本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Comprehend Medical 中的安全性
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性:
+ **云安全** — AWS 负责保护在 AWS 云中运行 AWS 服务的基础架构。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划合规计划合规计划合](https://aws.amazon.com/compliance/programs/)的一部分,第三方审计师定期测试和验证我们安全的有效性。要了解适用于 Amazon Comprehend Medical 的合规性计划,请参阅[按合规性计划提供的范围内 AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
本文档可帮助您了解在使用 Amazon Comprehend Medical 时如何应用分担责任模型。以下主题向您展示了如何配置 Amazon Comprehend Medical 以实现您的安全和合规目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 Amazon Comprehend Medical 资源。
**Topics**
+ [Amazon Comprehend Medical 中的数据保护](data-protection.md)
+ [Amazon Comprehend Medical 中的身份和访问管理](security-iam.md)
+ [使用记录亚马逊 Comprehend Medical API 调用 AWS CloudTrail](logging-using-cloudtrail.md)
+ [Amazon Comprehend Medical 的合规性验证](compliance-validation.md)
+ [Amazon Comprehend Medical 中的弹性](resilience.md)
+ [Amazon Comprehend Medical 中的基础设施安全性](infrastructure-security.md)
# Amazon Comprehend Medical 中的数据保护
分担责任模型 AWS [分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于 Amazon Comprehend Medical 中的数据保护。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括你使用控制台、API 或与 Comprehend Medical AWS 服务 或其他机构合作时。 AWS CLI AWS SDKs在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
# Amazon Comprehend Medical 中的身份和访问管理
访问 Comprehend Medical 时需要使用凭证,以便 AWS 用来验证您的请求。这些凭证必须具有访问Comprehend Medical操作的权限。[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 可以控制能够访问您的资源的用户,从而保护这些资源。以下部分详细信息说明了如何在 Comprehend Medical 中使用 IAM。
+ [身份验证](#auth-med)
+ [访问控制](#access-control-med)
## 身份验证
您必须向用户授予与 Amazon Comprehend Medical 互动的权限。对于需要完全访问权限的用户,请使用 `ComprehendMedicalFullAccess`。
要提供访问权限,请为您的用户、组或角色添加权限:
+ 中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
要使用 Amazon Comprehend Medical 的异步操作,您还需要一个服务角色。
服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
要详细了解如何将 Amazon Comprehend Medical 指定为主体服务,请参阅[批量操作所需的基于角色的权限](security-iam-permissions.md#auth-role-permissions-med)。
## 访问控制
您必须通过有效的凭证对您的请求进行身份验证。这些凭证必须具有调用 Amazon Comprehend Medical 操作的权限。
以下部分介绍了如何管理 Amazon Comprehend Medical 的权限。我们建议您先阅读概述。
+ [管理 Amazon Comprehend Medical 资源的访问权限的概述](security-iam-accesscontrol.md)
+ [将基于身份的策略(IAM 策略)用于 Amazon Comprehend Medical](security-iam-permissions.md)
**Topics**
+ [身份验证](#auth-med)
+ [访问控制](#access-control-med)
+ [管理 Amazon Comprehend Medical 资源的访问权限的概述](security-iam-accesscontrol.md)
+ [将基于身份的策略(IAM 策略)用于 Amazon Comprehend Medical](security-iam-permissions.md)
+ [Amazon Comprehend Medical API 权限:操作、资源和条件参考](security-iam-resources.md)
