Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon Comprehend Medical
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità applicabili ad Amazon Comprehend Medical, [consulta AWS Services in Scope by Compliance](https://aws.amazon.com/compliance/services-in-scope/) Program Program.
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Amazon Comprehend Medical. I seguenti argomenti mostrano come configurare Amazon Comprehend Medical per raggiungere i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri servizi AWS che ti aiutano a monitorare e proteggere le tue risorse Amazon Comprehend Medical.
**Topics**
+ [Protezione dei dati in Amazon Comprehend Medical](data-protection.md)
+ [Gestione delle identità e degli accessi in Amazon Comprehend Medical](security-iam.md)
+ [Registrazione delle chiamate API Amazon Comprehend Medical tramite AWS CloudTrail](logging-using-cloudtrail.md)
+ [Convalida della conformità per Amazon Comprehend Medical](compliance-validation.md)
+ [Resilienza in Amazon Comprehend Medical](resilience.md)
+ [Sicurezza dell'infrastruttura in Amazon Comprehend Medical](infrastructure-security.md)
# Protezione dei dati in Amazon Comprehend Medical
Il modello di [responsabilità AWS condivisa Modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Comprehend Medical. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Comprehend Medical o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
# Gestione delle identità e degli accessi in Amazon Comprehend Medical
L'accesso a Comprehend Medical richiede credenziali che AWS può utilizzare per autenticare le tue richieste. Tali credenziali devono disporre delle autorizzazioni per accedere alle azioni di Comprehend Medical. [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) può aiutarti a proteggere le tue risorse controllando chi può accedervi. Le seguenti sezioni forniscono dettagli su come utilizzare IAM con Comprehend Medical.
+ [Autenticazione](#auth-med)
+ [Controllo degli accessi](#access-control-med)
## Autenticazione
Devi concedere agli utenti le autorizzazioni per interagire con Amazon Comprehend Medical. Per gli utenti che necessitano dell'accesso completo. `ComprehendMedicalFullAccess`
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
Per utilizzare le operazioni asincrone di Amazon Comprehend Medical è necessario anche un ruolo di servizio.
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta la sezione [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
Per ulteriori informazioni su come specificare Amazon Comprehend Medical come servizio principale, consulta. [Autorizzazioni basate sui ruoli necessarie per le operazioni in batch](security-iam-permissions.md#auth-role-permissions-med)
## Controllo degli accessi
Per autenticare le richieste devi disporre di credenziali valide. Le credenziali devono disporre delle autorizzazioni per avviare un'azione Amazon Comprehend Medical.
Le seguenti sezioni descrivono come gestire le autorizzazioni per Amazon Comprehend Medical. Consigliamo di leggere prima la panoramica.
+ [Panoramica della gestione delle autorizzazioni di accesso alle risorse di Amazon Comprehend Medical](security-iam-accesscontrol.md)
+ [Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon Comprehend Medical](security-iam-permissions.md)
**Topics**
+ [Autenticazione](#auth-med)
+ [Controllo degli accessi](#access-control-med)
+ [Panoramica della gestione delle autorizzazioni di accesso alle risorse di Amazon Comprehend Medical](security-iam-accesscontrol.md)
+ [Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon Comprehend Medical](security-iam-permissions.md)
+ [Autorizzazioni dell'API Amazon Comprehend Medical: riferimento ad azioni, risorse e condizioni](security-iam-resources.md)
+ [AWS politiche gestite per Amazon Comprehend Medical](security-iam-awsmanpol.md)
# Panoramica della gestione delle autorizzazioni di accesso alle risorse di Amazon Comprehend Medical
Le politiche di autorizzazione regolano l'accesso a un'azione. Un amministratore di account associa politiche di autorizzazione alle identità IAM per gestire l'accesso alle azioni. Le identità IAM includono utenti, gruppi e ruoli.
**Nota**
Un *amministratore account* (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
Quando concedi le autorizzazioni, sei tu a decidere a chi e a quali azioni devono essere concesse le autorizzazioni.
