Creación de una clave administrada por el cliente
Puede crear una clave simétrica administrada por el cliente a través de la Consola de administración de AWS o las API de AWS KMS. Para crear una clave simétrica administrada por el cliente, siga los pasos indicados en Creación de clave simétrica administrada por el cliente de la Guía para desarrolladores de AWS Key Management Service.
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves administradas por el cliente en la Guía para desarrolladores de AWS Key Management Service.
AWS KMS políticas de clave para AWS HealthScribe
Si utiliza una clave en la misma cuenta que el rol de IAM que especificó como DataAccessRole en su solicitud StartMedicalScribeJob o ResourceAccessRole en su solicitud StartMedicalScribeStream, no necesita actualizar la política de claves. Para usar su clave administrada por el cliente en una cuenta diferente como su DataAccessRole (para los trabajos de transcripción) o ResourceAccessRole (para transmisión), deberá confiar en el rol respectivo de la política de claves para las siguientes acciones:
-
kms:Encrypt— permite el cifrado mediante la clave administrada por el cliente. -
kms:Decrypt— permite el descifrado mediante la clave administrada por el cliente. -
kms:DescribeKey: proporciona los detalles de la clave administrada por el cliente para permitir que AWS HealthScribe valide la clave.
A continuación se muestra un ejemplo de política de clave que puede usar para conceder a su ResourceAccessRole permisos entre cuentas para utilizar su clave administrada por el cliente en la transmisión de AWS HealthScribe. Para usar esta política para trabajos de transcripción, actualice la Principal para usar el ARN DataAccessRole y elimine o modifique el contexto de cifrado.
Permisos de la política de IAM para las funciones de acceso
La política de IAM asociada a su DataAccessRole o ResourceAccessRole debe conceder permisos para realizar las acciones AWS KMS necesarias, independientemente de si la clave y la función gestionadas por el cliente se encuentran en la misma cuenta o en cuentas diferentes. Además, la política de confianza del rol debe conceder permiso a AWS HealthScribe para asumir el rol.
El siguiente ejemplo de política de IAM muestra cómo conceder permisos a ResourceAccessRole para la transmisión de AWS HealthScribe. Para usar esta política en trabajos de transcripción, sustituya transcribe.streaming.amazonaws.com por transcribe.amazonaws.com y elimine o modifique el contexto de cifrado.
A continuación, se muestra un ejemplo de política de confianza para el ResourceAccessRole. En el caso de DataAccessRole, sustituya transcribe.streaming.amazonaws.com por transcribe.amazonaws.com.
Para obtener información sobre cómo especificar permisos en una política o cómo solucionar problemas de acceso a las claves, consulte la Guía para desarrolladores de AWS Key Management Service.
