Cifrado de datos - Amazon Transcribe
Cifrado en reposoCifrado en tránsitoAdministración de clavesAWS KMSContexto de cifrado de

Cifrado de datos

El cifrado de datos se refiere a proteger los datos mientras están en tránsito y en reposo. Puede proteger sus datos mediante claves Amazon S3 gestionadas o KMS keys en reposo, junto con el protocolo de seguridad de la capa de transporte (TLS) estándar mientras están en tránsito.

Cifrado en reposo

Amazon Transcribe utiliza la clave predeterminada de Amazon S3 (SSE-S3) para el cifrado del lado del servidor de las transcripciones almacenadas en el bucket de Amazon S3.

Cuando utiliza la operación StartTranscriptionJob, puede especificar su propia clave KMS key para cifrar la salida de un trabajo de transcripción.

Amazon Transcribe utiliza un volumen de Amazon EBS cifrado con la clave predeterminada.

Cifrado en tránsito

Amazon Transcribe utiliza TLS 1.2 con certificados de AWS para cifrar los datos en tránsito. Esto incluye las transcripciones de streaming.

Administración de claves

Amazon Transcribe funciona con KMS keys para proporcionar un cifrado mejorado para sus datos. Con Amazon S3, puede cifrar sus medios de entrada al crear un trabajo de transcripción. La integración con AWS KMS permite el cifrado del resultado de una solicitud StartTranscriptionJob.

Si no especifica una KMS key, el resultado del trabajo de transcripción se cifra con la clave predeterminada Amazon S3 (SSE-S3).

Para obtener más información sobre AWS KMS, consulte la Guía para desarrolladores de AWS Key Management Service.

Para cifrar el resultado del trabajo de transcripción, puede elegir entre utilizar una KMS key para Cuenta de AWS que realiza la solicitud o utilizar una KMS key de otra Cuenta de AWS.

Si no especifica una KMS key, el resultado del trabajo de transcripción se cifra con la clave predeterminada Amazon S3 (SSE-S3).

Para habilitar el cifrado de salida:

  1. En Datos de salida, seleccione Cifrado.

    Captura de pantalla del conmutador de cifrado y habilitado y menú desplegable del ID de KMS key.

  2. Elija si KMS key proviene de la Cuenta de AWS que está utilizando actualmente o de una Cuenta de AWS diferente. Si desea utilizar una clave de Cuenta de AWS actual, elija la clave del ID de KMS key. Si utiliza una clave de otra Cuenta de AWS, debe introducir el ARN de la clave. Para utilizar una clave de otra Cuenta de AWS, el iniciador debe tener permisos kms:Encrypt para KMS key. Consulte Creación de una política de claves para obtener más información.

Para utilizar el cifrado de salida con la API, establezca su KMS key con el parámetro OutputEncryptionKMSKeyId de la operación StartCallAnalyticsJob, StartMedicalTranscriptionJob o StartTranscriptionJob.

Si utiliza una clave ubicada en la Cuenta de AWS actual, puede especificar su KMS key de cuatro maneras:

  1. Utilizando el ID de KMS key. Por ejemplo, 1234abcd-12ab-34cd-56ef-1234567890ab.

  2. Utilizando un alias para el ID de KMS key. Por ejemplo, alias/ExampleAlias.

  3. Utilizando el Nombre de recurso de Amazon (ARN) para el ID de KMS key. Por ejemplo, arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  4. Utilizando el ARN para el alias KMS key. Por ejemplo, arn:aws:kms:region:account-ID:alias/ExampleAlias.

Si utiliza una clave ubicada en una Cuenta de AWS diferente de la Cuenta de AWS actual, puede especificar la KMS key de cuatro maneras:

  1. Utilizando el ARN para el ID de KMS key. Por ejemplo, arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  2. Utilizando el ARN para el alias KMS key. Por ejemplo, arn:aws:kms:region:account-ID:alias/ExampleAlias.

Tenga en cuenta que la entidad que realiza la solicitud debe tener permiso para utilizar la KMS key especificada.

AWS KMSContexto de cifrado de

El contexto de cifrado AWS KMS es un mapa de texto sin formato, conjunto de pares de clave-valor no secretos. Este mapa representa datos autenticados adicionales, conocidos como pares de contexto de cifrado, que proporcionan una capa adicional de seguridad a sus datos. Amazon Transcribe requiere una clave de cifrado simétrica para cifrar el resultado de la transcripción en un bucket de Amazon S3 especificado por el cliente. Para obtener más información, consulte Claves asimétricas en AWS KMS.

Al crear sus pares de contexto de cifrado, no incluya información confidencial. El contexto de cifrado no es secreto; está visible en texto sin formato dentro de sus registros CloudTrail (por lo que puede usarlo para identificar y clasificar sus operaciones criptográficas).

Su par de contexto de cifrado puede incluir caracteres especiales, como guiones bajos (_), guiones (-), barras diagonales (/, \) y dos puntos (:).

sugerencia

Puede resultar útil relacionar los valores del par de contexto de cifrado con los datos que se van a cifrar. Aunque no es obligatorio, le recomendamos que utilice metadatos no confidenciales relacionados con su contenido cifrado, como nombres de archivos, valores de encabezado o campos de bases de datos no cifrados.

Para utilizar el cifrado de salida con la API, establezca el parámetro KMSEncryptionContext en la operación StartTranscriptionJob. Para proporcionar un contexto de cifrado para la operación de cifrado de salida, el parámetro OutputEncryptionKMSKeyId debe hacer referencia a un ID de KMS key simétrico.

Puede usar las claves de condición de AWS KMS con las políticas de IAM para controlar el acceso a una KMS key de cifrado simétrico en función del contexto de cifrado que se utilizó en la solicitud para una operación criptográfica. Para ver un ejemplo de política de contexto de cifrado, consulte Política de contexto de cifrado de AWS KMS.

El contexto de cifrado es optional, pero se recomienda. Para obtener más información, consulte Contexto de cifrado.