**Topics**
+ [Gestione dell'accesso alle azioni](#access-control-manage-access-intro-med)
+ [Specificare elementi delle policy: azioni, effetti e principali](#access-control-specify-comprehend-actions-med)
+ [Specifica delle condizioni in una policy](#specifying-conditions-med)
## Gestione dell'accesso alle azioni
La *policy delle autorizzazioni* descrive chi ha accesso a cosa. La sezione seguente spiega le opzioni per le politiche di autorizzazione.
**Nota**
Questa sezione spiega IAM nel contesto di Amazon Comprehend Medical. Non vengono fornite informazioni dettagliate sul servizio IAM. Per ulteriori informazioni su IAM, consulta [Che cos'è IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)? nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [AWS IAM Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *IAM User Guide*.
Le politiche associate a un'identità IAM sono politiche *basate sull'identità*. *Le politiche allegate a una risorsa sono politiche basate sulle risorse.* Amazon Comprehend Medical supporta solo politiche basate sull'identità.
### Policy basate su identità (policy IAM)
Puoi collegare le policy alle identità IAM. Qui di seguito sono riportati due esempi.
+ **Allega una politica di autorizzazioni a un utente o a un gruppo** nel tuo account. Per consentire a un utente o a un gruppo di utenti di effettuare un'azione di Amazon Comprehend Medical, allega una politica di autorizzazioni a un utente. Allega una policy a un gruppo che contiene l'utente.
+ **Associa una politica di autorizzazioni a un ruolo per concedere autorizzazioni per più account**. Per concedere autorizzazioni su più account, collega una policy basata sull'identità a un ruolo IAM. Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazioni su più account a un altro account. In questo esempio, chiamalo Account B, che potrebbe anche essere un servizio AWS.
1. L'amministratore dell'account A crea un ruolo IAM e attribuisce una policy al ruolo che concede le autorizzazioni alle risorse nell'Account A.
1. L'amministratore dell'account A attribuisce una policy di attendibilità al ruolo. La policy identifica l'Account B come il principale che può assumere il ruolo.
1. L'amministratore dell'Account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'Account B. Ciò consente agli utenti dell'Account B di creare o accedere a risorse nell'Account A. Se desideri concedere a un servizio AWS le autorizzazioni per assumere il ruolo, il responsabile della policy di fiducia può anche essere un responsabile del servizio AWS.
Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consulta [Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) nella *IAM User Guide* (Guida per l'utente di IAM).
Per ulteriori informazioni sull'utilizzo di politiche basate sull'identità con Amazon Comprehend Medical, consulta. [Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon Comprehend Medical](security-iam-permissions.md) Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta [Identità (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *Guida per l'utente di IAM*.
### Policy basate sulle risorse
Altri servizi, ad esempio, supportano politiche di autorizzazione basate AWS Lambda sulle risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. Amazon Comprehend Medical non supporta politiche basate sulle risorse.
## Specificare elementi delle policy: azioni, effetti e principali
Amazon Comprehend Medical definisce una serie di operazioni API. Per concedere le autorizzazioni per queste operazioni API, Amazon Comprehend Medical definisce una serie di azioni che puoi specificare in una policy.
I quattro elementi riportati di seguito sono gli elementi di policy più basilari.
+ **Risorsa**: in una policy, utilizza un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per Amazon Comprehend Medical, la risorsa è `"*"` sempre.
+ **Azione**: utilizza parole chiave di azione per identificare le operazioni che desideri consentire o negare. Ad esempio, a seconda dell'effetto specificato, consente `comprehendmedical:DetectEntities` o nega l'autorizzazione dell'utente a eseguire l'operazione Amazon Comprehend Medical. `DetectEntities`
+ **Effetto**: specifica l'effetto dell'azione che si verifica quando l'utente richiede l'azione specifica, consentendola o negandola. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. È possibile eseguire questa operazione per accertarsi che un utente non sia in grado di accedere alla risorsa, anche se l'accesso viene concesso da un'altra policy.
