翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Comprehend Medical でのセキュリティ
<a name="security"></a>

のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。

セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** – クラウドで AWS AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。サードパーティーの監査者は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。Amazon Comprehend Medical に適用されるコンプライアンスプログラムの詳細については、「[コンプライアンスプログラムによる AWS 対象範囲内のサービス](https://aws.amazon.com/compliance/services-in-scope/)」「」を参照してください。
+ **クラウド内のセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。

このドキュメントは、Amazon Comprehend Medical を使用する際の責任共有モデルの適用方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するように Amazon Comprehend Medical を設定する方法について説明します。また、Amazon Comprehend Medical リソースのモニタリングや保護に役立つ他の AWS のサービスの使用方法についても説明します。

**Topics**
+ [Amazon Comprehend Medical でのデータ保護](data-protection.md)
+ [Amazon Comprehend Medical でのアイデンティティおよびアクセスの管理](security-iam.md)
+ [を使用した Amazon Comprehend Medical API コールのログ記録 AWS CloudTrail](logging-using-cloudtrail.md)
+ [Amazon Comprehend Medical のコンプライアンス検証](compliance-validation.md)
+ [Amazon Comprehend Medical での耐障害性](resilience.md)
+ [Amazon Comprehend Medical でのインフラストラクチャセキュリティ](infrastructure-security.md)

# Amazon Comprehend Medical でのデータ保護
<a name="data-protection"></a>

責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon Comprehend Medical でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+  AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Comprehend Medical AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

# Amazon Comprehend Medical でのアイデンティティおよびアクセスの管理
<a name="security-iam"></a>

Amazon Comprehend Medical へのアクセスには、AWS によってリクエストの認証に使用される認証情報が必要です。これらの認証情報には、Comprehend Medical アクションにアクセスするためのアクセス許可が必要です。[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) を使用すると、リソースにアクセスできるユーザーを制御してリソースを保護できます。以下のセクションでは、Comprehend Medical で IAM を使用する方法について詳しく説明します。
+  [認証](#auth-med) 
+  [アクセスコントロール](#access-control-med) 

## 認証
<a name="auth-med"></a>

Amazon Comprehend Medical を操作するためのアクセス許可をユーザーに付与する必要があります。フルアクセスが必要なユーザーの場合は、`ComprehendMedicalFullAccess` を使用します。

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ のユーザーとグループ AWS IAM アイデンティティセンター:

  アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
  + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
  + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。

Amazon Comprehend Medical の非同期オペレーションを使用するには、サービスロールも必要です。

 サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。

Amazon Comprehend Medical をプリンシパルのサービスとして指定する方法については、「[バッチ操作に必要なロールベースのアクセス許可](security-iam-permissions.md#auth-role-permissions-med)」を参照してください。

## アクセスコントロール
<a name="access-control-med"></a>

 リクエストを認証できる有効な認証情報を持っている必要があります。認証情報には、Amazon Comprehend Medical アクションを呼び出すためのアクセス許可が必要です。

 以下のセクションでは、Amazon Comprehend Medical のアクセス許可を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。
+ [Amazon Comprehend Medical リソースに対するアクセス許可の管理の概要](security-iam-accesscontrol.md)
+ [Amazon Comprehend Medical でのアイデンティティベースのポリシー (IAM ポリシー) の使用](security-iam-permissions.md)

**Topics**
+ [認証](#auth-med)
+ [アクセスコントロール](#access-control-med)
+ [Amazon Comprehend Medical リソースに対するアクセス許可の管理の概要](security-iam-accesscontrol.md)
+ [Amazon Comprehend Medical でのアイデンティティベースのポリシー (IAM ポリシー) の使用](security-iam-permissions.md)
+ [Amazon Comprehend Medical API のアクセス許可: アクション、リソース、条件のリファレンス](security-iam-resources.md)
+ [AWS Amazon Comprehend Medical の マネージドポリシー](security-iam-awsmanpol.md)