+ [AWS 亚马逊 Comprehend Medical 的托管政策](security-iam-awsmanpol.md)
# 管理 Amazon Comprehend Medical 资源的访问权限的概述
权限策略可以管理对某项操作的访问权限。账户管理员可以将权限策略附加到 IAM 身份,从而管理对操作的访问权限。IAM 身份包括用户、组和角色。
**注意**
*账户管理员*(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
在授予权限时,您可以决定谁和哪项操作可以获得权限。
**Topics**
+ [管理对操作的访问权限](#access-control-manage-access-intro-med)
+ [指定策略元素:操作、效果和主体](#access-control-specify-comprehend-actions-med)
+ [在策略中指定条件](#specifying-conditions-med)
## 管理对操作的访问权限
*权限*策略规定谁可以访问哪些内容。以下部分介绍了适用于权限策略的选项。
**注意**
本节介绍 Amazon Comprehend Medical 中的 IAM。这里不提供有关 IAM 服务的详细信息。有关 IAM 的更多信息,请参阅《IAM 用户指南》**中的[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM 策略语法和说明的信息,请参阅《IAM 用户指南》**中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
附加到 IAM 身份的策略是*基于身份*的策略。附加到资源的策略是*基于资源*的策略。Amazon Comprehend Medical 只支持基于身份的策略。
### 基于身份的策略(IAM 策略)
您可以向 IAM 身份附加策略。以下是两个示例。
+ **将权限策略附加到账户中的用户或组**。要允许某个用户或一组用户调用 Amazon Comprehend Medical 操作,请将权限策略附加到用户。请将策略附加到包含该用户的组。
+ **将权限策略附加到角色以便授予跨账户权限**。要授予跨账户权限,请将基于身份的权限策略附加到 IAM 角色。例如,账户 A 中的管理员可以创建一个角色,以便向另一账户授予跨账户权限。在本示例中,我们将其称为账户 B,它也可以是一项 AWS 服务。
1. 账户 A 管理员创建一个 IAM 角色,并向该角色附加一项策略,授权其访问账户 A 中的资源的权限。
1. 账户 A 管理员将信任策略附加到角色。该策略将账户 B 标识为可担任该角色的主体。
1. 之后,账户 B 管理员可以委派权限,指派账户 B 中的任何用户担任该角色。这样,账户 B 中的用户就可以在账户 A 中创建或访问资源。如果您需要向某项 AWS 服务授予权限以便担任该角色,则信任策略中的主体也可以是 AWS 服务主体。
有关使用 IAM 委托权限的更多信息,请参阅《IAM 用户指南》**中的[访问权限管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
有关将基于身份的策略与 Amazon Comprehend Medical 结合使用的更多信息,请参阅[将基于身份的策略(IAM 策略)用于 Amazon Comprehend Medical](security-iam-permissions.md)。有关用户、组、角色和权限的更多信息,请参阅《IAM 用户指南》[https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)中的*身份(用户、组和角色)*。
### 基于资源的策略
其他服务(例如) AWS Lambda支持基于资源的权限策略。例如,您可以将策略附加到 S3 存储桶以管理对该存储桶的访问权限。Amazon Comprehend Medical 不支持基于资源的策略。
## 指定策略元素:操作、效果和主体
Amazon Comprehend Medical 定义了一组 API 操作。为授予对这些 API 操作的权限,Amazon Comprehend Medical 定义了一组您可以在策略中指定的操作。
以下四个项目是最基本的策略元素。
+ **资源** – 在策略中,您可以使用 Amazon Resource Name (ARN) 来标识策略应用到的资源。对于 Amazon Comprehend Medical,资源永远是 `"*"`。
+ **操作** – 使用操作关键字来标识要允许或拒绝的操作。例如,根据指定的效果,`comprehendmedical:DetectEntities` 可以允许或拒绝执行 Amazon Comprehend Medical `DetectEntities` 操作的用户权限。
+ **效果** – 指定当用户请求特定操作时出现的效果(允许或拒绝)。如果没有显式授予(允许)对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问。您可以执行此操作,以确保用户无法访问资源,即使有其他策略授予了访问权限也是如此。
+ **主体** – 在基于身份的策略中,附加了策略的用户是隐式主体。
有关 IAM 策略语法和介绍的更多信息,请参阅 *IAM 用户指南*中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
有关显示所有 Amazon Comprehend Medical API 操作的表,请参阅 [Amazon Comprehend Medical API 权限:操作、资源和条件参考](security-iam-resources.md)。