+ **Principio**: nelle politiche basate sull'identità, l'utente a cui è associata la politica è il principale implicito.
Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [AWS IAM Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *IAM User Guide*.
Per una tabella che mostra tutte le azioni dell'API Amazon Comprehend Medical, [Autorizzazioni dell'API Amazon Comprehend Medical: riferimento ad azioni, risorse e condizioni](security-iam-resources.md) consulta.
## Specifica delle condizioni in una policy
Quando concedi le autorizzazioni, usi il linguaggio delle policy IAM per specificare le condizioni in base alle quali una policy deve avere effetto. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione [Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) nella *Guida per l'utente di IAM*.
AWS fornisce un set di chiavi di condizione predefinite per tutti i servizi AWS che supportano IAM per il controllo degli accessi. Ad esempio, puoi utilizzare la chiave di condizione `aws:userid` per un ID AWS specifico quando richiedi un'operazione. Per ulteriori informazioni e un elenco completo delle chiavi AWS, consulta [Available Keys for Conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) nella *IAM User Guide*.
Amazon Comprehend Medical non fornisce alcun codice di condizione aggiuntivo.
# Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon Comprehend Medical
Questo argomento mostra esempi di politiche basate sull'identità. Gli esempi mostrano come un amministratore di account può allegare politiche di autorizzazione alle identità IAM. Ciò consente a utenti, gruppi e ruoli di eseguire azioni di Amazon Comprehend Medical.
**Importante**
Per comprendere le autorizzazioni, consigliamo. [Panoramica della gestione delle autorizzazioni di accesso alle risorse di Amazon Comprehend Medical](security-iam-accesscontrol.md)
Questa politica di esempio è necessaria per utilizzare le azioni di analisi dei documenti di Amazon Comprehend Medical.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2",
"comprehendmedical:DetectPHI",
"comprehendmedical:StartEntitiesDetectionV2Job",
"comprehendmedical:ListEntitiesDetectionV2Jobs",
"comprehendmedical:DescribeEntitiesDetectionV2Job",
"comprehendmedical:StopEntitiesDetectionV2Job",
"comprehendmedical:StartPHIDetectionJob",
"comprehendmedical:ListPHIDetectionJobs",
"comprehendmedical:DescribePHIDetectionJob",
"comprehendmedical:StopPHIDetectionJob",
"comprehendmedical:StartRxNormInferenceJob",
"comprehendmedical:ListRxNormInferenceJobs",
"comprehendmedical:DescribeRxNormInferenceJob",
"comprehendmedical:StopRxNormInferenceJob",
"comprehendmedical:StartICD10CMInferenceJob",
"comprehendmedical:ListICD10CMInferenceJobs",
"comprehendmedical:DescribeICD10CMInferenceJob",
"comprehendmedical:StopICD10CMInferenceJob",
"comprehendmedical:StartSNOMEDCTInferenceJob",
"comprehendmedical:ListSNOMEDCTInferenceJobs",
"comprehendmedical:DescribeSNOMEDCTInferenceJob",
"comprehendmedical:StopSNOMEDCTInferenceJob",
"comprehendmedical:InferRxNorm",
"comprehendmedical:InferICD10CM",
"comprehendmedical:InferSNOMEDCT"
],
"Resource": "*"
}
]
}
```
------
La policy contiene una dichiarazione che concede l'autorizzazione all'uso delle azioni `DetectEntities` e`DetectPHI`.
La policy non specifica l'elemento `Principal` poiché in una policy basata su identità non si specifica il principale che ottiene l'autorizzazione. Quando alleghi una policy a un utente, l'utente è il principale implicito. Quando colleghi una policy a un ruolo IAM, il principale identificato nella policy di fiducia del ruolo ottiene l'autorizzazione.
Per visualizzare tutte le azioni dell'API Amazon Comprehend Medical e le risorse a cui si applicano, [Autorizzazioni dell'API Amazon Comprehend Medical: riferimento ad azioni, risorse e condizioni](security-iam-resources.md) consulta.