# Amazon Comprehend Medical リソースに対するアクセス許可の管理の概要
<a name="security-iam-accesscontrol"></a>

アクションへのアクセスは、アクセス許可ポリシーによって管理されます。アカウント管理者は、IAM アイデンティティにアクセス許可ポリシーをアタッチして、アクションへのアクセスを管理します。IAM アイデンティティには、ユーザー、グループ、およびロールが含まれます。

**注記**  
*アカウント管理者* (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、「*IAM ユーザーガイド*」の「[IAM のベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。

アクセス許可を付与するときは、アクセス許可を付与するユーザーとアクションの両方を決定します。

**Topics**
+ [アクションへのアクセスの管理](#access-control-manage-access-intro-med)
+ [ポリシー要素 (アクション、効果、プリンシパル) の指定](#access-control-specify-comprehend-actions-med)
+ [ポリシーの条件の指定](#specifying-conditions-med)

## アクションへのアクセスの管理
<a name="access-control-manage-access-intro-med"></a>



アクセスポリシー**は、誰が何に対するアクセス権を持っているのかを説明します。以下のセクションで、アクセス許可ポリシーのオプションについて説明します。

**注記**  
このセクションでは、Amazon Comprehend Medical のコンテキストで IAM について説明します。ここでは、IAM サービスに関する詳細情報を提供しません。IAM の詳細については、IAM ユーザーガイドの「[IAM とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)」を参照してください。**IAM ポリシー構文の詳細と説明については、「IAM ユーザーガイド」の「[AWS IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。**

IAM アイデンティティにアタッチされたポリシーは、アイデンティティベースのポリシーです。**リソースにアタッチされたポリシーは、リソースベースのポリシーです。**Amazon Comprehend Medical では、アイデンティティベースのポリシーのみがサポートされています。

### アイデンティティベースのポリシー (IAM ポリシー）
<a name="access-control-manage-access-intro-iam-policies-med"></a>

ポリシーを IAM アイデンティティにアタッチできます。これらはその 2 つの例です。
+ **アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする**。ユーザーまたはユーザーのグループが Amazon Comprehend Medical アクションを呼び出すことができるようにするには、アクセス許可ポリシーをユーザーにアタッチします。ユーザーが含まれているグループにポリシーをアタッチします。
+ **ロールにアクセス許可ポリシーをアタッチし、クロスアカウントのアクセス許可を付与する** クロスアカウントのアクセス許可を付与するには、アイデンティティベースのポリシーを IAM ロールにアタッチします。例えば、アカウント A の管理者は、別のアカウントにクロスアカウントのアクセス許可を付与するロールを作成できます。この例では、これをアカウント B と呼んでおり、AWS サービスにすることもできます。

  1. アカウント A の管理者は、IAM ロールを作成し、そのロールに、アカウント A のリソースに対するアクセス許可を付与するポリシーをアタッチします。

  1. アカウント A の管理者は、ロールに信頼ポリシーをアタッチします。ポリシーは、ロールを引き受けることのできるプリンシパルとしてアカウント B を識別します。

  1. アカウント B の管理者は、アカウント B の任意のユーザーにロールを引き受けるアクセス許可を委任できるようになります。これにより、アカウント B のユーザーにアカウント A のリソースの作成またはアクセスが許可されます。ロールを引き受けるアクセス許可を AWS のサービスに付与すると、信頼ポリシーのプリンシパルは AWS のサービスのプリンシパルになることもできます。

  IAM を使用した許可の委任の詳細については、「IAM ユーザーガイド」の「[アクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」を参照してください。

Amazon Comprehend Medical でアイデンティティベースのポリシーを使用する場合の詳細については、「[Amazon Comprehend Medical でのアイデンティティベースのポリシー (IAM ポリシー) の使用](security-iam-permissions.md)」を参照してください。ユーザー、グループ、ロール、許可の詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」の「*アイデンティティ (ユーザー、グループ、ロール)*」を参照してください。

### リソースベースのポリシー
<a name="access-control-manage-access-intro-resource-policies-med"></a>

などの他の サービスは AWS Lambda、リソースベースのアクセス許可ポリシーをサポートしています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。Amazon Comprehend Medical では、リソースベースのポリシーはサポートされていません。

