Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# La sécurité dans Amazon Comprehend Medical
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité applicables à Amazon Comprehend Medical, consultez [AWS Services in Scope in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'Amazon Comprehend Medical. Les rubriques suivantes expliquent comment configurer Amazon Comprehend Medical pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres services AWS qui vous aident à surveiller et à sécuriser vos ressources Amazon Comprehend Medical.
**Topics**
+ [Protection des données dans Amazon Comprehend Medical](data-protection.md)
+ [Gestion des identités et des accès dans Amazon Comprehend Medical](security-iam.md)
+ [Enregistrement des appels d'API Amazon Comprehend Medical à l'aide de AWS CloudTrail](logging-using-cloudtrail.md)
+ [Validation de conformité pour Amazon Comprehend Medical](compliance-validation.md)
+ [La résilience dans Amazon Comprehend Medical](resilience.md)
+ [Sécurité de l'infrastructure dans Amazon Comprehend Medical](infrastructure-security.md)
# Protection des données dans Amazon Comprehend Medical
Le modèle de [responsabilité AWS partagée Le modèle](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans Amazon Comprehend Medical. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Comprehend Medical ou une autre entreprise à Services AWS l'aide de la console, de l'API ou. AWS CLI AWS SDKs Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
# Gestion des identités et des accès dans Amazon Comprehend Medical
L'accès à Comprehend Medical nécessite des informations d'identification qu'AWS peut utiliser pour authentifier vos demandes. Ces informations d'identification doivent être autorisées pour accéder aux actions Comprehend Medical. [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) peut vous aider à sécuriser vos ressources en contrôlant qui peut y accéder. Les sections suivantes fournissent des informations détaillées sur la manière dont vous pouvez utiliser IAM avec Comprehend Medical.
+ [Authentification](#auth-med)
+ [Contrôle d’accès](#access-control-med)
## Authentification
Vous devez autoriser les utilisateurs à interagir avec Amazon Comprehend Medical. Pour les utilisateurs qui ont besoin d'un accès complet, utilisez`ComprehendMedicalFullAccess`.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
Pour utiliser les opérations asynchrones d'Amazon Comprehend Medical, vous avez également besoin d'un rôle de service.
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
Pour en savoir plus sur la spécification d'Amazon Comprehend Medical comme service principal, [Autorisations basées sur les rôles requises pour les opérations par lots](security-iam-permissions.md#auth-role-permissions-med) consultez.
## Contrôle d’accès
Vous devez avoir des informations d'identification valides pour authentifier vos demandes. Les informations d'identification doivent être autorisées pour lancer une action Amazon Comprehend Medical.
Les sections suivantes décrivent comment gérer les autorisations pour Amazon Comprehend Medical. Nous vous recommandons de lire d’abord la présentation.
+ [Présentation de la gestion des autorisations d'accès aux ressources Amazon Comprehend Medical](security-iam-accesscontrol.md)
+ [Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon Comprehend Medical](security-iam-permissions.md)
**Topics**
+ [Authentification](#auth-med)
+ [Contrôle d’accès](#access-control-med)
+ [Présentation de la gestion des autorisations d'accès aux ressources Amazon Comprehend Medical](security-iam-accesscontrol.md)
+ [Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon Comprehend Medical](security-iam-permissions.md)
+ [Autorisations relatives à l'API Amazon Comprehend Medical : référence aux actions, aux ressources et aux conditions](security-iam-resources.md)
+ [AWS politiques gérées pour Amazon Comprehend Medical](security-iam-awsmanpol.md)
# Présentation de la gestion des autorisations d'accès aux ressources Amazon Comprehend Medical
Les politiques d'autorisation régissent l'accès à une action. Un administrateur de compte associe des politiques d'autorisation aux identités IAM afin de gérer l'accès aux actions. Les identités IAM incluent les utilisateurs, les groupes et les rôles.
**Note**
Un *administrateur de compte* (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l'utilisateur IAM*.
Lorsque vous accordez des autorisations, vous décidez à la fois qui et quelles actions obtiennent ces autorisations.