## Autorizzazioni necessarie per utilizzare la console Amazon Comprehend Medical
La tabella di riferimento delle autorizzazioni elenca le operazioni dell'API Amazon Comprehend Medical e mostra le autorizzazioni richieste per ciascuna operazione. Per ulteriori informazioni, sulle autorizzazioni dell'API Amazon Comprehend Medical, consulta. [Autorizzazioni dell'API Amazon Comprehend Medical: riferimento ad azioni, risorse e condizioni](security-iam-resources.md)
Per utilizzare la console Amazon Comprehend Medical, concedi le autorizzazioni per le azioni mostrate nella seguente politica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
La console Amazon Comprehend Medical necessita di queste autorizzazioni per i seguenti motivi:
+ `iam`autorizzazioni per elencare i ruoli IAM disponibili per il tuo account.
+ `s3`autorizzazioni per accedere ai bucket e agli oggetti Amazon S3 che contengono i dati.
Quando crei un processo batch asincrono utilizzando la console, puoi anche creare un ruolo IAM per il tuo lavoro. Per creare un ruolo IAM utilizzando la console, agli utenti devono essere concesse le autorizzazioni aggiuntive mostrate qui per creare ruoli e policy IAM e per associare policy ai ruoli.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
La console Amazon Comprehend Medical necessita di queste autorizzazioni per creare ruoli e politiche e per allegare ruoli e politiche. L'`iam:PassRole`azione consente alla console di passare il ruolo ad Amazon Comprehend Medical.
## Policy gestite da AWS (predefinite) per Amazon Comprehend Medical
AWS gestisce molti casi di utilizzo comune con policy IAM autonome create e amministrate da AWS. Le policy gestite da AWS concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consulta [Policy gestite AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per gli utenti di IAM*.
La seguente policy gestita da AWS, che puoi allegare agli utenti del tuo account, è specifica di Amazon Comprehend Medical.
+ **ComprehendMedicalFullAccess**— Garantisce l'accesso completo alle risorse di Amazon Comprehend Medical. Include l'autorizzazione a elencare e ottenere ruoli IAM.
È necessario applicare la seguente politica aggiuntiva a qualsiasi utente che utilizza Amazon Comprehend Medical:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
Puoi rivedere le politiche di autorizzazione gestite accedendo alla console IAM e cercando lì politiche specifiche.
Queste policy funzionano quando utilizzi AWS SDKs o l'AWS CLI.
Puoi anche creare policy IAM personalizzate per consentire le autorizzazioni per azioni e risorse di Amazon Comprehend Medical. Puoi allegare queste politiche personalizzate agli utenti o ai gruppi IAM che le richiedono.
## Autorizzazioni basate sui ruoli necessarie per le operazioni in batch
Per utilizzare le operazioni asincrone di Amazon Comprehend Medical, concedi ad Amazon Comprehend Medical l'accesso al bucket Amazon S3 che contiene la tua raccolta di documenti. A tale scopo, crea un ruolo di accesso ai dati nel tuo account per affidarti al responsabile del servizio Amazon Comprehend Medical. Per ulteriori informazioni sulla creazione di un ruolo, consulta [Creating a Role to Delegate Permissions to an AWS Service nella AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) *Identity and Access Management User Guide*.
Di seguito è riportata la politica di fiducia del ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehendmedical.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Dopo aver creato il ruolo, crea una politica di accesso per esso. La policy dovrebbe concedere Amazon S3 `GetObject` e `ListBucket` le autorizzazioni al bucket Amazon S3 che contiene i dati di input. Inoltre, concede le autorizzazioni per Amazon `PutObject` S3 al tuo bucket di dati di output Amazon S3.
Il seguente esempio di politica di accesso contiene tali autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::input bucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::input bucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::output bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
## Esempi di policy gestite dal cliente
In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie azioni di Amazon Comprehend Medical. Queste policy funzionano quando utilizzi AWS SDKs o l'AWS CLI. Quando utilizzi la console, devi concedere le autorizzazioni a tutti gli Amazon Comprehend Medical. APIs Questo argomento è illustrato in [Autorizzazioni necessarie per utilizzare la console Amazon Comprehend Medical](#auth-console-permissions-med).