## ポリシー要素 (アクション、効果、プリンシパル) の指定
<a name="access-control-specify-comprehend-actions-med"></a>

Amazon Comprehend Medical では、一連の API オペレーションを定義します。これらの API オペレーションへのアクセス許可を付与するために、Amazon Comprehend Medical では、ポリシーに指定できる一連のアクションを定義します。

以下の 4 つの項目は、最も基本的なポリシー要素です。
+ **リソース** – ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。Amazon Comprehend Medical の場合、リソースは常に `"*"` です。
+ **アクション** – アクションのキーワードを使用して、許可または拒否するオペレーションを識別します。例えば、指定した効果に応じて、`comprehendmedical:DetectEntities` は Amazon Comprehend Medical `DetectEntities` オペレーションを実行するためのアクセス許可をユーザーに付与または拒否します。
+ **効果** - ユーザーが特定のアクションをリクエストしたときに起きるアクションの効果 (許可または拒否のいずれか) を指定します。リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。リソースへのアクセスを明示的に拒否することもできます。これにより、別のポリシーでアクセスが許可されている場合でも、ユーザーがリソースにアクセスすることを禁止できます。
+ **プリンシパル** - アイデンティティベースのポリシーで、ポリシーがアタッチされているユーザーが黙示のプリンシパルになります。

IAM ポリシーの構文と記述の詳細については、「IAM ユーザーガイド」の「[AWS IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。**

すべての Amazon Comprehend Medical API アクションを示す表については、「[Amazon Comprehend Medical API のアクセス許可: アクション、リソース、条件のリファレンス](security-iam-resources.md)」を参照してください。

## ポリシーの条件の指定
<a name="specifying-conditions-med"></a>

アクセス許可を付与するときに、IAM ポリシー言語を使用してポリシーの適用条件を指定します。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「*IAM ユーザーガイド*」の「[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)」を参照してください。

AWS では、IAM をサポートする AWS のすべてのサービスについて、アクセスコントロール用の条件キーのセットが事前に定義されています。たとえば、`aws:userid` 条件キーを使用して、アクションのリクエスト時に特定の AWS ID を要求できます。AWS キーの詳細およびすべての AWS キーのリストについては、IAM ユーザーガイドの「[使用可能な条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)」を参照してください。**

Amazon Comprehend Medical では、追加の条件キーが提供されません。

# Amazon Comprehend Medical でのアイデンティティベースのポリシー (IAM ポリシー) の使用
<a name="security-iam-permissions"></a>

このトピックでは、アイデンティティベースのポリシーの例を示します。例を使用して、アカウント管理者が IAM アイデンティティにアクセス許可ポリシーをアタッチする方法を示します。これにより、ユーザー、グループ、およびロールが Amazon Comprehend Medical アクションを実行できるようになります。

