As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no Amazon Comprehend Medical
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam ao Amazon Comprehend Medical, consulte [Serviços da AWS em escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/)
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Essa documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Amazon Comprehend Medical. Os tópicos a seguir mostram como configurar o Amazon Comprehend Medical para atender aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros serviços da AWS que ajudam você a monitorar e proteger seus recursos do Amazon Comprehend Medical.
**Topics**
+ [Proteção de dados no Amazon Comprehend Medical](data-protection.md)
+ [Identity and Access Management no Amazon Comprehend Medical](security-iam.md)
+ [Registro de chamadas da API Amazon Comprehend Medical usando AWS CloudTrail](logging-using-cloudtrail.md)
+ [Validação de conformidade do Amazon Comprehend Medical](compliance-validation.md)
+ [Resiliência no Amazon Comprehend Medical](resilience.md)
+ [Segurança de infraestrutura no Amazon Comprehend Medical](infrastructure-security.md)
# Proteção de dados no Amazon Comprehend Medical
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no Amazon Comprehend Medical. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Comprehend Medical ou Serviços da AWS outro usando o console, a API AWS CLI ou. AWS SDKs Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
# Identity and Access Management no Amazon Comprehend Medical
O acesso ao Comprehend Medical exige credenciais que a AWS possa usar para autenticar suas solicitações. Essas credenciais devem ter permissões para acessar as ações do Comprehend Medical. [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) pode ajudar a proteger seus recursos controlando quem pode acessá-los. As seções a seguir fornecem detalhes sobre como você pode usar o IAM com o Comprehend Medical.
+ [Autenticação](#auth-med)
+ [Controle de acesso](#access-control-med)
## Autenticação
Você deve fornecer ao usuário permissões para interagir com o Amazon Comprehend Medical. Para usuários que precisam de acesso total, use `ComprehendMedicalFullAccess`.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
Para usar as operações assíncronas do Amazon Comprehend Medical, você também precisa de um perfil de serviço.
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
Para saber mais sobre como especificar o Amazon Comprehend Medical como a entidade principal, consulte [Permissões baseadas em funções necessárias para operações em lote](security-iam-permissions.md#auth-role-permissions-med).
## Controle de acesso
Você precisa ter credenciais válidas para autenticar suas solicitações. As credenciais devem ter permissões para chamar uma ação do Amazon Comprehend Medical.
As seções a seguir descrevem como gerenciar permissões para o Amazon Comprehend Medical. Recomendamos que você leia a visão geral primeiro.
+ [Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Comprehend Medical](security-iam-accesscontrol.md)
+ [Usar políticas baseadas em identidade (políticas do IAM) para o Amazon Comprehend Medical](security-iam-permissions.md)
**Topics**
+ [Autenticação](#auth-med)
+ [Controle de acesso](#access-control-med)
+ [Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Comprehend Medical](security-iam-accesscontrol.md)
+ [Usar políticas baseadas em identidade (políticas do IAM) para o Amazon Comprehend Medical](security-iam-permissions.md)
+ [Permissões da API do Amazon Comprehend Medical: referência de ações, recursos e condições](security-iam-resources.md)
+ [AWS políticas gerenciadas para o Amazon Comprehend Medical](security-iam-awsmanpol.md)
# Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Comprehend Medical
As políticas de permissões regem o acesso a uma ação. Um administrador da conta anexa políticas de permissões às identidades do IAM para gerenciar o acesso às ações. As identidades do IAM incluem usuários, grupos e funções.
**nota**
Um *administrador da conta* (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
Ao conceder permissões, você decide quem e o que as receberá.
**Topics**
+ [Gerenciar o acesso a ações](#access-control-manage-access-intro-med)
+ [Especificar elementos da política: ações, efeitos e entidades principais](#access-control-specify-comprehend-actions-med)
+ [Especificar condições em uma política](#specifying-conditions-med)
## Gerenciar o acesso a ações
Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções de políticas de permissões.
**nota**
Esta seção explica o IAM no contexto do Amazon Comprehend Medical. Não são fornecidas informações detalhadas sobre o serviço IAM. Para saber mais sobre o IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Guia do usuário do IAM*. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte [Referência de política do IAM da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
As políticas anexadas a uma identidade do IAM são políticas *baseadas em identidade*. As políticas anexadas a um recurso são chamadas de políticas *baseadas em recursos*. O Amazon Comprehend Medical oferece suporte apenas a políticas baseadas em identidade.
