翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# でのデータ保護Amazon Transcribe
AWS[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/) は、Amazon Transcribe でのデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護するがあります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された [AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) のブログ記事を参照してください。
データを保護するため、「AWS アカウント」 認証情報を保護し、「AWS IAM アイデンティティセンター」 または 「AWS Identity and Access Management」 (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して 「AWS」 リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ AWS CloudTrail で API とユーザーアクティビティロギングを設定します。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「*AWS CloudTrail ユーザーガイド*」の「[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS のサービス 内のすべてのデフォルトセキュリティコントロールに加え、AWS 暗号化ソリューションを使用します。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API を使用して 「AWS」 にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報は、タグ、または**名前**フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK で Amazon Transcribe または他の AWS のサービス を使用する場合も同様です。タグ、または名前に使用される自由形式のテキストフィールドに入力されるデータは、請求または診断ログに使用される場合があります。外部サーバーへ URL を供給する場合は、そのサーバーへのリクエストを検証するために、認証情報を URL に含めないことを強くおすすめします。
## ネットワーク間トラフィックのプライバシー
Amazon Virtual Private Cloud の Amazon VPC (Amazon Transcribe) エンドポイントは、Amazon Transcribe のみへの接続を許可する VPC 内の論理エンティティです。Amazon VPC は リクエストを Amazon Transcribe にルーティングし、VPC に応答をルーティングします。詳細については、「[AWS PrivateLink の概念](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)」を参照してください。Amazon VPC での Amazon Transcribe エンドポイントの使用の詳細については、「[Amazon Transcribe およびインターフェイス VPC エンドポイント (AWS PrivateLink)](vulnerability-analysis-and-management.md#vpc-interface-endpoints)」を参照してください。
# データ暗号化
データ暗号化とは、転送中と保管中のデータをすることです。で管理Amazon S3されたキーを使用するか、転送中に標準の Transport Layer Security (TLS) KMS keysとともに保管することで、データを保護できます。
## 保管中の暗号化
Amazon Transcribeは、Amazon S3バケットに配置されたトランスクリプトのサーバー側の暗号化にデフォルトAmazon S3キー (SSE-S3) を使用します。
[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html) オペレーションを使用すると、独自の を指定KMS keyして、文字起こしジョブからの出力を暗号化できます。
Amazon Transcribeは、デフォルトキーで暗号化された Amazon EBSボリュームを使用します。
## 転送中の暗号化
Amazon Transcribeは、TLS 1.2 とAWS証明書を使用して、転送中のデータを暗号化します。ストリーミング文字起こしも対象になります。
## キー管理
Amazon Transcribeは と連携してKMS keys、データの暗号化を強化します。を使用するとAmazon S3、文字起こしジョブの作成時に入力メディアを暗号化できます。との統合AWS KMSにより、[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html)リクエストからの出力を暗号化できます。
を指定しない場合KMS key、文字起こしジョブの出力はデフォルトAmazon S3キー (SSE-S3) で暗号化されます。
詳細についてはAWS KMS、「 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)」を参照してください。
### を使用したキー管理AWS マネジメントコンソール
文字起こしジョブの出力を暗号化するには、リクエストAWS アカウントを行っている KMS keyに を使用するか、別の KMS keyから を使用するかを選択できますAWS アカウント。
を指定しない場合KMS key、文字起こしジョブの出力はデフォルトAmazon S3キー (SSE-S3) で暗号化されます。
**出力の暗号化を有効にする**
1. [**出力データ**] で、[**暗号化**] を選択します。
![\[有効な暗号化トグルと KMS keyID ドロップダウンメニューのスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/transcribe/latest/dg/images/output-encryption.png)