**重要**  
アクセス許可を理解するには、「[Amazon Comprehend Medical リソースに対するアクセス許可の管理の概要](security-iam-accesscontrol.md)」をお勧めします。

このポリシー例は、Amazon Comprehend Medical ドキュメント分析アクションを使用するために必要です。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDetectActions",
            "Effect": "Allow",
            "Action": [
                "comprehendmedical:DetectEntitiesV2",
                "comprehendmedical:DetectPHI",
                "comprehendmedical:StartEntitiesDetectionV2Job",
                "comprehendmedical:ListEntitiesDetectionV2Jobs",
                "comprehendmedical:DescribeEntitiesDetectionV2Job",
                "comprehendmedical:StopEntitiesDetectionV2Job",
                "comprehendmedical:StartPHIDetectionJob",
                "comprehendmedical:ListPHIDetectionJobs",
                "comprehendmedical:DescribePHIDetectionJob",
                "comprehendmedical:StopPHIDetectionJob",
                "comprehendmedical:StartRxNormInferenceJob",
                "comprehendmedical:ListRxNormInferenceJobs",
                "comprehendmedical:DescribeRxNormInferenceJob",
                "comprehendmedical:StopRxNormInferenceJob",
                "comprehendmedical:StartICD10CMInferenceJob",
                "comprehendmedical:ListICD10CMInferenceJobs",
                "comprehendmedical:DescribeICD10CMInferenceJob",
                "comprehendmedical:StopICD10CMInferenceJob",
                "comprehendmedical:StartSNOMEDCTInferenceJob",
                "comprehendmedical:ListSNOMEDCTInferenceJobs",
                "comprehendmedical:DescribeSNOMEDCTInferenceJob",
                "comprehendmedical:StopSNOMEDCTInferenceJob",
                "comprehendmedical:InferRxNorm",
                "comprehendmedical:InferICD10CM",
                "comprehendmedical:InferSNOMEDCT"
            ],
            "Resource": "*"
        }
    ]
}
```

------

このポリシーには、`DetectEntities` アクションおよび `DetectPHI` アクションを使用するためのアクセス許可を付与するステートメントが 1 つあります。

アイデンティティベースのポリシーでアクセス権限を得るプリンシパルを指定していないため、ポリシーでは `Principal` エレメントを指定していません。ユーザーにポリシーをアタッチすると、そのユーザーが暗黙のプリンシパルになります。IAM ロールにポリシーをアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルがアクセス許可を得ることになります。

すべての Amazon Comprehend Medical API アクションとそれらが適用されるリソースを確認するには、「[Amazon Comprehend Medical API のアクセス許可: アクション、リソース、条件のリファレンス](security-iam-resources.md)」を参照してください。

## Amazon Comprehend Medical コンソールを使用するために必要なアクセス許可
<a name="auth-console-permissions-med"></a>

アクセス許可のリファレンス表では、Amazon Comprehend Medical API オペレーションとそれらの各オペレーションに必要なアクセス許可を示しています。Amazon Comprehend Medical API のアクセス許可の詳細については、「[Amazon Comprehend Medical API のアクセス許可: アクション、リソース、条件のリファレンス](security-iam-resources.md)」を参照してください。

Amazon Comprehend Medical コンソールを使用するには、次のポリシーに示されているアクションのアクセス許可を付与する必要があります。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "iam:CreateRole",
            "iam:CreatePolicy",
            "iam:AttachRolePolicy"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iam:PassRole",
         "Resource": "*",
         "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
         }
      }
   ]
}
```

------

Amazon Comprehend Medical コンソールには、以下の理由でこれらのアクセス許可が必要になります。
+ アカウントで使用可能な IAM ロールをリストするための `iam` アクセス許可。
+ データが含まれる Amazon S3 バケットおよびオブジェクトにアクセスするための `s3` アクセス許可。

コンソールを使用して非同期バッチジョブを作成する場合、ジョブに IAM ロールを作成することもできます。コンソールを使用して IAM ロールを作成するには、IAM ロールとポリシーを作成してロールにポリシーをアタッチするために、ここに示されている追加のアクセス許可をユーザーに付与する必要があります。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

Amazon Comprehend Medical コンソールでは、ロールとポリシーを作成してロールとポリシーをアタッチするには、これらのアクセス許可が必要です。`iam:PassRole` アクションによって、コンソールで Amazon Comprehend Medical にロールを渡すことができます。

## Amazon Comprehend Medical の AWS 管理 (事前定義) ポリシー
<a name="access-policy-aws-managed-policies-med"></a>

AWS は、AWS によって作成され管理されるスタンドアロンの IAM ポリシーが提供する多くの一般的ユースケースに対応します。これらの AWS 管理ポリシーは、一般的ユースケースに必要なアクセス許可を付与することで、どのアクセス許可が必要なのかをユーザーが調査する必要をなくすことができます。詳細については、[「IAM ユーザーガイド」](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)の*「AWS マネージドポリシー」* を参照してください。

アカウントのユーザーにアタッチ可能な以下の AWS 管理ポリシーは、Amazon Comprehend Medical に固有のものです。
+ **ComprehendMedicalFullAccess** — Amazon Comprehend Medical リソースへのフルアクセスを付与します。IAM ロールをリストおよび取得するアクセス許可が含まれます。