**Nota**
Tutti gli esempi utilizzano la regione us-east-2 e contengono account fittizi. IDs
**Esempi**
### Esempio 1: consentire tutte le azioni di Amazon Comprehend Medical
Dopo la registrazione AWS, crei un amministratore per gestire il tuo account, inclusa la creazione di utenti e la gestione delle relative autorizzazioni.
Puoi scegliere di creare un utente con le autorizzazioni per tutte le azioni di Amazon Comprehend. Pensa a questo utente come a un amministratore specifico del servizio per lavorare con Amazon Comprehend. È possibile collegare la policy di autorizzazione seguente a tale utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAllComprehendMedicalActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:*"],
"Resource": "*"
}
]
}
```
------
### Esempio 2: consenti solo azioni DetectEntities
La seguente politica di autorizzazioni concede agli utenti le autorizzazioni per rilevare le entità in Amazon Comprehend Medical, ma non per rilevare le operazioni PHI.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectEntityActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2"
],
"Resource": "*"
}
]
}
```
------
# Autorizzazioni dell'API Amazon Comprehend Medical: riferimento ad azioni, risorse e condizioni
Utilizza la tabella seguente come riferimento per configurare [Controllo degli accessi](security-iam.md#access-control-med) e scrivere una politica di autorizzazioni da allegare a un utente. L'elenco include ogni operazione dell'API Amazon Comprehend Medical, l'azione corrispondente per la quale puoi concedere le autorizzazioni per eseguire l'azione e la risorsa AWS per la quale puoi concedere le autorizzazioni. Puoi specificare le azioni nel campo `Action` della policy e il valore della risorsa nel campo `Resource`.
Per esprimere le condizioni, puoi utilizzare le chiavi di condizione AWS nelle tue politiche di Amazon Comprehend Medical. Per un elenco completo delle chiavi, consulta [Available Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) nella *IAM User Guide*.
**Nota**
Per specificare un'operazione, utilizza il prefisso `comprehendmedical:` seguito dal nome dell'operazione API, ad esempio `comprehendmedical:DetectEntities`.
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**API Amazon Comprehend Medical e autorizzazioni richieste per le azioni**
| Operazioni dell'API Amazon Comprehend Medical | Autorizzazioni necessarie (azioni API) | Resources |
| --- | --- | --- |
| DescribeEntitiesDetectionLavoro V2 | comprehendmedical:DescribeEntitiesDetectionV2Job | \$1 |
| Descrivi PHIDetection Job | comprehendmedical:DescribePHIDetectionJob | \$1 |
| DetectEntities | comprehendmedical:DetectEntities | \$1 |
| DetectEntitiesV2 | comprehendmedical:DetectEntitiesV2 | \$1 |
| Rileva Phi | comprehendmedical:DetectPHI | \$1 |
| ListEntitiesDetectionLavori V2 | comprehendmedical:ListEntitiesDetectionV2Jobs | \$1 |
| Elenca lavori PHIDetection | comprehendmedical:ListPHIDetectionJobs | \$1 |
| StartEntitiesDetectionLavoro V2 | comprehendmedical:StartEntitiesDetectionV2Job | \$1 |
| Avvia PHIDetection Job | comprehendmedical:StartPHIDetectionJob | \$1 |
| StopEntitiesDetectionV2Job | comprehendmedical:StopEntitiesDetectionV2Job | \$1 |
| Stop PHIDetection Job | comprehendmedical:StopPHIDetectionJob | \$1 |
| Deduci CM ICD10 | comprehendmedical:InferICD10CM | \$1 |
| InferRxNorm | comprehendmedical:InferRxNorm | \$1 |
| Infersnome DCT | comprehendmedical:InferSNOMEDCT | \$1 |
| Avvia ICD10 CMInference Job | comprehendmedical:StartICD10CMInferenceJob | \$1 |
| StartRxNormInferenceJob | comprehendmedical:StartRxNormInferenceJob | \$1 |
| Avvia SNOMEDCTInference Job | comprehendmedical:StartSNOMEDCTInferenceJob | \$1 |
| Elenca ICD10 CMInference lavori | comprehendmedical:ListICD10CMInferenceJobs | \$1 |
| ListRxNormInferenceJobs | comprehendmedical:ListRxNormInferenceJobs | \$1 |
| Elenca SNOMEDCTInference lavori | comprehendmedical:ListSNOMEDCTInferenceJobs | \$1 |
| Stop ICD10 CMInference Job | comprehendmedical:StopICD10CMInferenceJob | \$1 |