### Políticas baseadas em identidade (políticas do IAM)
É possível anexar políticas a identidades do IAM. Veja dois exemplos a seguir.
+ **Anexe uma política de permissões a um usuário ou grupo na sua conta**. Para permitir que um usuário ou um grupo de usuários chame uma ação do Amazon Comprehend Medical, anexe uma política de permissões a um usuário. Anexe uma política a um grupo que contém o usuário.
+ **Anexe uma política de permissões a uma função para conceder permissões entre contas**. Para conceder permissões entre contas, anexe uma política baseada em identidade a um perfil do IAM. Por exemplo, o administrador na conta A pode criar uma função para conceder permissões entre contas a outra conta. Neste exemplo, chame-a de Conta B, que também pode ser um serviço da AWS.
1. Um administrador da Conta A cria um perfil do IAM e anexa uma política à função que concede permissões para o uso de recursos na Conta A.
1. O administrador da conta A associa uma política de confiança à função. A política identifica a conta B como a entidade principal que pode assumir a função.
1. O administrador da Conta B poderá então delegar permissões para assumir a função para todos os usuários na Conta B. Isso permitirá que os usuários da Conta B criem ou acessem recursos da Conta A. Se você quiser conceder a um serviço da AWS permissões para assumir a função, a entidade principal na política de confiança também poderá ser a entidade principal do serviço da AWS.
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*.
Para obter mais informações sobre o uso de políticas baseadas em identidade com o Amazon Comprehend Medical, consulte [Usar políticas baseadas em identidade (políticas do IAM) para o Amazon Comprehend Medical](security-iam-permissions.md). Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Outros serviços, como AWS Lambda, oferecem suporte a políticas de permissões baseadas em recursos. Por exemplo: você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket. O Amazon Comprehend Medical não oferece suporte a políticas baseadas em recursos.
## Especificar elementos da política: ações, efeitos e entidades principais
O Amazon Comprehend Medical define um conjunto de operações da API. Para conceder permissões para essas operações de API, o Amazon Comprehend Medical define um conjunto de ações que você pode especificar em uma política.
Os quatro itens aqui são os elementos de política mais básicos.
+ **Recurso**: em uma política, você usa um nome do recurso da Amazon (ARN) para identificar o recurso a que a política se aplica. Para o Amazon Comprehend Medical, o recurso é sempre `"*"`.
+ **Ação**: use palavras-chave de ação para identificar as operações que deseja permitir ou negar. Por exemplo, dependendo do efeito especificado, `comprehendmedical:DetectEntities` permite ou nega as permissões ao usuário para executar a operação `DetectEntities` do Amazon Comprehend Medical.
+ **Efeito**: especifique o efeito da ação que ocorre quando o usuário solicita a ação específica (permitir ou negar). Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar acesso explicitamente a um recurso. Você poderia fazer isso para garantir que um usuário não possa acessar o recurso, mesmo se uma política diferente conceder o acesso.
+ **Entidade principal**: em políticas baseadas em identidade, o usuário ao qual a política é anexada é a entidade principal implícita.
Para saber mais sobre a sintaxe e as descrições da política do IAM, consulte a [Referência da política do IAM da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
Para obter uma tabela que mostra todas as ações de API do Amazon Comprehend Medical, consulte [Permissões da API do Amazon Comprehend Medical: referência de ações, recursos e condições](security-iam-resources.md).
## Especificar condições em uma política
Ao conceder permissões, você usa a linguagem da política do IAM para especificar as condições sob as quais uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) no *Guia do usuário do IAM*.
A AWS fornece um conjunto de chaves de condição predefinidas para todos os serviços da AWS que oferecem suporte ao IAM para controle de acesso. Por exemplo, você pode usar a chave de condição `aws:userid` para exigir um ID da AWS específico ao solicitar uma ação. Para obter mais informações e uma lista completa das chaves da AWS, consulte [Chaves disponíveis para condições](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*.
O Amazon Comprehend Medical não fornece nenhuma chave de condição adicional.
# Usar políticas baseadas em identidade (políticas do IAM) para o Amazon Comprehend Medical
Este tópico mostra exemplos de políticas com base em identidade. Os exemplos descrevem como uma conta pode associar políticas de permissões a identidades do IAM. Isso permite que usuários, grupos e funções realizem ações do Amazon Comprehend Medical.
**Importante**
Para entender as permissões, recomendamos [Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Comprehend Medical](security-iam-accesscontrol.md).