Amazon Comprehend Medical を使用するユーザーには、次の追加ポリシーを適用する必要があります。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
            }
        }
    ]
}
```

------

IAM コンソールにサインインし、特定のポリシーを検索することで、管理アクセス許可ポリシーを確認できます。

これらのポリシーは、AWS SDK または AWS CLI を使用しているときに機能します。

独自の IAM ポリシーを作成して、Amazon Comprehend Medical のアクションとリソースのためのアクセス許可を付与することもできます。これらのカスタムポリシーを、これらのポリシーを必要とする IAM ユーザーまたはグループにアタッチできます。

## バッチ操作に必要なロールベースのアクセス許可
<a name="auth-role-permissions-med"></a>

Amazon Comprehend Medical 非同期オペレーションを使用するには、Amazon Comprehend Medical にドキュメントコレクションが含まれる Amazon S3 バケットへのアクセス許可を付与します。これを行うには、Amazon Comprehend Medical サービスプリンシパルを信頼するように、アカウントにデータアクセスロールを作成します。ロールの作成について詳しくは、*AWS Identity and Access Management ユーザーガイド*の「[AWS のサービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。

以下に示しているのは、ロールの信頼ポリシーです。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "comprehendmedical.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

ロールを作成したら、そのロールのアクセスポリシーを作成します。ポリシーによって、入力データが含まれる Amazon S3 バケットへの Amazon S3 `GetObject` アクセス許可および `ListBucket` アクセス許可を付与する必要があります。また、Amazon S3 出力データバケットへの Amazon S3 `PutObject` のアクセス許可も付与します。

次のアクセスポリシー例には、これらのアクセス許可が含まれています。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::output bucket/*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

## カスタマーマネージドポリシーの例
<a name="access-policy-customer-managed-examples-med"></a>

このセクションでは、さまざまな Amazon Comprehend Medical アクションのアクセス許可を付与するユーザーポリシー例を示しています。これらのポリシーは、AWS SDK または AWS CLI を使用しているときに機能します。コンソールを使用している場合、すべての Amazon Comprehend Medical API にアクセス許可を付与する必要があります。これについては、「[Amazon Comprehend Medical コンソールを使用するために必要なアクセス許可](#auth-console-permissions-med)」を参照してください。

**注記**  
すべての例で、us-east-2 リージョンを使用し、架空のアカウント ID を含めています。

**例**  


### 例 1: すべての Amazon Comprehend Medical アクションを許可する
<a name="custom-policy-1-med"></a>

にサインアップしたら AWS、ユーザーの作成やアクセス許可の管理など、アカウントを管理する管理者を作成します。

すべての Amazon Comprehend アクションのアクセス許可を持つユーザーを作成できます。このユーザーは、Amazon Comprehend を使用するためのサービス固有の管理者と考えてください。このユーザーに以下のアクセス権限をアタッチできます。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Sid": "AllowAllComprehendMedicalActions",
      "Effect": "Allow",
      "Action": [
         "comprehendmedical:*"],
      "Resource": "*"
      }
   ]
}
```

------

### 例 2: DetectEntities アクションのみを許可する
<a name="custom-policy-2-med"></a>

次のアクセス許可ポリシーでは、Amazon Comprehend Medical でエンティティを検出するためのアクセス許可がユーザーに付与されますが、PHI オペレーションを検出するためのアクセス許可は付与されません。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDetectEntityActions",
            "Effect": "Allow",
            "Action": [
                "comprehendmedical:DetectEntitiesV2"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Amazon Comprehend Medical API のアクセス許可: アクション、リソース、条件のリファレンス
<a name="security-iam-resources"></a>

以下の表は、[アクセスコントロール](security-iam.md#access-control-med)をセットアップし、ユーザーにアタッチできる許可ポリシーを作成するときのリファレンスとして使用してください。この表は、各 Amazon Comprehend Medical API オペレーション、アクションを実行するためのアクセス許可を付与できる対象のアクション、およびアクセス許可を付与できる AWS リソースを示しています。ポリシーの `Action` フィールドでアクションを指定し、ポリシーの `Resource` フィールドでリソースの値を指定します。