**Topics**
+ [Gestion de l'accès aux actions](#access-control-manage-access-intro-med)
+ [Spécification des éléments d’une politique : actions, effets et principaux](#access-control-specify-comprehend-actions-med)
+ [Spécification de conditions dans une politique](#specifying-conditions-med)
## Gestion de l'accès aux actions
Une *permissions policy* (politique d'autorisation) décrit qui a accès à quoi. La section suivante explique les options relatives aux politiques d'autorisation.
**Note**
Cette section explique l'IAM dans le contexte d'Amazon Comprehend Medical. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour en savoir plus sur l'IAM, voir [Qu'est-ce que l'IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ? dans le *guide de l'utilisateur IAM*. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, consultez le manuel de [référence des politiques IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le guide de l'utilisateur *IAM*.
*Les politiques associées à une identité IAM sont des politiques basées sur l'identité.* Les politiques associées à une ressource sont des politiques *basées sur les ressources*. Amazon Comprehend Medical prend uniquement en charge les politiques basées sur l'identité.
### Politiques basées sur une identité (politiques IAM)
Vous pouvez attacher des politiques à des identités IAM. Voici deux exemples :
+ **Associez une politique d'autorisation à un utilisateur ou à un groupe de votre compte**. Pour autoriser un utilisateur ou un groupe d'utilisateurs à lancer une action Amazon Comprehend Medical, associez une politique d'autorisation à un utilisateur. Attachez une politique à un groupe qui contient l'utilisateur.
+ **Associez une politique d'autorisation à un rôle pour accorder des autorisations entre comptes**. Pour accorder des autorisations entre comptes, associez une politique basée sur l'identité à un rôle IAM. Par exemple, l'administrateur du compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre compte. Dans cet exemple, appelez-le Compte B, qui peut également être un service AWS.
1. Compte Un administrateur crée un rôle IAM et associe une politique au rôle qui accorde des autorisations aux ressources du compte A.
1. L'administrateur du compte A accorde une politique d'approbation au rôle. La politique indique que le compte B est le principal habilité à assumer ce rôle.
1. L'administrateur du compte B peut ensuite déléguer les autorisations nécessaires pour assumer le rôle à n'importe quel utilisateur du compte B. Cela permet aux utilisateurs du compte B de créer ou d'accéder à des ressources dans le compte A. Si vous souhaitez accorder à un service AWS les autorisations nécessaires pour assumer le rôle, le principal de la politique de confiance peut également être un directeur de service AWS.
Pour en savoir plus sur l'utilisation d'IAM pour déléguer des autorisations, consultez [Gestion des accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *Guide de l'utilisateur IAM*.
Pour plus d'informations sur l'utilisation des politiques basées sur l'identité avec Amazon Comprehend Medical, consultez. [Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon Comprehend Medical](security-iam-permissions.md) Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez [Identités (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *Guide de l'utilisateur IAM*.
### Politiques basées sur les ressources
D'autres services, tels que, prennent en charge AWS Lambda les politiques d'autorisation basées sur les ressources. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment. Amazon Comprehend Medical ne prend pas en charge les politiques basées sur les ressources.
## Spécification des éléments d’une politique : actions, effets et principaux
Amazon Comprehend Medical définit un ensemble d'opérations d'API. Pour accorder des autorisations pour ces opérations d'API, Amazon Comprehend Medical définit un ensemble d'actions que vous pouvez spécifier dans une politique.
Les quatre éléments présentés ici sont les éléments politiques les plus fondamentaux.
+ **Ressource** : dans une politique, utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour Amazon Comprehend Medical, la ressource est `"*"` toujours.
+ **Action** : utilisez des mots clés d'action pour identifier les opérations que vous souhaitez autoriser ou refuser. Par exemple, en fonction de l'effet spécifié, autorise `comprehendmedical:DetectEntities` ou refuse à l'utilisateur l'autorisation d'effectuer l'opération Amazon Comprehend `DetectEntities` Medical.
+ **Effet** — Spécifiez l'effet de l'action qui se produit lorsque l'utilisateur demande l'action spécifique, qu'il s'agisse d'autoriser ou de refuser. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez également explicitement refuser l’accès à une ressource. Vous pouvez le faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différente accorde cet accès.
