprehend Medical, esa actividad se registra en CloudTrail un evento junto con AWS otros eventos de servicio **en** el historial de eventos. Puede ver, buscar y descargar los eventos recientes en su AWS cuenta. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para tener un registro continuo de los eventos de tu AWS cuenta, incluidos los eventos de Amazon Comprehend Medical, crea una ruta. Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones de AWS. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Integraciones y servicios compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas las acciones de Amazon Comprehend Medical se registran CloudTrail y se documentan en [la referencia de la API de Amazon Comprehend](https://docs.aws.amazon.com/comprehend/latest/dg/API_Operations_AWS_Comprehend_Medical.html) Medical. Por ejemplo, las llamadas a `DetectPHI` y `ListEntitiesDetectionV2Jobs` las acciones generan entradas en los archivos de CloudTrail registro. `DetectEntitiesV2`
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con credenciales de usuario root o AWS Identity and Access Management (IAM).
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro AWS servicio.
Para obtener más información, consulte el [Elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Descripción de las entradas de archivos de registro de Amazon Comprehend Medical
Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una única solicitud desde cualquier origen. El evento incluye información sobre la acción solicitada, como la fecha y la hora o los parámetros de la solicitud. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.
En el siguiente ejemplo, se muestra una entrada de CloudTrail registro que demuestra la `DetectEntitiesV2` acción.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"accessKeyId": "ASIAXHKUFODNN8EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"userName": "Mateo_Jackson"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-09-27T20:07:27Z"
}
}
},
"eventTime": "2019-09-27T20:10:26Z",
"eventSource": "comprehendmedical.amazonaws.com",
"eventName": "DetectEntitiesV2",
"awsRegion": "us-east-1",
"sourceIPAddress": "702.21.198.166",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.590 Linux/4.9.184-0.1.ac.235.83.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.212-b03 java/1.8.0_212 vendor/Oracle_Corporation",
"requestParameters": null,
"responseElements": null,
"requestID": "8d85f2ec-EXAMPLE",
"eventID": "ae9be9b1-EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
# Validación de la conformidad en Amazon Comprehend Medical
Los auditores externos evalúan la seguridad y el cumplimiento de Amazon Comprehend Medical como parte de AWS varios programas de cumplimiento. SOC, PCI, FedRAMP, HIPAA y otros. Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Su responsabilidad de conformidad al utilizar Amazon Comprehend Medical viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. AWS proporciona los siguientes recursos para ayudar a garantizar el cumplimiento:
+ [Guías de inicio rápido de seguridad y conformidad](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): estas guías de implementación tratan consideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS.
+ Documento técnico sobre [cómo diseñar una arquitectura basada en la seguridad y el cumplimiento de la HIPAA: en este documento técnico](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) se describe cómo pueden utilizar las empresas para crear aplicaciones que cumplan con la HIPAA. AWS
+ [AWS Recursos de cumplimiento](https://aws.amazon.com/compliance/resources/): esta colección de libros de trabajo y guías puede aplicarse a su sector y ubicación.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Este AWS servicio evalúa en qué medida las configuraciones de sus recursos cumplen con las prácticas internas, las directrices del sector y las normativas.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Este AWS servicio proporciona una visión integral del estado de su seguridad AWS que le ayuda a comprobar el cumplimiento de los estándares y las mejores prácticas del sector de la seguridad.
Para obtener una lista de AWS los servicios incluidos en el ámbito de los programas de conformidad específicos, consulte [Servicios de AWS incluidos en el ámbito de aplicación por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/). Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
# Resiliencia en Amazon Comprehend Medical
La infraestructura AWS global se basa en AWS regiones y zonas de disponibilidad. AWS Las regiones proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
[Para obtener más información sobre AWS las regiones y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Seguridad de la infraestructura en Amazon Comprehend Medical
Como servicio gestionado, Amazon Comprehend Medical está protegido por AWS los procedimientos de seguridad de red global que se describen en [el documento técnico Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Para acceder a Amazon Comprehend Medical a través de la red, debe AWS utilizar las llamadas a la API publicadas. Los clientes deben ser compatibles con la seguridad de la capa de transporte (TLS) 1.0 o una versión posterior. Recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS), como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos, como Java 7 y posteriores, son compatibles con estos modos.
Además, las solicitudes deben firmarse con un identificador de clave de acceso y una clave de acceso secreta que estén asociadas a una entidad principal AWS Identity and Access Management (IAM). También puedes utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.