고객 관리형 키 생성

AWS Management 콘솔 또는 AWS KMS API를 사용하여 대칭형 고객 관리형 키를 만들 수 있습니다. 대칭 고객 관리형 키를 생성하려면 AWS Key Management Service 개발자 안내서의 대칭 고객 관리형 키 생성 단계를 따르세요.

키 정책은 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 만들 때 키 정책을 지정할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 고객 관리형 키에 대한 액세스 관리를 참조하세요.

AWS HealthScribe에 대한 AWS KMS 키 정책

StartMedicalScribeStream에서의 ResourceAccessRole, StartMedicalScribeJob에서의 DataAccessRole로 지정한 IAM 역할과 동일한 계정의 키를 사용하는 경우 키 정책을 업데이트할 필요가 없습니다. 다른 계정의 고객 관리형 키를 DataAccessRole(전사 작업의 경우) 또는 ResourceAccessRole(스트리밍의 경우)로 사용하려면 다음 작업에 대해 키 정책의 각 역할을 신뢰해야 합니다.

다음은 ResourceAccessRole 교차 계정에 AWS HealthScribe 스트리밍에 고객 관리형 키를 사용할 수 있는 권한을 부여하는 데 사용할 수 있는 예제 키 정책입니다. 전사 작업에 이 정책을 사용하려면 DataAccessRole ARN을 사용하도록 Principal를 업데이트하고 암호화 컨텍스트를 제거하거나 수정합니다.

액세스 역할에 대한 IAM 정책 권한

DataAccessRole 또는 ResourceAccessRole에 연결된 IAM 정책은 고객 관리형 키와 역할이 동일한 계정에 있는지 아니면 다른 계정에 있는지에 관계없이 필요한 AWS KMS 작업을 수행할 수 있는 권한을 부여해야 합니다. 또한 역할의 신뢰 정책은 AWS HealthScribe에 역할을 수임할 수 있는 권한을 부여해야 합니다.

다음 IAM 정책 예제에서는 AWS HealthScribe 스트리밍에 대한 ResourceAccessRole 권한을 부여하는 방법을 보여줍니다. 전사 작업에 이 정책을 사용하려면 transcribe.streaming.amazonaws.com를 transcribe.amazonaws.com로 바꾸고 암호화 컨텍스트를 제거하거나 수정합니다.

다음은 ResourceAccessRole에 대한 신뢰 정책의 예입니다. DataAccessRole의 경우 transcribe.streaming.amazonaws.com를 transcribe.amazonaws.com로 바꿉니다.

정책에서 권한 지정과 키 액세스 문제 해결에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요.