Esse exemplo de política é necessário para usar as ações de análise de documentos do Amazon Comprehend Medical.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2",
"comprehendmedical:DetectPHI",
"comprehendmedical:StartEntitiesDetectionV2Job",
"comprehendmedical:ListEntitiesDetectionV2Jobs",
"comprehendmedical:DescribeEntitiesDetectionV2Job",
"comprehendmedical:StopEntitiesDetectionV2Job",
"comprehendmedical:StartPHIDetectionJob",
"comprehendmedical:ListPHIDetectionJobs",
"comprehendmedical:DescribePHIDetectionJob",
"comprehendmedical:StopPHIDetectionJob",
"comprehendmedical:StartRxNormInferenceJob",
"comprehendmedical:ListRxNormInferenceJobs",
"comprehendmedical:DescribeRxNormInferenceJob",
"comprehendmedical:StopRxNormInferenceJob",
"comprehendmedical:StartICD10CMInferenceJob",
"comprehendmedical:ListICD10CMInferenceJobs",
"comprehendmedical:DescribeICD10CMInferenceJob",
"comprehendmedical:StopICD10CMInferenceJob",
"comprehendmedical:StartSNOMEDCTInferenceJob",
"comprehendmedical:ListSNOMEDCTInferenceJobs",
"comprehendmedical:DescribeSNOMEDCTInferenceJob",
"comprehendmedical:StopSNOMEDCTInferenceJob",
"comprehendmedical:InferRxNorm",
"comprehendmedical:InferICD10CM",
"comprehendmedical:InferSNOMEDCT"
],
"Resource": "*"
}
]
}
```
------
A política tem uma instrução que concede permissão para usar as ações `DetectEntities` e `DetectPHI`.
A política não especifica o elemento `Principal`, porque não se especifica o principal que obtém as permissões em uma política baseada em identidade. Quando você anexar uma política a um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política a um perfil do IAM, a entidade principal identificada na política de confiança do perfil obtém a permissão.
Para ver todas as ações da API Amazon Comprehend Medical e os recursos aos quais elas se aplicam, consulte [Permissões da API do Amazon Comprehend Medical: referência de ações, recursos e condições](security-iam-resources.md).
## Permissões necessárias para usar o console do Amazon Comprehend Medical
A tabela de referência de permissões lista as operações de API do Amazon Comprehend Medical e mostra as permissões necessárias para cada operação. Para obter mais informações sobre as permissões da API do Amazon Comprehend Medical, consulte [Permissões da API do Amazon Comprehend Medical: referência de ações, recursos e condições](security-iam-resources.md).
Para usar o console do Amazon Comprehend Medical, é necessário conceder permissões para as ações exibidas na política a seguir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
O console do Amazon Comprehend Medical precisa dessas permissões pelos seguintes motivos:
+ Permissões do `iam` para listar os perfis do IAM disponíveis para sua conta.
+ Permissões do `s3` para acessar buckets e objetos do Amazon S3 que contêm os dados.
Ao criar um trabalho em lote assíncrono usando o console, você também pode criar um perfil do IAM para seu trabalho. Para criar um perfil do IAM usando o console, os usuários devem receber as permissões adicionais mostradas aqui para criar funções e políticas do IAM e anexar políticas às funções.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
O console do Amazon Comprehend Medical precisa dessas permissões para criar funções e políticas e anexar funções e políticas. A ação `iam:PassRole` permite que o console passe a função para o Amazon Comprehend Medical.
## Políticas gerenciadas (predefinidas) pela AWS para o Amazon Comprehend Medical
A AWS resolve muitos casos de uso comuns fornecendo políticas do IAM autônomas criadas e administradas pela AWS. Essas políticas gerenciadas pela AWS concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
A seguinte política gerenciada pela AWS, que você pode anexar a usuários em sua conta, é específica do Amazon Comprehend Medical.
+ **ComprehendMedicalFullAccess**— Concede acesso total aos recursos do Amazon Comprehend Medical. Inclui permissão para listar e obter perfis do IAM.
Você deve aplicar a seguinte política adicional a qualquer usuário que utilize o Amazon Comprehend Medical:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
É possível analisar as políticas de permissões gerenciadas fazendo login no console do IAM e pesquisando políticas específicas.
Essas políticas funcionam quando você está usando a AWS SDKs ou a AWS CLI.