条件を表すために、Amazon Comprehend Medical ポリシーで AWS の条件キーを使用できます。すべてのキーのリストについては、IAM ユーザーガイドの「[利用可能なキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)」を参照してください。**

**注記**  
アクションを指定するには、`comprehendmedical:` プレフィックスに続けて API オペレーション名を使用します (例: `comprehendmedical:DetectEntities`)。

スクロールバーを使用して、テーブルの残りの部分を確認します。


**Amazon Comprehend Medical API およびアクションに必要なアクセス許可**  

| Amazon Comprehend Medical API オペレーション | 必要なアクセス許可 (API アクション) | リソース | 
| --- | --- | --- | 
| DescribeEntitiesDetectionV2Job | comprehendmedical:DescribeEntitiesDetectionV2Job | \$1 | 
| DescribePHIDetectionJob | comprehendmedical:DescribePHIDetectionJob | \$1 | 
| DetectEntities | comprehendmedical:DetectEntities | \$1 | 
| DetectEntitiesV2 | comprehendmedical:DetectEntitiesV2 | \$1 | 
| DetectPHI | comprehendmedical:DetectPHI | \$1 | 
| ListEntitiesDetectionV2Jobs | comprehendmedical:ListEntitiesDetectionV2Jobs | \$1 | 
| ListPHIDetectionJobs | comprehendmedical:ListPHIDetectionJobs | \$1 | 
| StartEntitiesDetectionV2Job | comprehendmedical:StartEntitiesDetectionV2Job | \$1 | 
| StartPHIDetectionJob | comprehendmedical:StartPHIDetectionJob | \$1 | 
| StopEntitiesDetectionV2Job | comprehendmedical:StopEntitiesDetectionV2Job | \$1 | 
| StopPHIDetectionJob | comprehendmedical:StopPHIDetectionJob | \$1 | 
| InferICD10CM | comprehendmedical:InferICD10CM | \$1 | 
| InferRxNorm | comprehendmedical:InferRxNorm | \$1 | 
| InferSNOMEDCT | comprehendmedical:InferSNOMEDCT | \$1 | 
| StartICD10CMInferenceJob | comprehendmedical:StartICD10CMInferenceJob | \$1 | 
| StartRxNormInferenceJob | comprehendmedical:StartRxNormInferenceJob | \$1 | 
| StartSNOMEDCTInferenceJob | comprehendmedical:StartSNOMEDCTInferenceJob | \$1 | 
| ListICD10CMInferenceJobs | comprehendmedical:ListICD10CMInferenceJobs | \$1 | 
| ListRxNormInferenceJobs | comprehendmedical:ListRxNormInferenceJobs | \$1 | 
| ListSNOMEDCTInferenceJobs | comprehendmedical:ListSNOMEDCTInferenceJobs | \$1 | 
| StopICD10CMInferenceJob | comprehendmedical:StopICD10CMInferenceJob | \$1 | 
| StopRxNormInferenceJob | comprehendmedical:StopRxNormInferenceJob | \$1 | 
| StopSNOMEDCTInferenceJob | comprehendmedical:StopSNOMEDCTInferenceJob | \$1 | 
| DescribeICD10CMInferenceJob | comprehendmedical:DescribeICD10CMInferenceJob | \$1 | 
| DescribeRxNormInferenceJob | comprehendmedical:DescribeRxNormInferenceJob | \$1 | 
| DescribeSNOMEDCTInferenceJob | comprehendmedical:DescribeSNOMEDCTInferenceJob | \$1 | 

# AWS Amazon Comprehend Medical の マネージドポリシー
<a name="security-iam-awsmanpol"></a>





 AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

 AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。









**Topics**
+ [AWS マネージドポリシー: ComprehendMedicalFullAccess](#security-iam-awsmanpol-ComprehendMedicalFullAccess)
+ [AWS マネージドポリシーに対する Amazon Comprehend Medical の更新](#security-iam-awsmanpol-updates)