| StopRxNormInferenceJob | comprehendmedical:StopRxNormInferenceJob | \$1 |
| Stop SNOMEDCTInference Job | comprehendmedical:StopSNOMEDCTInferenceJob | \$1 |
| Descrivi ICD10 CMInference Job | comprehendmedical:DescribeICD10CMInferenceJob | \$1 |
| DescribeRxNormInferenceJob | comprehendmedical:DescribeRxNormInferenceJob | \$1 |
| Descrivi SNOMEDCTInference Job | comprehendmedical:DescribeSNOMEDCTInferenceJob | \$1 |
# AWS politiche gestite per Amazon Comprehend Medical
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d’uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l’utente di IAM*.
**Topics**
+ [AWS politica gestita: ComprehendMedicalFullAccess](#security-iam-awsmanpol-ComprehendMedicalFullAccess)
+ [Amazon Comprehend Medical aggiorna AWS le politiche gestite](#security-iam-awsmanpol-updates)
## AWS politica gestita: ComprehendMedicalFullAccess
È possibile allegare la policy `ComprehendMedicalFullAccess` alle identità IAM.
Questa politica concede l'autorizzazione amministrativa a tutte le azioni di Amazon Comprehend Medical.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Action" : [
"comprehendmedical:*"
],
"Effect" : "Allow",
"Resource" : "*"
}
]
}
```
------
## Amazon Comprehend Medical aggiorna AWS le politiche gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Comprehend Medical da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivi il feed RSS nella [pagina della cronologia dei documenti ](comprehendmedical-releases.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| Amazon Comprehend Medical ha iniziato a tracciare le modifiche | Amazon Comprehend Medical ha iniziato a tenere traccia delle modifiche alle AWS sue politiche gestite. | 27 novembre 2018 |
# Registrazione delle chiamate API Amazon Comprehend Medical tramite AWS CloudTrail
Amazon Comprehend Medical è integrato con AWS CloudTrail. CloudTrail è un servizio che fornisce una registrazione delle azioni intraprese da un utente, un ruolo o un AWS servizio all'interno di Amazon Comprehend Medical. CloudTrail acquisisce tutte le chiamate API per Amazon Comprehend Medical come eventi. Le chiamate acquisite includono chiamate dalla console Amazon Comprehend Medical e chiamate in codice alle operazioni dell'API Amazon Comprehend Medical. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per Amazon Comprehend Medical. **Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console in Cronologia eventi.** Utilizzando le informazioni raccolte da CloudTrail, puoi determinare diverse cose, come:
+ La richiesta inoltrata ad Amazon Comprehend Medical
+ L'indirizzo IP dal quale è stata effettuata la richiesta
+ L'utente che ha effettuato la richiesta
+ L'ora in cui è stata effettuata la richiesta
+ Altri dettagli
Per ulteriori informazioni CloudTrail, consulta la [Guida AWS CloudTrail per l'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informazioni su Amazon Comprehend Medical in CloudTrail
CloudTrail è abilitato sul tuo AWS account al momento della creazione dell'account. Quando si verifica un'attività in Amazon Comprehend Medical, tale attività viene registrata in CloudTrail un evento insieme AWS ad altri eventi di servizio **nella** cronologia degli eventi. Puoi visualizzare, cercare e scaricare eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per Amazon Comprehend Medical, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un trail nella console, il trail sarà valido in tutte le regioni AWS. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Tutte le azioni di Amazon Comprehend Medical vengono registrate e CloudTrail documentate nell'[Amazon Comprehend Medical](https://docs.aws.amazon.com/comprehend/latest/dg/API_Operations_AWS_Comprehend_Medical.html) API Reference. Ad esempio, le chiamate a `DetectPHI` e le `DetectEntitiesV2` `ListEntitiesDetectionV2Jobs` azioni generano voci nei file di registro. CloudTrail
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Comprendere le voci dei file di registro di Amazon Comprehend Medical