Você também pode criar as próprias políticas do IAM personalizadas para conceder permissões para ações e recursos do Amazon Comprehend Medical. É possível anexar essas políticas personalizadas aos usuários ou grupos do IAM que necessitam delas.
## Permissões baseadas em funções necessárias para operações em lote
Para usar as operações assíncronas do Amazon Comprehend Medical, conceda ao Amazon Comprehend Medical acesso ao bucket do Amazon S3 que contém sua coleção de documentos. Para isso, crie uma função de acesso a dados em sua conta para confiar na entidade principal de serviço do Amazon Comprehend Medical. Para obter mais informações sobre como criar uma função, consulte [Criar uma função para delegar permissões a um serviço da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do AWS Identity and Access Management*.
Veja a seguir a política de confiança da função.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehendmedical.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Depois de criar a função, crie uma política de acesso para ela. A política deve conceder ao Amazon S3 as permissões `GetObject` e `ListBucket` ao bucket do Amazon S3 que contém seus dados de entrada. Ela também concede permissões a `PutObject` do Amazon S3 ao seu bucket de dados de saída do Amazon S3.
O exemplo de política de acesso a seguir contém essas permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::input bucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::input bucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::output bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
## Exemplos de política gerenciada pelo cliente
Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do Amazon Comprehend Medical. Essas políticas funcionam quando você está usando a AWS SDKs ou a AWS CLI. Ao usar o console, você deve conceder permissões a todo o Amazon Comprehend Medical. APIs Isso é discutido em [Permissões necessárias para usar o console do Amazon Comprehend Medical](#auth-console-permissions-med).
**nota**
Todos os exemplos usam a região us-east-2 e contêm uma conta fictícia. IDs
**Exemplos**
### Exemplo 1: permitir todas as ações do Amazon Comprehend Medical
Depois de se inscrever AWS, você cria um administrador para gerenciar sua conta, incluindo a criação de usuários e o gerenciamento de suas permissões.
Você pode escolher criar um usuário que tenha permissões para todas as ações do Amazon Comprehend. Pense nesse usuário como um administrador específico do serviço para trabalhar com o Amazon Comprehend. Você pode anexar a política de permissões a seguir para este usuário.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAllComprehendMedicalActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:*"],
"Resource": "*"
}
]
}
```
------
### Exemplo 2: Permitir somente DetectEntities ações
A política de permissões a seguir concede permissões ao usuário para detectar entidades no Amazon Comprehend Medical, mas não para detectar operações de PHI.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectEntityActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2"
],
"Resource": "*"
}
]
}
```
------
# Permissões da API do Amazon Comprehend Medical: referência de ações, recursos e condições
Use a tabela a seguir como referência ao configurar o [Controle de acesso](security-iam.md#access-control-med) e escrever uma política de permissões que você possa anexar a um usuário. A lista inclui cada operação da API do Amazon Comprehend Medical, a ação correspondente à qual você pode conceder permissões para realizar a ação e o recurso da AWS ao qual pode conceder as permissões. Você especifica as ações no campo `Action` da política e o valor do recurso no campo `Resource` da política.
Para expressar condições, você pode usar as chaves de condição em toda a AWS nas suas políticas do Amazon Comprehend Medical. Para obter uma lista completa das chaves, consulte [Chaves disponíveis](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*.
**nota**
Para especificar uma ação, use o prefixo `comprehendmedical:` seguido do nome da operação da API, por exemplo, `comprehendmedical:DetectEntities`.
Use as barras de rolagem para ver o restante da tabela.
