Criptografia de dados - Amazon Transcribe
Criptografia em repousoCriptografia em trânsitoGerenciamento de chavesAWS KMSContexto de criptografia do

Criptografia de dados

A criptografia de dados refere-se à proteção de dados em trânsito e em repouso. Você pode proteger os dados usando chaves gerenciadas pelo Amazon S3 ou KMS keys em repouso, bem como o padrão Transport Layer Security (TLS) enquanto eles estiverem em trânsito.

Criptografia em repouso

O Amazon Transcribe usa a chave padrão do Amazon S3 (SSE-S3) para criptografia do lado do servidor das transcrições colocadas no bucket do Amazon S3.

Ao usar a operação StartTranscriptionJob, você pode especificar sua própria KMS key para criptografar a saída de um trabalho de transcrição.

O Amazon Transcribe usa um volume do Amazon EBS criptografado com a chave padrão.

Criptografia em trânsito

O Amazon Transcribe usa TLS 1.2 com certificados da AWS para criptografar dados em trânsito. Isso inclui transcrições de streaming.

Gerenciamento de chaves

O Amazon Transcribe trabalha com as KMS keys para fornecer criptografia aprimorada para os dados. Com o Amazon S3, você pode criptografar a mídia de entrada ao criar um trabalho de transcrição. A integração com oAWS KMS permite a criptografia da saída de uma solicitação StartTranscriptionJob.

Se você não especificar uma KMS key, a saída do trabalho de transcrição será criptografada com a chave do Amazon S3 padrão (SSE-S3).

Para obter mais informações, consulte AWS KMS ou o Guia do desenvolvedor do AWS Key Management Service.

Para criptografar a saída do trabalho de transcrição, você pode escolher entre usar uma KMS key para a Conta da AWS que está fazendo a solicitação ou uma KMS key de outra Conta da AWS.

Se você não especificar uma KMS key, a saída do trabalho de transcrição será criptografada com a chave do Amazon S3 padrão (SSE-S3).

Para habilitar a criptografia de saída:

  1. Em Output data (Dados de saída), escolha Encryption (Criptografia).

    Captura de tela do botão de criptografia ativado e do menu suspenso de ID de KMS key.

  2. Escolha se a KMS key é a Conta da AWS que você está usando no momento ou de uma Conta da AWS diferente. Se você quiser usar uma chave da Conta da AWS atual, escolha a chave pelo ID de KMS key. Se estiver usando uma chave de uma Conta da AWS diferente, será necessário inserir o ARN da chave. Para usar uma chave de uma Conta da AWS diferente, o chamador deve ter permissões kms:Encrypt para a KMS key. Consulte Creating a key policy para obter mais informações.

Para usar a criptografia de saída com a API, você deve especificar sua KMS key usando o parâmetro OutputEncryptionKMSKeyId da operação StartCallAnalyticsJob, StartMedicalTranscriptionJob ou StartTranscriptionJob.

Se estiver usando uma chave localizada na Conta da AWS atual, você pode especificar sua KMS key de uma destas quatro maneiras:

  1. Use o ID da KMS key em si. Por exemplo, 1234abcd-12ab-34cd-56ef-1234567890ab.

  2. Use um alias para o ID da KMS key. Por exemplo, alias/ExampleAlias.

  3. Use o nome do recurso da Amazon (ARN) para o ID da KMS key. Por exemplo, arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  4. Use o ARN para o alias da KMS key. Por exemplo, arn:aws:kms:region:account-ID:alias/ExampleAlias.

Se estiver usando uma chave localizada em uma Conta da AWS diferente da Conta da AWS atual, você poderá especificar sua KMS key de duas maneiras:

  1. Use o ARN para o ID da KMS key. Por exemplo, arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  2. Use o ARN para o alias da KMS key. Por exemplo, arn:aws:kms:region:account-ID:alias/ExampleAlias.

Observe que a entidade que está fazendo a solicitação deve ter permissão para usar a KMS key especificada.

AWS KMSContexto de criptografia do

O contexto de criptografia do AWS KMS é um mapa de texto simples, pares de chave-valor não secretos. Esse mapa representa dados autenticados adicionais, conhecidos como pares de contexto de criptografia, que fornecem uma camada adicional de segurança para os dados. O Amazon Transcribe requer uma chave de criptografia simétrica para criptografar a saída da transcrição em um bucket do Amazon S3 especificado pelo cliente. Para saber mais, consulte Asymmetric keys in AWS KMS.

Ao criar pares de contexto de criptografia, não inclua informações confidenciais. O contexto de criptografia não é secreto. Ele é visível em texto simples nos logs do CloudTrail (para que você possa usá-lo para identificar e categorizar operações criptográficas).

O par de contexto de criptografia pode incluir caracteres especiais, como sublinhados (_), traços (-), barras (/, \) e dois-pontos (:).

dica

Pode ser útil relacionar os valores do par de contexto de criptografia aos dados que estão sendo criptografados. Embora não seja obrigatório, recomendamos que você use metadados não confidenciais relacionados ao conteúdo criptografado, como nomes de arquivos, valores de cabeçalho ou campos de banco de dados não criptografados.

Para usar a criptografia de saída com a API, defina o parâmetro KMSEncryptionContext na operação StartTranscriptionJob. Para fornecer contexto de criptografia para a operação de criptografia de saída, o parâmetro OutputEncryptionKMSKeyId deve fazer referência a um ID de KMS key simétrica.

É possível usar chaves de condição do AWS KMS com políticas do IAM para controlar o acesso a uma KMS key com criptografia simétrica com base no contexto de criptografia que foi usado na solicitação de uma operação criptográfica. Para obter um exemplo de política de contexto de criptografia, consulte Política de contexto de criptografia do AWS KMS.

O uso do contexto de criptografia é opcional, mas recomendado. Para obter mais informações, consulte Encryption context.