Cifrado de datos en reposo para AWS HealthScribe - Amazon Transcribe
Especificar una clave administrada por el cliente para AWS HealthScribeAWS KMSContexto de cifrado de Supervisión de sus claves de cifrado para AWS HealthScribe

Cifrado de datos en reposo para AWS HealthScribe

De forma predeterminada, AWS HealthScribe proporciona cifrado en reposo para proteger los datos confidenciales de los clientes mediante claves AWS Key Management Service (AWS KMS) administradas por AWS HealthScribe. El cifrado de los datos en reposo de forma predeterminada ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales. Además, le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad del cifrado. Cuando cree un trabajo de transcripción de AWS HealthScribe o inicie un flujo, puede especificar una clave administrada por el cliente. Esto agrega una segunda capa de cifrado.

  • Claves administradas por AWS HealthScribe AWS KMS: AWS HealthScribe utiliza las claves administradas por AWS HealthScribe AWS Key Management Service (AWS KMS) de forma predeterminada para cifrar automáticamente los archivos intermedios. No puede deshabilitar esta capa de cifrado ni seleccionar otro tipo de cifrado. No puede ver, administrar ni utilizar las claves, ni auditar su uso. Sin embargo, no tiene que realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran sus datos.

  • Claves administradas por el cliente: AWS HealthScribe admite el uso de una clave simétrica administrada por el cliente que usted crea, posee y administra para añadir una segunda capa de cifrado sobre el cifrado existente propiedad de AWS. Como usted tiene el control total de este cifrado, puede realizar dichas tareas como:

    • Establecer y mantener políticas de claves

    • Establecimiento y mantenimiento de concesiones y políticas de IAM

    • Habilitar y deshabilitar políticas de claves

    • Rotar el material criptográfico

    • Agregar etiquetas.

    • Crear alias de clave

    • Programar la eliminación de claves

    Para obtener más información, consulte Clave administrada por el cliente en la Guía para desarrolladores de AWS Key Management Service.

nota

AWS HealthScribe habilita automáticamente el cifrado en reposo mediante claves propiedad de AWS para proteger los datos de identificación personal sin cargo alguno. Sin embargo, se aplicarán cargos de AWS KMS por el uso de una clave administrada por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS Key Management Service.

Para obtener más información acerca de AWS KMS, consulte ¿Qué es AWS Key Management Service?

Temas

Especificar una clave administrada por el cliente para AWS HealthScribe

Puede especificar una clave administrada por el cliente como cifrado de segunda capa para los trabajos de transcripción o transmisión.

AWS KMSContexto de cifrado de

El contexto de cifrado AWS KMS es un mapa de texto sin formato, conjunto de pares de clave-valor no secretos. Esta asignación representa datos autenticados adicionales, conocidos como pares de contextos de cifrado, que proporcionan una capa adicional de seguridad a los datos. AWS HealthScribe requiere una clave de cifrado simétrica para cifrar los resultados de AWS HealthScribe en un bucket de Amazon S3 especificado por el cliente. Para obtener más información, consulte Claves asimétricas en AWS KMS.

Al crear sus pares de contexto de cifrado, no incluya información confidencial. El contexto de cifrado no es secreto; está visible en texto sin formato dentro de sus registros CloudTrail (por lo que puede usarlo para identificar y clasificar sus operaciones criptográficas). Su par de contexto de cifrado puede incluir caracteres especiales, como guiones bajos (_), guiones (-), barras diagonales (/, \) y dos puntos (:).

sugerencia

Puede resultar útil relacionar los valores del par de contexto de cifrado con los datos que se van a cifrar. Aunque no es obligatorio, le recomendamos que utilice metadatos no confidenciales relacionados con su contenido cifrado, como nombres de archivos, valores de encabezado o campos de bases de datos no cifrados.

Para utilizar el cifrado de salida con la API, establezca el parámetro KMSEncryptionContext en la operación StartMedicalScribeJob. Para proporcionar un contexto de cifrado para la operación de cifrado de salida, el parámetro OutputEncryptionKMSKeyId debe hacer referencia a un ID de AWS KMS simétrico.

Para la transmisión, especifique los pares clave-valor para el KmsEncryptionContext en los MedicalScribeEncryptionSettings en su MedicalScribeConfigurationEvent.

Puede usar las claves de condición de AWS KMS con las políticas de IAM para controlar el acceso a una clave de AWS KMS de cifrado simétrico en función del contexto de cifrado que se utilizó en la solicitud para una operación criptográfica. Para ver un ejemplo de política de contexto de cifrado, consulte Política de contexto de cifrado de AWS KMS.

El contexto de cifrado es optional, pero se recomienda. Para obtener más información, consulte Contexto de cifrado.

Contexto de cifrado de AWS HealthScribe

AWS HealthScribe utiliza el mismo contexto de cifrado en todas las operaciones criptográficas de AWS Key Management Service. El contexto de cifrado es un mapa de cadena a cadena que se puede personalizar según lo que desee.

"encryptionContext": {
   "ECKey": "ECValue"
   ...
}

Para las transmisiones de AWS HealthScribe, el siguiente es el contexto de cifrado predeterminado generado por el servicio. Aplica este contexto sobre cualquier contexto de cifrado que usted proporcione.

"encryptionContext": {
  "aws:<region>:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
}

Para los trabajos de transcripción de AWS HealthScribe, el siguiente es el contexto de cifrado predeterminado generado por el servicio. Aplica este contexto sobre cualquier contexto de cifrado que usted proporcione.