## 在策略中指定条件
授予权限时,您可以使用 IAM 策略语言指定策略生效的条件。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅《IAM 用户指南》**中的[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。
AWS 为支持通过 IAM 进行访问控制的所有 AWS 服务提供了一组预定义条件键。例如,您可以使用 `aws:userid` 条件键要求用户在请求某项操作时提供特定的 AWS ID。有关更多信息和 AWS 键的完整列表,请参阅 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)中的*可用条件键*。
Amazon Comprehend Medical 不提供任何额外的条件键。
# 将基于身份的策略(IAM 策略)用于 Amazon Comprehend Medical
本主题介绍基于身份的策略示例。示例展示了账户管理员如何向 IAM 身份附加权限策略。这让用户、组和角色能够执行 Amazon Comprehend Medical 操作。
**重要**
要了解权限,我们建议您查看[管理 Amazon Comprehend Medical 资源的访问权限的概述](security-iam-accesscontrol.md)。
以下示例策略是使用 Amazon Comprehend Medical 文档分析操作所需的策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2",
"comprehendmedical:DetectPHI",
"comprehendmedical:StartEntitiesDetectionV2Job",
"comprehendmedical:ListEntitiesDetectionV2Jobs",
"comprehendmedical:DescribeEntitiesDetectionV2Job",
"comprehendmedical:StopEntitiesDetectionV2Job",
"comprehendmedical:StartPHIDetectionJob",
"comprehendmedical:ListPHIDetectionJobs",
"comprehendmedical:DescribePHIDetectionJob",
"comprehendmedical:StopPHIDetectionJob",
"comprehendmedical:StartRxNormInferenceJob",
"comprehendmedical:ListRxNormInferenceJobs",
"comprehendmedical:DescribeRxNormInferenceJob",
"comprehendmedical:StopRxNormInferenceJob",
"comprehendmedical:StartICD10CMInferenceJob",
"comprehendmedical:ListICD10CMInferenceJobs",
"comprehendmedical:DescribeICD10CMInferenceJob",
"comprehendmedical:StopICD10CMInferenceJob",
"comprehendmedical:StartSNOMEDCTInferenceJob",
"comprehendmedical:ListSNOMEDCTInferenceJobs",
"comprehendmedical:DescribeSNOMEDCTInferenceJob",
"comprehendmedical:StopSNOMEDCTInferenceJob",
"comprehendmedical:InferRxNorm",
"comprehendmedical:InferICD10CM",
"comprehendmedical:InferSNOMEDCT"
],
"Resource": "*"
}
]
}
```
------
策略中的一个语句授予使用 `DetectEntities` 和 `DetectPHI` 操作的权限。
该策略不指定 `Principal` 元素,因为在基于身份的策略中,未指定获取权限的委托人。将策略附加到用户时,该用户是隐式主体。向 IAM 角色附加策略后,该角色的信任策略中标识的主体将获取权限。
要查看所有 Amazon Comprehend Medical API 操作及其适用的资源,请参阅 [Amazon Comprehend Medical API 权限:操作、资源和条件参考](security-iam-resources.md)。
## 使用 Amazon Comprehend Medical 控制台所需的权限
权限参考表列出了 Amazon Comprehend Medical API 操作,并显示了每个操作所需的权限。有关 Amazon Comprehend Medical API 权限的更多信息,请参阅 [Amazon Comprehend Medical API 权限:操作、资源和条件参考](security-iam-resources.md)。
要使用 Amazon Comprehend Medical 控制台,请为以下策略中所示的操作授予权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
Amazon Comprehend Medical 控制台出于以下原因需要以下权限:
+ `iam` 权限,用于列出您的账户的可用 IAM 角色。
+ `s3` 权限,用于访问包含数据的 Amazon S3 桶和对象。
使用控制台创建异步批处理作业时,您还可以为作业创建 IAM 角色。要使用控制台创建 IAM 角色,用户必须获得以下附加权限才能创建 IAM 角色和策略,并将策略附加到角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Amazon Comprehend Medical 控制台需要这些权限才能创建角色和策略并附加角色和策略。`iam:PassRole` 操作让控制台能够将角色传递给 Amazon Comprehend Medical。