**API Amazon Comprehend Medical e permissões necessárias para ações**
| Operações da API do Amazon Comprehend Medical | Permissões obrigatórias (ações de API): | Recursos |
| --- | --- | --- |
| DescribeEntitiesDetectionTrabalho V2 | comprehendmedical:DescribeEntitiesDetectionV2Job | \$1 |
| Descreva PHIDetection Job | comprehendmedical:DescribePHIDetectionJob | \$1 |
| DetectEntities | comprehendmedical:DetectEntities | \$1 |
| DetectEntitiesV2 | comprehendmedical:DetectEntitiesV2 | \$1 |
| DetectPHI | comprehendmedical:DetectPHI | \$1 |
| ListEntitiesDetectionEmpregos V2 | comprehendmedical:ListEntitiesDetectionV2Jobs | \$1 |
| Listar PHIDetection trabalhos | comprehendmedical:ListPHIDetectionJobs | \$1 |
| StartEntitiesDetectionTrabalho V2 | comprehendmedical:StartEntitiesDetectionV2Job | \$1 |
| Start PHIDetection Job | comprehendmedical:StartPHIDetectionJob | \$1 |
| StopEntitiesDetectionTrabalho V2 | comprehendmedical:StopEntitiesDetectionV2Job | \$1 |
| Stop PHIDetection Job | comprehendmedical:StopPHIDetectionJob | \$1 |
| Inferir CM ICD10 | comprehendmedical:InferICD10CM | \$1 |
| InferRxNorm | comprehendmedical:InferRxNorm | \$1 |
| InferSNOMEDCT | comprehendmedical:InferSNOMEDCT | \$1 |
| Start ICD10 CMInference Job | comprehendmedical:StartICD10CMInferenceJob | \$1 |
| StartRxNormInferenceJob | comprehendmedical:StartRxNormInferenceJob | \$1 |
| Start SNOMEDCTInference Job | comprehendmedical:StartSNOMEDCTInferenceJob | \$1 |
| Listar ICD10 CMInference trabalhos | comprehendmedical:ListICD10CMInferenceJobs | \$1 |
| ListRxNormInferenceJobs | comprehendmedical:ListRxNormInferenceJobs | \$1 |
| Listar SNOMEDCTInference trabalhos | comprehendmedical:ListSNOMEDCTInferenceJobs | \$1 |
| Stop ICD10 CMInference Job | comprehendmedical:StopICD10CMInferenceJob | \$1 |
| StopRxNormInferenceJob | comprehendmedical:StopRxNormInferenceJob | \$1 |
| Stop SNOMEDCTInference Job | comprehendmedical:StopSNOMEDCTInferenceJob | \$1 |
| Descreva ICD10 CMInference Job | comprehendmedical:DescribeICD10CMInferenceJob | \$1 |
| DescribeRxNormInferenceJob | comprehendmedical:DescribeRxNormInferenceJob | \$1 |
| Descreva SNOMEDCTInference Job | comprehendmedical:DescribeSNOMEDCTInferenceJob | \$1 |
# AWS políticas gerenciadas para o Amazon Comprehend Medical
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
**Topics**
+ [AWS política gerenciada: ComprehendMedicalFullAccess](#security-iam-awsmanpol-ComprehendMedicalFullAccess)
+ [Atualizações do Amazon Comprehend Medical para políticas gerenciadas AWS](#security-iam-awsmanpol-updates)
## AWS política gerenciada: ComprehendMedicalFullAccess
É possível anexar a política `ComprehendMedicalFullAccess` às suas identidades do IAM.
Essa política concede permissão administrativa para todas as ações do Amazon Comprehend Medical.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Action" : [
"comprehendmedical:*"
],
"Effect" : "Allow",
"Resource" : "*"
}
]
}
```
------
## Atualizações do Amazon Comprehend Medical para políticas gerenciadas AWS
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Comprehend Medical desde que esse serviço começou a monitorar essas mudanças. Para receber alertas automáticos sobre alterações realizadas nesta página, assine o feed RSS na [página de histórico do documento do ](comprehendmedical-releases.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| O Amazon Comprehend Medical começou a monitorar as mudanças | O Amazon Comprehend Medical começou a monitorar as mudanças em suas políticas gerenciadas. AWS | 27 de novembro de 2018 |
# Registro de chamadas da API Amazon Comprehend Medical usando AWS CloudTrail
O Amazon Comprehend Medical está integrado com o. AWS CloudTrail CloudTrail é um serviço que fornece um registro das ações realizadas por um usuário, uma função ou um AWS serviço dentro do Amazon Comprehend Medical. CloudTrail captura todas as chamadas de API para o Amazon Comprehend Medical como eventos. As chamadas capturadas incluem as chamadas do console do Amazon Comprehend Medical e as chamadas de código para as operações da API do Amazon Comprehend Medical. Se você criar uma trilha, poderá permitir a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para o Amazon Comprehend Medical. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar várias coisas, como:
+ A solicitação feita ao Amazon Comprehend Medical
+ O endereço IP do qual a solicitação foi feita.
+ Quem fez a solicitação.