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta da un'origine. L'evento include informazioni sull'azione richiesta, come la data e l'ora o i parametri della richiesta. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`DetectEntitiesV2`azione.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"accessKeyId": "ASIAXHKUFODNN8EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"userName": "Mateo_Jackson"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-09-27T20:07:27Z"
}
}
},
"eventTime": "2019-09-27T20:10:26Z",
"eventSource": "comprehendmedical.amazonaws.com",
"eventName": "DetectEntitiesV2",
"awsRegion": "us-east-1",
"sourceIPAddress": "702.21.198.166",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.590 Linux/4.9.184-0.1.ac.235.83.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.212-b03 java/1.8.0_212 vendor/Oracle_Corporation",
"requestParameters": null,
"responseElements": null,
"requestID": "8d85f2ec-EXAMPLE",
"eventID": "ae9be9b1-EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
# Convalida della conformità per Amazon Comprehend Medical
I revisori di terze parti valutano la sicurezza e la conformità di Amazon Comprehend Medical nell'ambito di diversi AWS programmi di conformità. Questi includono PCI, FedRAMP, HIPAA e altri. Puoi scaricare report di audit di terze parti utilizzando. AWS Artifact Per ulteriori informazioni, consulta [Download dei rapporti in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
La tua responsabilità di conformità quando usi Amazon Comprehend Medical è determinata dalla sensibilità dei tuoi dati, dagli obiettivi di conformità della tua azienda e dalle leggi e dai regolamenti applicabili. AWS fornisce le seguenti risorse per contribuire alla conformità:
+ [Guide Quick Start per la sicurezza e conformità](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): queste guide all'implementazione illustrano considerazioni relative all'architettura e forniscono fasi per l'implementazione di ambienti di base incentrati sulla sicurezza e sulla conformità su AWS.
+ [Whitepaper sull'architettura per la sicurezza e la conformità HIPAA: questo white paper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) descrive come le aziende possono utilizzare per creare applicazioni conformi allo standard HIPAA. AWS
+ [AWS Risorse per la conformità](https://aws.amazon.com/compliance/resources/): questa raccolta di cartelle di lavoro e guide potrebbe riguardare il settore e la località in cui operi.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Questo AWS servizio valuta la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Questo AWS servizio offre una visione completa dello stato di sicurezza dell'utente e consente AWS di verificare la conformità agli standard e alle best practice del settore della sicurezza.
Per un elenco di AWS servizi nell'ambito di programmi di conformità specifici, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/). Per informazioni generali, consulta [Programmi di conformità di AWS](https://aws.amazon.com/compliance/programs/).
# Resilienza in Amazon Comprehend Medical
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
[Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta Global Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Sicurezza dell'infrastruttura in Amazon Comprehend Medical
In quanto servizio gestito, Amazon Comprehend Medical è protetto dalle AWS procedure di sicurezza di rete globali descritte nel white paper [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Per accedere ad Amazon Comprehend Medical tramite la rete, AWS usi chiamate API pubblicate. I client devono supportare Transport Layer Security (TLS) 1.0 o versioni successive. È consigliabile TLS 1.2 o versioni successive. I client devono inoltre supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID di chiave di accesso e una chiave di accesso segreta associata a un principale AWS Identity and Access Management (IAM). In alternativa, è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare le credenziali di sicurezza temporanee per sottoscrivere le richieste.