## AWS マネージドポリシー: ComprehendMedicalFullAccess
<a name="security-iam-awsmanpol-ComprehendMedicalFullAccess"></a>





`ComprehendMedicalFullAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、すべての Amazon Comprehend Medical アクションに管理アクセス許可を付与します。



------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Action" : [
        "comprehendmedical:*"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
}
```

------





## AWS マネージドポリシーに対する Amazon Comprehend Medical の更新
<a name="security-iam-awsmanpol-updates"></a>



このサービスがこれらの変更の追跡を開始した以降の Amazon Comprehend Medical の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、「[ ドキュメン履歴ページ](comprehendmedical-releases.md)」ページで RSS フィードをサブスクライブしてください。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  Amazon Comprehend Medical が変更の追跡を開始  |  Amazon Comprehend Medical は、 AWS 管理ポリシーの変更の追跡を開始しました。  | 2018 年 11 月 27 日 | 

# を使用した Amazon Comprehend Medical API コールのログ記録 AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

Amazon Comprehend Medical は と統合されています AWS CloudTrail。CloudTrail は、Amazon Comprehend Medical 内からユーザー、ロール、または AWS のサービスによって実行されたアクションを記録するサービスです。CloudTrail は、Amazon Comprehend Medical のすべての API コールをイベントとしてキャプチャします。キャプチャされるコールには、Amazon Comprehend Medical コンソールからのコールと、Amazon Comprehend Medical API オペレーションへのコードコールが含まれます。証跡を作成する場合は、Amazon Comprehend Medical のイベントを含めた CloudTrail イベントの Amazon S3 バケットへの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの **[イベント履歴]** で最新のイベントを表示できます。CloudTrail によって収集された情報を使用して、以下のような多くのことを判断できます。
+ Amazon Comprehend Medical に対して行われたリクエスト
+ リクエストが行われた IP アドレス
+ リクエストを行ったユーザー
+ リクエストが行われた時間
+ その他の詳細



CloudTrail の詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)」を参照してください。

## CloudTrail での Amazon Comprehend Medical 情報
<a name="service-name-info-in-cloudtrail2"></a>

CloudTrail は、 AWS アカウントの作成時にアカウントで有効になります。Amazon Comprehend Medical でアクティビティが発生すると、そのアクティビティはイベント**履歴**の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。 AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)を参照してください。

Amazon Comprehend Medical のイベントなど、 AWS アカウントのイベントの継続的な記録については、証跡を作成します。追跡により、CloudTrail はログファイルを Simple Storage Service (Amazon S3) バケットに配信できます。**デフォルトでは、コンソールで作成した証跡がすべての AWS リージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集されたイベントデータをさらに分析して処理するように他の AWS サービスを設定できます。詳細については、次を参照してください: 
+ [証跡の作成のための概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートするサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [CloudTrail 用 Amazon SNS 通知の構成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [複数のリージョンから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)および[複数のアカウントから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

すべての Amazon Comprehend Medical アクションは、CloudTrail によってログに記録され、[Amazon Comprehend Medical API リファレンス](https://docs.aws.amazon.com/comprehend/latest/dg/API_Operations_AWS_Comprehend_Medical.html)に記載されています。例えば、`DetectEntitiesV2`、`DetectPHI`、`ListEntitiesDetectionV2Jobs` の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
+ リクエストがルートまたは AWS Identity and Access Management (IAM) ユーザー認証情報を使用して行われたかどうか。
+ リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
+ リクエストが別の AWS サービスによって行われたかどうか。

詳細については、「[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)」を参照してください。

## Amazon Comprehend Medical ログファイルエントリについて
<a name="understanding-service-name-entries2"></a>

「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail ログファイルには、1 つ以上のログエントリがあります。イベント は、任意の送信元からの単一の要求を表します。イベントには、日時やリクエストのパラメータなど、要求されたアクションに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

以下の例は、`DetectEntitiesV2` アクションを示す CloudTrail ログエントリです。

