Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan Berbasis Identitas (kebijakan IAM) untuk Amazon Comprehend Medical

Topik ini menunjukkan contoh kebijakan berbasis identitas. Contoh menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke identitas IAM. Ini memungkinkan pengguna, grup, dan peran untuk melakukan tindakan Amazon Comprehend Medical.

Kebijakan contoh ini diperlukan untuk menggunakan tindakan analisis dokumen Amazon Comprehend Medical.

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowDetectActions",
      "Effect": "Allow",
      "Action": [
                "comprehendmedical:DetectEntitiesV2",
                "comprehendmedical:DetectEntities",
                "comprehendmedical:DetectPHI",
                
                "comprehendmedical:StartEntitiesDetectionV2Job",
                "comprehendmedical:ListEntitiesDetectionV2Jobs",
                "comprehendmedical:DescribeEntitiesDetectionV2Job",
                "comprehendmedical:StopEntitiesDetectionV2Job",

                "comprehendmedical:StartPHIDtectionJob",
                "comprehendmedical:ListPHIDetectionJobs",
                "comprehendmedical:DescribePHIDetectionJob",
                "comprehendmedical:StopPHIDetectionJob",
                
                "comprehendmedical:StartRxNormInferenceJob",
                "comprehendmedical:ListRxNormInferenceJobs",
                "comprehendmedical:DescribeRxNormInferenceJob",
                "comprehendmedical:StopRxNormInferenceJob",

                "comprehendmedical:StartICD10CMInferenceJob",
                "comprehendmedical:ListICD10CMInferenceJobs",
                "comprehendmedical:DescribeICD10CMInferenceJob",
                "comprehendmedical:StopICD10CMInferenceJob",
                
                "comprehendmedical:StartSNOMEDCTInferenceJob",
                "comprehendmedical:ListSNOMEDCTInferenceJobs",
                "comprehendmedical:DescribeSNOMEDCTInferenceJob",
                "comprehendmedical:StopSNOMEDCTInferenceJob",
                
                "comprehendmedical:InferRxNorm",
                "comprehendmedical:InferICD10CM",
                "comprehendmedical:InferSNOMEDCT",

             ],   
      "Resource": "*"
      }
   ]
}

Kebijakan memiliki satu pernyataan yang memberikan izin untuk menggunakan DetectEntities dan DetectPHI tindakan.

Kebijakan tidak menentukan Principal elemen karena Anda tidak menentukan prinsipal yang mendapatkan izin dalam kebijakan berbasis identitas. Saat Anda melampirkan kebijakan kepada pengguna, pengguna adalah penanggung jawab implisit. Saat Anda melampirkan kebijakan ke peran IAM, prinsipal yang diidentifikasi dalam kebijakan kepercayaan peran tersebut mendapatkan izin.

Untuk melihat semua tindakan Amazon Comprehend Medical API dan sumber daya yang diterapkan, lihat. Amazon Comprehend Medical API Permissions: referensi tindakan, sumber daya, dan kondisi

Izin yang diperlukan untuk menggunakan konsol Amazon Comprehend Medical

Tabel referensi izin mencantumkan operasi Amazon Comprehend Medical API dan menunjukkan izin yang diperlukan untuk setiap operasi. Untuk informasi selengkapnya, tentang izin Amazon Comprehend Medical API, lihat. Amazon Comprehend Medical API Permissions: referensi tindakan, sumber daya, dan kondisi

Untuk menggunakan konsol Amazon Comprehend Medical, berikan izin untuk tindakan yang ditampilkan dalam kebijakan berikut.

{
  "Version": "2012-10-17",
  "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "iam:CreateRole",
            "iam:CreatePolicy",
            "iam:AttachRolePolicy"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iam:PassRole",
         "Resource": "*",
         "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
         }
      }
   ]
}
            

Konsol Amazon Comprehend Medical memerlukan izin ini karena alasan berikut:

Saat membuat pekerjaan batch asinkron menggunakan konsol, Anda juga dapat membuat peran IAM untuk pekerjaan Anda. Untuk membuat peran IAM menggunakan konsol, pengguna harus diberikan izin tambahan yang ditampilkan di sini untuk membuat peran dan kebijakan IAM, serta melampirkan kebijakan ke peran.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
            

Konsol Amazon Comprehend Medical memerlukan izin ini untuk membuat peran dan kebijakan serta melampirkan peran dan kebijakan. iam:PassRoleTindakan ini memungkinkan konsol untuk meneruskan peran ke Amazon Comprehend Medical.