+ **Principal** — Dans les politiques basées sur l'identité, l'utilisateur auquel la politique est attachée est le principal implicite.
Pour en savoir plus sur la syntaxe et les descriptions des politiques IAM, consultez le manuel de [référence des politiques IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le guide de l'utilisateur *IAM*.
Pour consulter un tableau présentant toutes les actions de l'API Amazon Comprehend Medical, [Autorisations relatives à l'API Amazon Comprehend Medical : référence aux actions, aux ressources et aux conditions](security-iam-resources.md) consultez.
## Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous utilisez le langage de stratégie IAM pour spécifier les conditions dans lesquelles une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) dans le *Guide de l'utilisateur IAM*.
AWS fournit un ensemble de clés de condition prédéfinies pour tous les services AWS qui prennent en charge l'IAM pour le contrôle d'accès. Par exemple, vous pouvez utiliser la clé de condition `aws:userid` pour exiger un ID AWS spécifique lorsque vous demandez une action. Pour plus d'informations et une liste complète des clés AWS, consultez la section [Clés disponibles pour les conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
Amazon Comprehend Medical ne fournit aucune clé de condition supplémentaire.
# Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon Comprehend Medical
Cette rubrique présente des exemples de politiques basées sur l'identité. Les exemples montrent comment un administrateur de compte peut associer des politiques d'autorisation aux identités IAM. Cela permet aux utilisateurs, aux groupes et aux rôles d'effectuer des actions Amazon Comprehend Medical.
**Important**
Pour comprendre les autorisations, nous vous recommandons[Présentation de la gestion des autorisations d'accès aux ressources Amazon Comprehend Medical](security-iam-accesscontrol.md).
Cet exemple de politique est obligatoire pour utiliser les actions d'analyse de documents Amazon Comprehend Medical.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2",
"comprehendmedical:DetectPHI",
"comprehendmedical:StartEntitiesDetectionV2Job",
"comprehendmedical:ListEntitiesDetectionV2Jobs",
"comprehendmedical:DescribeEntitiesDetectionV2Job",
"comprehendmedical:StopEntitiesDetectionV2Job",
"comprehendmedical:StartPHIDetectionJob",
"comprehendmedical:ListPHIDetectionJobs",
"comprehendmedical:DescribePHIDetectionJob",
"comprehendmedical:StopPHIDetectionJob",
"comprehendmedical:StartRxNormInferenceJob",
"comprehendmedical:ListRxNormInferenceJobs",
"comprehendmedical:DescribeRxNormInferenceJob",
"comprehendmedical:StopRxNormInferenceJob",
"comprehendmedical:StartICD10CMInferenceJob",
"comprehendmedical:ListICD10CMInferenceJobs",
"comprehendmedical:DescribeICD10CMInferenceJob",
"comprehendmedical:StopICD10CMInferenceJob",
"comprehendmedical:StartSNOMEDCTInferenceJob",
"comprehendmedical:ListSNOMEDCTInferenceJobs",
"comprehendmedical:DescribeSNOMEDCTInferenceJob",
"comprehendmedical:StopSNOMEDCTInferenceJob",
"comprehendmedical:InferRxNorm",
"comprehendmedical:InferICD10CM",
"comprehendmedical:InferSNOMEDCT"
],
"Resource": "*"
}
]
}
```
------
La politique comporte une déclaration qui autorise l'utilisation des `DetectPHI` actions `DetectEntities` et.
La stratégie ne spécifie pas l'élément `Principal`, car vous ne spécifiez pas le mandataire qui obtient l'autorisation dans une stratégie basée sur une identité. Quand vous attachez une stratégie à un utilisateur, l'utilisateur est le mandataire implicite. Lorsque vous associez une politique à un rôle IAM, le principal identifié dans la politique de confiance du rôle obtient l'autorisation.
Pour voir toutes les actions de l'API Amazon Comprehend Medical et les ressources auxquelles elles s'appliquent, [Autorisations relatives à l'API Amazon Comprehend Medical : référence aux actions, aux ressources et aux conditions](security-iam-resources.md) consultez.