"encryptionContext": {
  "aws:<region>:transcribe:medical-scribe:job-name": "<job-name>",
  "aws:<region>:transcribe:medical-scribe:start-time-epoch-ms": "<job-start-time>"
}

Si no proporciona ningún contexto de cifrado, solo se utilizará el contexto de cifrado generado por el servicio para todas las operaciones criptográficas de AWS KMS.

Supervisión de AWS HealthScribe con un contexto de cifrado

Si utiliza una clave simétrica administrada por el cliente para cifrar los datos en reposo en AWS HealthScribe, también puede utilizar el contexto de cifrado en los registros y registros de auditoría para identificar cómo se está utilizando la clave administrada por el cliente. El contexto de cifrado también aparece en los registros generados por AWS CloudTrail o registros de CloudWatch.

Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente

Puede utilizar el contexto de cifrado en políticas de claves y políticas de IAM como condiciones para controlar el acceso a su clave simétrica administrada por el cliente.

Los siguientes son ejemplos de declaraciones de política de claves para conceder acceso a una clave administrada por el cliente para un contexto de cifrado específico. La condición de esta declaración de política exige que los usos de clave KMS tengan una restricción de contexto de cifrado que especifique el contexto de cifrado.

Supervisión de sus claves de cifrado para AWS HealthScribe

Cuando utiliza claves administradas por el cliente de AWS Key Management Service con AWS HealthScribe, puede utilizar AWS CloudTrail o Registros de CloudWatch para hacer un seguimiento de las solicitudes que AWS HealthScribe envía a AWS KMS.

Los siguientes ejemplos son eventos CloudTrail Encrypt y Decrypt que puede utilizar y que le permiten supervisar el uso que hace AWS HealthScribe de la clave administrada por el cliente.

Encrypt

{
   "eventVersion":"1.09",
   "userIdentity":{
      "type":"AssumedRole",
      "principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
      "arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
      "accountId":"123456789012",
      "accessKeyId":"AKIAIOSFODNN7EXAMPLE3",
      "sessionContext":{
         "sessionIssuer":{
            "type":"Role",
            "principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
            "arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
            "accountId":"123456789012",
            "userName":"Admin"
         },
         "attributes":{
            "creationDate":"2024-08-16T01:10:05Z",
            "mfaAuthenticated":"false"
         }
      },
      "invokedBy":"transcribe.streaming.amazonaws.com"
   },
   "eventTime":"2024-08-16T01:10:05Z",
   "eventSource":"kms.amazonaws.com",
   "eventName":"Encrypt",
   "awsRegion":"us-east-1",
   "sourceIPAddress":"transcribe.streaming.amazonaws.com",
   "userAgent":"transcribe.streaming.amazonaws.com",
   "requestParameters":{
      "encryptionContext":{
         "aws:us-east-1:transcribe:medical-scribe:session-id":"1234abcd-12ab-34cd-56ef-123456SAMPLE"
      },
      "encryptionAlgorithm":"SYMMETRIC_DEFAULT",
      "keyId":"1234abcd-12ab-34cd-56ef-1234567890ab"
   },
   "responseElements":null,
   "requestID":"cbe0ac33-8cca-49e5-9bb5-dc2b8dfcb389",
   "eventID":"1b9fedde-aa96-48cc-9dd9-a2cce2964b3c",
   "readOnly":true,
   "resources":[
      {
         "accountId":"123456789012",
         "type":"AWS::KMS::Key",
         "ARN":"arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
      }
   ],
   "eventType":"AwsApiCall",
   "managementEvent":true,
   "recipientAccountId":"123456789012",
   "eventCategory":"Management"
}

Decrypt

{
   "eventVersion":"1.09",
   "userIdentity":{
      "type":"AssumedRole",
      "principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
      "arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
      "accountId":"123456789012",
      "accessKeyId":"AKIAIOSFODNN7EXAMPLE3",
      "sessionContext":{
         "sessionIssuer":{
            "type":"Role",
            "principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
            "arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
            "accountId":"123456789012",
            "userName":"Admin"
         },
         "attributes":{
            "creationDate":"2024-08-16T20:47:04Z",
            "mfaAuthenticated":"false"
         }
      },
      "invokedBy":"transcribe.streaming.amazonaws.com"
   },
   "eventTime":"2024-08-16T20:47:04Z",
   "eventSource":"kms.amazonaws.com",
   "eventName":"Decrypt",
   "awsRegion":"us-east-1",
   "sourceIPAddress":"transcribe.streaming.amazonaws.com",
   "userAgent":"transcribe.streaming.amazonaws.com",
   "requestParameters":{
      "keyId":"mrk-de27f019178f4fbf86512ab03ba860be",
      "encryptionAlgorithm":"SYMMETRIC_DEFAULT",
      "encryptionContext":{
         "aws:us-east-1:transcribe:medical-scribe:session-id":"1234abcd-12ab-34cd-56ef-123456SAMPLE"
      }
   },
   "responseElements":null,
   "requestID":"8b7fb865-48be-4e03-ac3d-e7bee3ba30a1",
   "eventID":"68b7a263-d410-4701-9e2b-20c196628966",
   "readOnly":true,
   "resources":[
      {
         "accountId":"123456789012",
         "type":"AWS::KMS::Key",
         "ARN":"arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
      }
   ],
   "eventType":"AwsApiCall",
   "managementEvent":true,
   "recipientAccountId":"123456789012",
   "eventCategory":"Management"
}