Criar uma chave gerenciada pelo cliente - Amazon Transcribe
Políticas de chave do AWS KMS para AWS HealthScribePermissões de política do IAM para funções de acesso

Criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o Console de gerenciamento da AWS ou as APIs do AWS KMS. Para criar uma chave simétrica gerenciada pelo cliente, siga as etapas em Creating symmetric customer managed key no Guia do desenvolvedor do AWS Key Management Service.

As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, você pode especificar uma política de chaves. Consulte mais informações em Managing access to customer managed keys no Guia do desenvolvedor do AWS Key Management Service.

Políticas de chave do AWS KMS para AWS HealthScribe

Se você estiver usando uma chave na mesma conta que a função do IAM especificada como DataAccessRole em sua solicitação StartMedicalScribeJob ou ResourceAccessRole em StartMedicalScribeStream, não precisará atualizar a política de chave. Para usar sua chave gerenciada pelo cliente em uma conta diferente como sua função DataAccessRole (para tarefas de transcrição) ou ResourceAccessRole (para streaming), você deve confiar na respectiva função na política de chave para as seguintes ações:

  • kms:Encrypt — permite criptografar usando a chave gerenciada pelo cliente

  • kms:Decrypt — permite descriptografar usando a chave gerenciada pelo cliente

  • kms:DescribeKey: fornece os detalhes da chave gerenciada pelo cliente para permitir que o AWS HealthScribe valide a chave.

Apresentamos a seguir um exemplo de política de chave que você pode usar para conceder à sua função ResourceAccessRole permissões entre contas para usar sua chave gerenciada pelo cliente para streaming do AWS HealthScribe. Para usar essa política em tarefas de transcrição, atualize o Principal para usar o ARN DataAccessRole e remova ou modifique o contexto de criptografia.

Permissões de política do IAM para funções de acesso

A política do IAM associada a DataAccessRole ou ResourceAccessRole deve conceder permissões para executar as ações do AWS KMS necessárias, independentemente de a chave e a função gerenciadas pelo cliente estarem na mesma conta ou em contas diferentes. Além disso, a política de confiança da função deve conceder permissão ao AWS HealthScribe para assumir a função.

O exemplo de política do IAM a seguir mostra como conceder permissões ResourceAccessRole para streaming do AWS HealthScribe. Para usar essa política em tarefas de transcrição, substitua transcribe.streaming.amazonaws.com por transcribe.amazonaws.com e remova ou modifique o contexto de criptografia.

Veja a seguir um exemplo de política de confiança para a função ResourceAccessRole. Para DataAccessRole, substitua transcribe.streaming.amazonaws.com por transcribe.amazonaws.com.

Para obter mais informações sobre como especificar permissões em uma política ou solucionar problemas de acesso a chaves, consulte o Guia do desenvolvedor do AWS Key Management Service.