## Autorisations requises pour utiliser la console Amazon Comprehend Medical
Le tableau de référence des autorisations répertorie les opérations de l'API Amazon Comprehend Medical et indique les autorisations requises pour chaque opération. Pour plus d'informations, sur les autorisations de l'API Amazon Comprehend Medical, [Autorisations relatives à l'API Amazon Comprehend Medical : référence aux actions, aux ressources et aux conditions](security-iam-resources.md) consultez.
Pour utiliser la console Amazon Comprehend Medical, accordez des autorisations pour les actions décrites dans la politique suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
La console Amazon Comprehend Medical a besoin de ces autorisations pour les raisons suivantes :
+ `iam`autorisations permettant de répertorier les rôles IAM disponibles pour votre compte.
+ `s3`autorisations d'accès aux compartiments et aux objets Amazon S3 contenant les données.
Lorsque vous créez une tâche par lots asynchrone à l'aide de la console, vous pouvez également créer un rôle IAM pour votre tâche. Pour créer un rôle IAM à l'aide de la console, les utilisateurs doivent disposer des autorisations supplémentaires indiquées ici pour créer des rôles et des politiques IAM et pour associer des politiques aux rôles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
La console Amazon Comprehend Medical a besoin de ces autorisations pour créer des rôles et des politiques et pour associer des rôles et des politiques. L'`iam:PassRole`action permet à la console de transmettre le rôle à Amazon Comprehend Medical.
## Politiques gérées (prédéfinies) par AWS pour Amazon Comprehend Medical
AWS est approprié pour de nombreux cas d'utilisation courants et fournit des stratégies IAM autonomes qui sont créées et administrées par AWS. Ces stratégies gérées AWS octroient les autorisations requises dans les cas d'utilisation courants pour que vous évitiez d'avoir à réfléchir aux autorisations qui sont requises. Pour de plus amples informations, veuillez consulter [Stratégies gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l'utilisateur IAM*.
La politique gérée par AWS suivante, que vous pouvez associer aux utilisateurs de votre compte, est spécifique à Amazon Comprehend Medical.
+ **ComprehendMedicalFullAccess**— Accorde un accès complet aux ressources d'Amazon Comprehend Medical. Inclut l'autorisation de répertorier et d'obtenir des rôles IAM.
Vous devez appliquer la politique supplémentaire suivante à tout utilisateur utilisant Amazon Comprehend Medical :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
Vous pouvez consulter les politiques d'autorisations gérées en vous connectant à la console IAM et en y recherchant des politiques spécifiques.
Ces politiques fonctionnent lorsque vous utilisez AWS SDKs ou l'AWS CLI.
Vous pouvez également créer vos propres politiques IAM afin d'autoriser les actions et les ressources d'Amazon Comprehend Medical. Vous pouvez attacher ces politiques personnalisées aux utilisateurs ou groupes IAM qui les nécessitent.
## Autorisations basées sur les rôles requises pour les opérations par lots
Pour utiliser les opérations asynchrones d'Amazon Comprehend Medical, accordez à Amazon Comprehend Medical l'accès au compartiment Amazon S3 qui contient votre collection de documents. Pour ce faire, créez un rôle d'accès aux données dans votre compte afin de faire confiance au responsable du service Amazon Comprehend Medical. Pour plus d'informations sur la création d'un rôle, consultez [Creating a Role to Delegate Permissions to an AWS Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *guide de l'utilisateur d'AWS Identity and Access Management*.
Voici la politique de confiance du rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehendmedical.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Après avoir créé le rôle, créez une politique d'accès pour celui-ci. La politique doit accorder à Amazon S3 `GetObject` et `ListBucket` des autorisations au compartiment Amazon S3 qui contient vos données d'entrée. Il accorde également des autorisations pour Amazon S3 `PutObject` à votre compartiment de données de sortie Amazon S3.
L'exemple de politique d'accès suivant contient ces autorisations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::input bucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::input bucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::output bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
## Exemples de politiques gérées par le client
Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions d'Amazon Comprehend Medical. Ces politiques fonctionnent lorsque vous utilisez AWS SDKs ou l'AWS CLI. Lorsque vous utilisez la console, vous devez accorder des autorisations à tous les Amazon Comprehend APIs Medical. Cela est indiqué dans [Autorisations requises pour utiliser la console Amazon Comprehend Medical](#auth-console-permissions-med).
