データ暗号化 - Amazon Transcribe
保管中の暗号化転送中の暗号化キー管理AWS KMS暗号化コンテキスト

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データ暗号化

データ暗号化とは、転送中と保管中のデータをすることです。で管理Amazon S3されたキーを使用するか、転送中に標準の Transport Layer Security (TLS) KMS keysとともに保管することで、データを保護できます。

保管中の暗号化

Amazon Transcribeは、Amazon S3バケットに配置されたトランスクリプトのサーバー側の暗号化にデフォルトAmazon S3キー (SSE-S3) を使用します。

StartTranscriptionJob オペレーションを使用すると、独自の を指定KMS keyして、文字起こしジョブからの出力を暗号化できます。

Amazon Transcribeは、デフォルトキーで暗号化された Amazon EBSボリュームを使用します。

転送中の暗号化

Amazon Transcribeは、TLS 1.2 とAWS証明書を使用して、転送中のデータを暗号化します。ストリーミング文字起こしも対象になります。

キー管理

Amazon Transcribeは と連携してKMS keys、データの暗号化を強化します。を使用するとAmazon S3、文字起こしジョブの作成時に入力メディアを暗号化できます。との統合AWS KMSにより、StartTranscriptionJobリクエストからの出力を暗号化できます。

を指定しない場合KMS key、文字起こしジョブの出力はデフォルトAmazon S3キー (SSE-S3) で暗号化されます。

詳細についてはAWS KMS、「 AWS Key Management Serviceデベロッパーガイド」を参照してください。

文字起こしジョブの出力を暗号化するには、リクエストAWS アカウントを行っている KMS keyに を使用するか、別の KMS keyから を使用するかを選択できますAWS アカウント。

を指定しない場合KMS key、文字起こしジョブの出力はデフォルトAmazon S3キー (SSE-S3) で暗号化されます。

出力の暗号化を有効にする

  1. [出力データ] で、[暗号化] を選択します。

    有効な暗号化トグルと KMS keyID ドロップダウンメニューのスクリーンショット。

  2. KMS keyが現在使用している AWS アカウントからか、別の からかを選択しますAWS アカウント。現在の のキーを使用する場合はAWS アカウント、KMS keyID からキーを選択します。別の のキーを使用している場合はAWS アカウント、キーの ARN を入力する必要があります。別の のキーを使用するにはAWS アカウント、呼び出し元に のkms:Encryptアクセス許可が必要ですKMS key。詳細については、「キーポリシーの作成」を参照してください。

API で出力暗号化を使用するには、、StartCallAnalyticsJobStartMedicalTranscriptionJobまたは StartTranscriptionJobオペレーションの OutputEncryptionKMSKeyIdパラメータKMS keyを使用して を指定する必要があります。

現在のAWS アカウント にあるキーを使用する場合は、次の 4 つの方法のいずれかKMS keyで を指定できます。

  1. KMS keyID 自体を使用します。例えば、1234abcd-12ab-34cd-56ef-1234567890ab

  2. KMS keyID にエイリアスを使用します。例えば、alias/ExampleAlias

  3. KMS keyID に Amazon リソースネーム (ARN) を使用します。例えば、arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab

  4. エイリアスに ARN KMS keyを使用します。例えば、arn:aws:kms:region:account-ID:alias/ExampleAlias

現在の とは異なるAWS アカウント にあるキーを使用する場合はAWS アカウント、次の 2 つの方法のいずれかKMS keyで を指定できます。

  1. KMS keyID に ARN を使用します。例えば、arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab

  2. エイリアスに ARN KMS keyを使用します。例えば、arn:aws:kms:region:account-ID:alias/ExampleAlias

リクエストを行うエンティティには、指定した KMS key を使用するためのアクセス許可が必要です。

AWS KMS暗号化コンテキスト

AWS KMS暗号化コンテキストは、プレーンテキストの非シークレットキーと値のペアのマップです。このマップは、暗号化コンテキストペアと呼ばれる追加の認証済みデータを表し、データにセキュリティレイヤーを追加します。 では、お客様が指定したAmazon S3バケットへの文字起こし出力を暗号化するために対称暗号化キーAmazon Transcribeが必要です。詳細については、「AWS KMS の非対称キー」を参照してください

暗号化コンテキストペアを作成するときは、機密情報を含めないでください。暗号化コンテキストはシークレットではなく、CloudTrailログ内のプレーンテキストで表示されます (これを使用して暗号化オペレーションを識別および分類できます)。

暗号化コンテキストのキーと値には、アンダースコア (_)、ダッシュ (-)、スラッシュ (/\) 、コロン (:) などの特殊文字を含めることができます。

ヒント

暗号化コンテキストペアの値を暗号化されるデータに関連付けると便利です。必須ではありませんが、ファイル名、ヘッダー値、暗号化されていないデータベースフィールドなど、暗号化されたコンテンツに関連する機密性のないメタデータを使用することをお勧めします。

API による出力暗号化を使用するには、KMSEncryptionContext パラメータを StartTranscriptionJob オペレーションに設定します。出力暗号化オペレーションに暗号化コンテキストを提供するために、OutputEncryptionKMSKeyId パラメータは対称 KMS key ID を参照する必要があります。

IAMポリシーでAWS KMS条件キーを使用して、暗号化オペレーションのリクエストで使用された暗号化コンテキストKMS keyに基づいて、対称暗号化へのアクセスを制御できます。 https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations暗号化コンテキストポリシーの例については、「AWS KMS暗号化コンテキストポリシー」を参照してください。

暗号化コンテキストの使用は任意ですが、推奨されています。詳細については、「暗号化コンテキスト」を参照してください。