+ Quando a solicitação foi feita
+ Outros detalhes
Para saber mais sobre isso CloudTrail, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informações do Amazon Comprehend Medical em CloudTrail
CloudTrail é ativado em sua AWS conta quando você cria a conta. **Quando a atividade ocorre no Amazon Comprehend Medical, essa atividade é registrada em um CloudTrail evento junto com outros eventos de AWS serviço no histórico de eventos.** Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para obter um registro contínuo dos eventos em sua AWS conta, incluindo eventos do Amazon Comprehend Medical, crie uma trilha. Uma *trilha* permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões da AWS. A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para saber mais, consulte:
+ [Visão Geral para Criar uma Trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Serviços e integrações compatíveis](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
[Todas as ações do Amazon Comprehend Medical são registradas CloudTrail e documentadas na Amazon Comprehend Medical API Reference.](https://docs.aws.amazon.com/comprehend/latest/dg/API_Operations_AWS_Comprehend_Medical.html) Por exemplo, chamadas para o `DetectEntitiesV2` `DetectPHI` e `ListEntitiesDetectionV2Jobs` as ações geram entradas nos arquivos de CloudTrail log.
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário root ou AWS Identity and Access Management (IAM).
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Noções básicas sobre entradas do arquivo de log do Amazon Comprehend Medical
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma solicitação única de qualquer fonte. O evento inclui informações sobre a ação solicitada, como data e hora ou parâmetros da solicitação. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `DetectEntitiesV2` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"accessKeyId": "ASIAXHKUFODNN8EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"userName": "Mateo_Jackson"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-09-27T20:07:27Z"
}
}
},
"eventTime": "2019-09-27T20:10:26Z",
"eventSource": "comprehendmedical.amazonaws.com",
"eventName": "DetectEntitiesV2",
"awsRegion": "us-east-1",
"sourceIPAddress": "702.21.198.166",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.590 Linux/4.9.184-0.1.ac.235.83.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.212-b03 java/1.8.0_212 vendor/Oracle_Corporation",
"requestParameters": null,
"responseElements": null,
"requestID": "8d85f2ec-EXAMPLE",
"eventID": "ae9be9b1-EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
# Validação de conformidade do Amazon Comprehend Medical
Auditores terceirizados avaliam a segurança e a conformidade do Amazon Comprehend Medical como parte de vários programas de conformidade. AWS Isso inclui PCI, FedRAMP, HIPAA e outros. Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Download de relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Sua responsabilidade de conformidade ao usar o Amazon Comprehend Medical é determinada pela confidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelas leis e regulamentações aplicáveis. AWS fornece os seguintes recursos para ajudar na conformidade:
+ [Guias de início rápido de segurança e conformidade](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – Esses guias de implantação discutem considerações sobre arquitetura e fornecem medidas para implantar ambientes de linha de base focados em segurança e conformidade na AWS.
+ Documento técnico [sobre arquitetura para segurança e conformidade com a HIPAA — Este whitepaper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) descreve como as empresas podem usar para criar aplicativos compatíveis com a HIPAA. AWS
+ [AWS Recursos de conformidade](https://aws.amazon.com/compliance/resources/) — Essa coleção de pastas de trabalho e guias pode ser aplicada ao seu setor e local.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Esse AWS serviço avalia se suas configurações de recursos estão em conformidade com as práticas internas, as diretrizes e os regulamentos do setor.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Esse AWS serviço fornece uma visão abrangente do seu estado de segurança interno, AWS que ajuda você a verificar sua conformidade com os padrões e as melhores práticas do setor de segurança.
Para obter uma lista de AWS serviços no escopo de programas de conformidade específicos, consulte [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/). Para obter informações gerais, consulte [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/).
# Resiliência no Amazon Comprehend Medical
A infraestrutura AWS global é construída em torno de AWS regiões e zonas de disponibilidade. AWS As regiões fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre AWS regiões e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Segurança de infraestrutura no Amazon Comprehend Medical
Como um serviço gerenciado, o Amazon Comprehend Medical é protegido pelos procedimentos AWS globais de segurança de rede descritos no whitepaper [Amazon Web Services: Visão geral dos processos de](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) segurança.
Para acessar o Amazon Comprehend Medical por meio da rede, você usa AWS chamadas de API publicadas. Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos usar o TLS 1.2 ou posterior. Os clientes também devem oferecer suporte a pacotes de criptografia com Perfect Forward Secrecy (PFS — Sigilo de encaminhamento perfeito), como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos, como o Java 7 e versões posteriores, oferece suporte a esses modos.
Além disso, as solicitações devem ser assinadas usando um ID de chave de acesso e uma chave de acesso secreta associada a um principal AWS Identity and Access Management (IAM). Ou você pode usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.