**Note**
Tous les exemples utilisent la région us-east-2 et contiennent un compte fictif. IDs
**Exemples**
### Exemple 1 : Autoriser toutes les actions d'Amazon Comprehend Medical
Une fois inscrit AWS, vous créez un administrateur chargé de gérer votre compte, notamment de créer des utilisateurs et de gérer leurs autorisations.
Vous pouvez choisir de créer un utilisateur autorisé à effectuer toutes les actions Amazon Comprehend. Considérez cet utilisateur comme un administrateur spécifique au service qui travaille avec Amazon Comprehend. Vous pouvez alors lier la stratégie d'autorisations suivante à cet utilisateur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAllComprehendMedicalActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:*"],
"Resource": "*"
}
]
}
```
------
### Exemple 2 : Autoriser uniquement DetectEntities les actions
La politique d'autorisation suivante autorise les utilisateurs à détecter des entités dans Amazon Comprehend Medical, mais pas à détecter les opérations PHI.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectEntityActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2"
],
"Resource": "*"
}
]
}
```
------
# Autorisations relatives à l'API Amazon Comprehend Medical : référence aux actions, aux ressources et aux conditions
Utilisez le tableau suivant comme référence lors de la configuration [Contrôle d’accès](security-iam.md#access-control-med) et de la rédaction d'une politique d'autorisations que vous pouvez associer à un utilisateur. La liste inclut chaque opération de l'API Amazon Comprehend Medical, l'action correspondante pour laquelle vous pouvez accorder des autorisations pour effectuer l'action et la ressource AWS pour laquelle vous pouvez accorder les autorisations. Vous spécifiez les actions dans le champ `Action` de la politique ainsi que la valeur des ressources dans le champ `Resource` de la politique.
Pour exprimer des conditions, vous pouvez utiliser les clés de condition AWS dans vos politiques Amazon Comprehend Medical. Pour obtenir la liste complète des clés, consultez la section [Clés disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
**Note**
Pour spécifier une action, utilisez le préfixe `comprehendmedical:` suivi du nom de l'opération d'API (par exemple, `comprehendmedical:DetectEntities`).
Utilisez les barres de défilement pour voir le reste du tableau.
**API Amazon Comprehend Medical et autorisations requises pour les actions**
| Opérations de l'API Amazon Comprehend Medical | Autorisations requises (Action d’API) | Ressources |
| --- | --- | --- |
| DescribeEntitiesDetectionV2Job | comprehendmedical:DescribeEntitiesDetectionV2Job | \$1 |
| Décrivez le PHIDetection Job | comprehendmedical:DescribePHIDetectionJob | \$1 |
| DetectEntities | comprehendmedical:DetectEntities | \$1 |
| DetectEntitiesV2 | comprehendmedical:DetectEntitiesV2 | \$1 |
| Détecter PHI | comprehendmedical:DetectPHI | \$1 |
| ListEntitiesDetectionEmplois V2 | comprehendmedical:ListEntitiesDetectionV2Jobs | \$1 |
| Lister PHIDetection les emplois | comprehendmedical:ListPHIDetectionJobs | \$1 |
| StartEntitiesDetectionV2Job | comprehendmedical:StartEntitiesDetectionV2Job | \$1 |
| Démarrer le PHIDetection Job | comprehendmedical:StartPHIDetectionJob | \$1 |
| StopEntitiesDetectionV2Job | comprehendmedical:StopEntitiesDetectionV2Job | \$1 |
| Arrêtez PHIDetection Job | comprehendmedical:StopPHIDetectionJob | \$1 |
| Déduire CM ICD10 | comprehendmedical:InferICD10CM | \$1 |
| InferRxNorm | comprehendmedical:InferRxNorm | \$1 |
| InfersnomedCT | comprehendmedical:InferSNOMEDCT | \$1 |
| Démarrer le ICD10 CMInference Job | comprehendmedical:StartICD10CMInferenceJob | \$1 |
| StartRxNormInferenceJob | comprehendmedical:StartRxNormInferenceJob | \$1 |
| Démarrer le SNOMEDCTInference Job | comprehendmedical:StartSNOMEDCTInferenceJob | \$1 |
| Lister ICD10 CMInference les emplois | comprehendmedical:ListICD10CMInferenceJobs | \$1 |
| ListRxNormInferenceJobs | comprehendmedical:ListRxNormInferenceJobs | \$1 |
| Lister SNOMEDCTInference les emplois | comprehendmedical:ListSNOMEDCTInferenceJobs | \$1 |