```
                {
        "eventVersion": "1.05",
        "userIdentity": {
            "type": "IAMUser",
            "principalId": "AIDACKCEVSQ6C2EXAMPLE",
            "arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
            "accountId": "123456789012",
            "accessKeyId": "ASIAXHKUFODNN8EXAMPLE",
            "sessionContext": {
                "sessionIssuer": {
                    "type": "Role",
                    "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                    "arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
                    "accountId": "123456789012",
                    "userName": "Mateo_Jackson"
                },
                "webIdFederationData": {},
                "attributes": {
                    "mfaAuthenticated": "false",
                    "creationDate": "2019-09-27T20:07:27Z"
                }
            }
        },
        "eventTime": "2019-09-27T20:10:26Z",
        "eventSource": "comprehendmedical.amazonaws.com",
        "eventName": "DetectEntitiesV2",
        "awsRegion": "us-east-1",
        "sourceIPAddress": "702.21.198.166",
        "userAgent": "aws-internal/3 aws-sdk-java/1.11.590 Linux/4.9.184-0.1.ac.235.83.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.212-b03 java/1.8.0_212 vendor/Oracle_Corporation",
        "requestParameters": null,
        "responseElements": null,
        "requestID": "8d85f2ec-EXAMPLE",
        "eventID": "ae9be9b1-EXAMPLE",
        "eventType": "AwsApiCall",
        "recipientAccountId": "123456789012"
    }
```

# Amazon Comprehend Medical のコンプライアンス検証
<a name="compliance-validation"></a>

サードパーティーの監査者は、複数のコンプライアンスプログラムの一環として Amazon Comprehend Medical のセキュリティと AWS コンプライアンスを評価します。このプログラムには、PCI、FedRAMP、HIPAA などがあります。を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact」](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)(AWS Artifact のレポートのダウンロード) を参照してください。



Amazon Comprehend Medical を使用する際のお客様のコンプライアンス責任は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。 は、コンプライアンスに役立つ以下のリソース AWS を提供します。
+ [セキュリティとコンプライアンスのクイックスタートガイド](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — これらのデプロイガイドでは、アーキテクチャ上の考慮事項について説明し、機密性とコンプライアンスに焦点を当てたベースライン環境を AWSにデプロイするためのステップを提供します。
+ [Architecting for HIPAA Security and Compliance ホワイトペーパー](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) – このホワイトペーパーでは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。
+ [AWS コンプライアンスリソース](https://aws.amazon.com/compliance/resources/) – このワークブックとガイドのコレクションは、お客様の業界や地域に適用される場合があります。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – この AWS サービスは、リソース設定が内部プラクティス、業界ガイドライン、および規制にどの程度準拠しているかを評価します。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – この AWS サービスは、 内のセキュリティ状態を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスへの準拠を確認するのに役立ちます。

特定のコンプライアンスプログラムの対象となる AWS サービスのリストについては、[「コンプライアンスプログラムによる AWS 対象範囲内のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。一般的な情報については、「[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。

# Amazon Comprehend Medical での耐障害性
<a name="resilience"></a>

 AWS グローバルインフラストラクチャは、 AWS リージョンとアベイラビリティーゾーンを中心に構築されています。 AWS リージョンは、低レイテンシー、高スループット、高度に冗長なネットワークで接続された、物理的に分離および分離された複数のアベイラビリティーゾーンを提供します。アベイラビリティーゾーンでは、アベイラビリティーゾーン間で中断せずに、自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、およびスケーラビリティが優れています。

 AWS リージョンとアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。

# Amazon Comprehend Medical でのインフラストラクチャセキュリティ
<a name="infrastructure-security"></a>

マネージドサービスである Amazon Comprehend Medical は、ホワイトペーパー[「Amazon Web Services: セキュリティプロセスの概要](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)」に記載されている AWS グローバルネットワークセキュリティ手順で保護されています。

ネットワーク経由で Amazon Comprehend Medical にアクセスするには、 AWS 公開された API コールを使用します。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。TLS1.2以降が推奨されています。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

さらに、 ( AWS Identity and Access Management IAM) プリンシパルに関連付けられたアクセスキー ID とシークレットアクセスキーを使用してリクエストに署名する必要があります。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。