Kebijakan AWS yang dikelola (telah ditentukan sebelumnya) untuk Amazon Comprehend Medical

AWS menangani banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh AWS. Kebijakan terkelola AWS ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari untuk menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat Kebijakan yang Dikelola AWS dalam Panduan Pengguna IAM.

Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk Amazon Comprehend Medical.

Anda harus menerapkan kebijakan tambahan berikut untuk setiap pengguna yang menggunakan Amazon Comprehend Medical:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
            }
        }
    ]
}
            

Anda dapat meninjau kebijakan izin terkelola dengan masuk ke konsol IAM dan mencari kebijakan tertentu di sana.

Kebijakan ini berfungsi saat Anda menggunakan AWS SDKs atau AWS CLI.

Anda juga dapat membuat kebijakan IAM Anda sendiri untuk mengizinkan izin untuk tindakan dan sumber daya Amazon Comprehend Medical. Anda dapat melampirkan kebijakan khusus ini ke pengguna IAM atau grup yang memerlukannya.

Izin berbasis peran diperlukan untuk operasi batch

Untuk menggunakan operasi asinkron Amazon Comprehend Medical, berikan Amazon Comprehend Medical akses ke bucket Amazon S3 yang berisi koleksi dokumen Anda. Lakukan ini dengan membuat peran akses data di akun Anda untuk mempercayai kepala layanan Amazon Comprehend Medical. Untuk informasi selengkapnya tentang membuat peran, lihat Membuat Peran untuk Mendelegasikan Izin ke Layanan AWS di Panduan Pengguna AWS Identity and Access Management.

Berikut ini adalah kebijakan kepercayaan peran.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "comprehendmedical.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Setelah Anda membuat peran, buat kebijakan akses untuk peran tersebut. Kebijakan tersebut harus memberikan Amazon S3 GetObject dan ListBucket izin ke bucket Amazon S3 yang berisi data input Anda. Ini juga memberikan izin untuk Amazon S3 ke bucket data PutObject keluaran Amazon S3 Anda.

Contoh kebijakan akses berikut berisi izin tersebut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::output bucket/*"
            ],
            "Effect": "Allow"
        }
    ]
}
            

Contoh kebijakan yang dikelola pelanggan

Di bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai tindakan Amazon Comprehend Medical. Kebijakan ini berfungsi saat Anda menggunakan AWS SDKs atau AWS CLI. Saat Anda menggunakan konsol, Anda harus memberikan izin ke semua Amazon Comprehend Medical. APIs Ini dibahas dalamIzin yang diperlukan untuk menggunakan konsol Amazon Comprehend Medical.

Contoh

Contoh 1: Izinkan semua tindakan Amazon Comprehend Medical

Setelah mendaftar AWS, Anda membuat administrator untuk mengelola akun Anda, termasuk membuat pengguna dan mengelola izin mereka.

Anda dapat memilih untuk membuat pengguna yang memiliki izin untuk semua tindakan Amazon Comprehend. Pikirkan pengguna ini sebagai administrator khusus layanan untuk bekerja dengan Amazon Comprehend. Anda dapat melampirkan kebijakan izin berikut ke pengguna ini.

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowAllComprehendMedicalActions",
      "Effect": "Allow",
      "Action": [
         "comprehendmedical:*"],
      "Resource": "*"
      }
   ]
}

Contoh 2: Izinkan hanya DetectEntities tindakan

Kebijakan izin berikut memberikan izin pengguna untuk mendeteksi entitas di Amazon Comprehend Medical, tetapi tidak mendeteksi operasi PHI.

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowDetectEntityActions",
      "Effect": "Allow",
      "Action": [
                "comprehendedical:DetectEntities"
             ],   
            "Resource": "*"
            ]
        }
    ]
}