1. KMS keyが現在使用している AWS アカウントからか、別の からかを選択しますAWS アカウント。現在の のキーを使用する場合はAWS アカウント、**KMS keyID** からキーを選択します。別の のキーを使用している場合はAWS アカウント、キーの ARN を入力する必要があります。別の のキーを使用するにはAWS アカウント、呼び出し元に の`kms:Encrypt`アクセス許可が必要ですKMS key。詳細については、「[キーポリシーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html)」を参照してください。
### API を使用したキーの管理
API で出力暗号化を使用するには、、[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartCallAnalyticsJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartCallAnalyticsJob.html)、[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartMedicalTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartMedicalTranscriptionJob.html)または [https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html)オペレーションの `OutputEncryptionKMSKeyId`パラメータKMS keyを使用して を指定する必要があります。
**現在の**AWS アカウント にあるキーを使用する場合は、次の 4 つの方法のいずれかKMS keyで を指定できます。
1. KMS keyID 自体を使用します。例えば、`1234abcd-12ab-34cd-56ef-1234567890ab`。
1. KMS keyID にエイリアスを使用します。例えば、`alias/ExampleAlias`。
1. KMS keyID に Amazon リソースネーム (ARN) を使用します。例えば、`arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab`。
1. エイリアスに ARN KMS keyを使用します。例えば、`arn:aws:kms:region:account-ID:alias/ExampleAlias`。
現在の **とは異なる**AWS アカウント にあるキーを使用する場合はAWS アカウント、次の 2 つの方法のいずれかKMS keyで を指定できます。
1. KMS keyID に ARN を使用します。例えば、`arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab`。
1. エイリアスに ARN KMS keyを使用します。例えば、`arn:aws:kms:region:account-ID:alias/ExampleAlias`。
リクエストを行うエンティティには、指定した KMS key を使用するためのアクセス許可が必要です。
## AWS KMS暗号化コンテキスト
AWS KMS暗号化コンテキストは、プレーンテキストの非シークレットキーと値のペアのマップです。このマップは、暗号化コンテキストペアと呼ばれる追加の認証済みデータを表し、データにセキュリティレイヤーを追加します。 では、お客様が指定したAmazon S3バケットへの文字起こし出力を暗号化するために対称暗号化キーAmazon Transcribeが必要です。[詳細については、「AWS KMS の非対称キー」を参照してください](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html)。
暗号化コンテキストペアを作成するときは、機密情報を含め**ない**でください。暗号化コンテキストはシークレットではなく、CloudTrailログ内のプレーンテキストで表示されます (これを使用して暗号化オペレーションを識別および分類できます)。
暗号化コンテキストのキーと値には、アンダースコア (`_`)、ダッシュ (`-`)、スラッシュ (`/`、`\`) 、コロン (`:`) などの特殊文字を含めることができます。
**ヒント**
暗号化コンテキストペアの値を暗号化されるデータに関連付けると便利です。必須ではありませんが、ファイル名、ヘッダー値、暗号化されていないデータベースフィールドなど、暗号化されたコンテンツに関連する機密性のないメタデータを使用することをお勧めします。
API による出力暗号化を使用するには、`KMSEncryptionContext` パラメータを [https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html) オペレーションに設定します。出力暗号化オペレーションに暗号化コンテキストを提供するために、`OutputEncryptionKMSKeyId` パラメータは対称 KMS key ID を参照する必要があります。
IAMポリシーで[AWS KMS条件キー](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms)を使用して、暗号化オペレーションのリクエストで使用された暗号化コンテキストKMS keyに基づいて、対称暗号化へのアクセスを制御できます。 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations)暗号化コンテキストポリシーの例については、「[AWS KMS 暗号化コンテキストポリシー](security_iam_id-based-policy-examples.md#kms-context-policy)」を参照してください。
暗号化コンテキストの使用は任意ですが、推奨されています。詳細については、「[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)」を参照してください。
# サービス改善のためのデータ使用をオプトアウトする
デフォルトでは、Amazon Transcribe は処理した音声入力を保存および使用して、サービスを開発し、お客様のエクスペリエンスを継続的に改善します。AWS Organizations オプトアウトポリシーを使用することで、お客様のコンテンツが Amazon Transcribe の開発および改善のために使用されることを拒否することができます。オプトアウトの方法の詳細については、「[AI サービスのオプトアウトポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)」を参照してください。