| Arrêtez ICD10 CMInference Job | comprehendmedical:StopICD10CMInferenceJob | \$1 |
| StopRxNormInferenceJob | comprehendmedical:StopRxNormInferenceJob | \$1 |
| Arrêtez SNOMEDCTInference Job | comprehendmedical:StopSNOMEDCTInferenceJob | \$1 |
| Décrivez le ICD10 CMInference Job | comprehendmedical:DescribeICD10CMInferenceJob | \$1 |
| DescribeRxNormInferenceJob | comprehendmedical:DescribeRxNormInferenceJob | \$1 |
| Décrivez le SNOMEDCTInference Job | comprehendmedical:DescribeSNOMEDCTInferenceJob | \$1 |
# AWS politiques gérées pour Amazon Comprehend Medical
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [AWS politique gérée : ComprehendMedicalFullAccess](#security-iam-awsmanpol-ComprehendMedicalFullAccess)
+ [Amazon Comprehend Medical met à jour ses politiques AWS gérées](#security-iam-awsmanpol-updates)
## AWS politique gérée : ComprehendMedicalFullAccess
Vous pouvez associer la politique `ComprehendMedicalFullAccess` à vos identités IAM.
Cette politique accorde une autorisation administrative à toutes les actions d'Amazon Comprehend Medical.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Action" : [
"comprehendmedical:*"
],
"Effect" : "Allow",
"Resource" : "*"
}
]
}
```
------
## Amazon Comprehend Medical met à jour ses politiques AWS gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Comprehend Medical depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [Page historique du document ](comprehendmedical-releases.md).
| Modifier | Description | Date |
| --- | --- | --- |
| Amazon Comprehend Medical a commencé à suivre les modifications | Amazon Comprehend Medical a commencé à suivre les modifications apportées à AWS ses politiques gérées. | 27 novembre 2018 |
# Enregistrement des appels d'API Amazon Comprehend Medical à l'aide de AWS CloudTrail
Amazon Comprehend Medical est intégré AWS CloudTrailà. CloudTrail est un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service depuis Amazon Comprehend Medical. CloudTrail capture tous les appels d'API pour Amazon Comprehend Medical sous forme d'événements. Les appels capturés incluent des appels provenant de la console Amazon Comprehend Medical et des appels de code vers les opérations de l'API Amazon Comprehend Medical. Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour Amazon Comprehend Medical. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans **Historique des événements**. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer plusieurs éléments tels que :
+ La demande qui a été faite à Amazon Comprehend Medical
+ L’adresse IP à partir de laquelle la demande a été effectuée
+ La personne ayant effectué la demande
+ La date et l’heure où la demande a été effectuée
+ Autres détails
Pour en savoir plus CloudTrail, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informations médicales d'Amazon Comprehend en CloudTrail
CloudTrail est activé sur votre AWS compte lorsque vous le créez. Lorsqu'une activité a lieu dans Amazon Comprehend Medical, elle est enregistrée dans CloudTrail un événement avec d' AWS autres événements de service **dans** l'historique des événements. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Pour un enregistrement continu des événements enregistrés sur votre AWS compte, y compris des événements relatifs à Amazon Comprehend Medical, créez un historique. Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d'activité dans la console, il s’applique à toutes les régions AWS. Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :
+ [Vue d’ensemble de la création d’un journal d’activité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Services et intégrations pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Toutes les actions d'Amazon Comprehend Medical sont enregistrées CloudTrail et documentées dans [le manuel Amazon Comprehend](https://docs.aws.amazon.com/comprehend/latest/dg/API_Operations_AWS_Comprehend_Medical.html) Medical API Reference. Par exemple, les appels au `DetectEntitiesV2` `DetectPHI` et les `ListEntitiesDetectionV2Jobs` actions génèrent des entrées dans les fichiers CloudTrail journaux.
