カスタマーマネージドキーの作成 - Amazon Transcribe
AWS HealthScribe の AWS KMS キーポリシーアクセスロールの IAM ポリシーアクセス許可

カスタマーマネージドキーの作成

対称カスタマーマネージドキーを作成するには、AWS マネジメントコンソール または AWS KMS API を使用します。対称カスタマーマネージドキーを作成するには、「AWS Key Management Service デベロッパーガイド」の「対称カスタマーマネージドキーの作成」の手順に従います。

キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマーマネージドキーを作成する際に、キーポリシーを指定することができます。詳細については、「AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキーへのアクセスの管理」を参照してください。

AWS HealthScribe の AWS KMS キーポリシー

StartMedicalScribeJob リクエストまたは StartMedicalScribeStream リクエストの ResourceAccessRoleDataAccessRole として指定した IAM ロールと同じアカウントのキーを使用している場合は、キーポリシーを更新する必要はありません。DataAccessRole (文字起こしジョブ用) または ResourceAccessRole (ストリーミング用) として別のアカウントでカスタマーマネージドキーを使用するには、キーポリシーのそれぞれのロールを以下のアクションで信頼する必要があります。

  • kms:Encrypt — カスタマーマネージドキーを使用した暗号化を許可します。

  • kms:Decrypt — カスタマーマネージドキーを使用した復号を許可します。

  • kms:DescribeKey — カスタマーマネージドキーの詳細を提供し、AWS HealthScribe でキーを検証できるようにします。

以下は、AWS HealthScribe ストリーミングにカスタマーマネージドキーを使用するためのアクセス許可を ResourceAccessRole クロスアカウントに付与するために使用できるキーポリシーの例です。このポリシーを文字起こしジョブに使用するには、DataAccessRole ARN を使用するように Principal を更新し、暗号化コンテキストを削除または変更します。

アクセスロールの IAM ポリシーアクセス許可

DataAccessRole または ResourceAccessRole にアタッチされた IAM ポリシーは、カスタマーマネージドキーとロールが同じアカウントにあるか異なるアカウントにあるかに関係なく、必要な AWS KMS アクションを実行するためのアクセス許可を付与する必要があります。また、ロールの信頼ポリシーは、ロールを引き受ける権限を AWS HealthScribe に付与する必要があります。

次の IAM ポリシーの例は、AWS HealthScribe ストリーミングの ResourceAccessRole アクセス許可を付与する方法を示しています。このポリシーを文字起こしジョブに使用するには、transcribe.streaming.amazonaws.com.rproxy.govskope.catranscribe.amazonaws.com に置き換え、暗号化コンテキストを削除または変更します。

ResourceAccessRole の信頼ポリシーの例を次に示します。DataAccessRole の場合は、transcribe.streaming.amazonaws.com.rproxy.govskope.catranscribe.amazonaws.com に置き換えます。

ポリシーのアクセス権限の指定およびキーアクセスのトラブルシューティングの詳細については、「AWS Key Management Service デベロッパーガイド」を参照してください。