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
+ Si la demande a été faite avec les informations d'identification de l'utilisateur root ou Gestion des identités et des accès AWS (IAM).
+ Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.
+ Si la demande a été faite par un autre AWS service.
Pour plus d’informations, consultez la section [Élément userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Comprendre les entrées du fichier journal Amazon Comprehend Medical
Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande individuelle d’une source quelconque. L'événement inclut des informations sur l'action demandée, telles que la date et l'heure ou les paramètres de la demande. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics, ils n'apparaissent donc pas dans un ordre spécifique.
L'exemple suivant montre une entrée de CloudTrail journal illustrant l'`DetectEntitiesV2`action.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"accessKeyId": "ASIAXHKUFODNN8EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"userName": "Mateo_Jackson"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-09-27T20:07:27Z"
}
}
},
"eventTime": "2019-09-27T20:10:26Z",
"eventSource": "comprehendmedical.amazonaws.com",
"eventName": "DetectEntitiesV2",
"awsRegion": "us-east-1",
"sourceIPAddress": "702.21.198.166",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.590 Linux/4.9.184-0.1.ac.235.83.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.212-b03 java/1.8.0_212 vendor/Oracle_Corporation",
"requestParameters": null,
"responseElements": null,
"requestID": "8d85f2ec-EXAMPLE",
"eventID": "ae9be9b1-EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
# Validation de conformité pour Amazon Comprehend Medical
Des auditeurs tiers évaluent la sécurité et la conformité d'Amazon Comprehend Medical dans le cadre de AWS plusieurs programmes de conformité. Il s'agit notamment des certifications PCI, FedRAMP, HIPAA et autres. Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d’informations, consultez [Téléchargement des rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Lorsque vous utilisez Amazon Comprehend Medical, votre responsabilité en matière de conformité dépend de la sensibilité de vos données, des objectifs de conformité de votre entreprise et des lois et réglementations applicables. AWS fournit les ressources suivantes pour faciliter la mise en conformité :
+ [Guides Quick Start de la sécurité et de la conformité](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) : ces guides de déploiement traitent de considérations architecturales et indiquent les étapes à suivre pour déployer des environnements de référence centrés sur la sécurité et la conformité dans AWS.
+ Livre blanc [sur l'architecture pour la sécurité et la conformité HIPAA — Ce livre blanc](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) décrit comment les entreprises peuvent créer des applications conformes à la loi HIPAA. AWS
+ [AWS Ressources relatives à la conformité](https://aws.amazon.com/compliance/resources/) — Cette collection de classeurs et de guides peut s'appliquer à votre secteur d'activité et à votre région.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Ce AWS service évalue dans quelle mesure les configurations de vos ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ce AWS service fournit une vue complète de l'état de votre sécurité interne, AWS ce qui vous permet de vérifier votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité.
Pour obtenir la liste des AWS services concernés par des programmes de conformité spécifiques, consultez la section [Services AWS concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/). Pour obtenir des informations générales, consultez [Programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/).
# La résilience dans Amazon Comprehend Medical
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. AWS Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS mondiale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l'infrastructure dans Amazon Comprehend Medical
En tant que service géré, Amazon Comprehend Medical est protégé par AWS les procédures de sécurité du réseau mondial décrites dans [le livre blanc Amazon Web Services : Overview of Security](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) Processes.
Pour accéder à Amazon Comprehend Medical via le réseau, vous devez AWS utiliser des appels d'API publiés. Les clients doivent supporter le protocole TLS (Sécurité de la couche transport) 1.0 ou une version ultérieure. Nous vous recommandons le certificat TLS 1.2 ou une version ultérieure. Les clients doivent également prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) La plupart des systèmes modernes telles que Java 7 et versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un principal Gestion des identités et des accès AWS (IAM). Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.