## 适用于 Amazon Comprehend Medical 的 AWS 托管(预定义)策略
AWS 可以提供由 AWS 创建和管理的独立多种 IAM 策略,用来处理各种常见使用场景。这些 AWS 托管策略可以针对常见使用场景授予必要的权限,让您无需研究需要哪些权限。有关更多信息,请参阅**《IAM 用户指南》中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
可以附加到您账户中的用户的以下 AWS 托管式策略专门适用于 Amazon Comprehend Medical。
+ **ComprehendMedicalFullAccess**— 授予对亚马逊 Comprehend Medical 资源的完全访问权限。包括列出和获取 IAM 角色的权限。
您必须向使用 Amazon Comprehend Medical 的任何用户应用以下附加策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
您可以通过登录到 IAM 控制台并在该控制台中搜索特定策略来查看托管权限策略。
这些策略在您使用 AWS SDKs 或 AWS CLI 时起作用。
您还可以创建您自己的 IAM 策略,以便授予对 Amazon Comprehend Medical 操作和资源的权限。您可以将这些自定义策略附加到需要它们的 IAM 用户或组。
## 批量操作所需的基于角色的权限
要使用 Amazon Comprehend Medical 异步操作,请向 Amazon Comprehend Medical 授予对包含文档集合的 Amazon S3 桶的访问权限。为此,请在账户中创建一个数据访问角色,并使其信任 Amazon Comprehend Medical 服务主体。有关创建角色的更多信息,请参阅 *AWS Identity and Access Management 用户指南*中的[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
以下是该角色的信任策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehendmedical.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
创建角色后,请为该角色创建访问策略。该策略应该授予对包含您的输入数据的 Amazon S3 桶的 Amazon S3 `GetObject` 和 `ListBucket` 权限。它还会授予对您的 Amazon S3 输出数据桶的 Amazon S3 `PutObject` 权限。
以下示例访问策略包含这些权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::input bucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::input bucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::output bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
## 客户管理型策略示例
本节的用户策略示例介绍如何授予对各种 Amazon Comprehend Medical 操作的权限。这些策略在您使用 AWS SDKs 或 AWS CLI 时起作用。使用控制台时,必须向所有亚马逊 Comprehend Medical 授予权限。 APIs这在 [使用 Amazon Comprehend Medical 控制台所需的权限](#auth-console-permissions-med) 中进行了讨论。
**注意**
所有示例都使用 us-east-2 区域并包含虚构账户。 IDs
**示例**
### 示例 1:允许所有 Amazon Comprehend Medical 操作
注册后 AWS,您可以创建管理员来管理您的账户,包括创建用户和管理他们的权限。
您可以创建对所有 Amazon Comprehend 操作都具有权限的用户。您可以将该用户视为特定于服务的管理员,为使用 Amazon Comprehend 而设置。您可以将以下权限策略附加到该用户。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAllComprehendMedicalActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:*"],
"Resource": "*"
}
]
}
```
------
### 示例 2:仅允许 DetectEntities 操作
以下权限策略授予用户检测 Amazon Comprehend Medical 中的实体的权限,但不允许用户检测 PHI 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectEntityActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2"
],
"Resource": "*"
}
]
}
```
------
# Amazon Comprehend Medical API 权限:操作、资源和条件参考
在设置 [访问控制](security-iam.md#access-control-med) 和编写可以附加到用户的权限策略时,您可以参考下表。此列表包含每个 Amazon Comprehend Medical API 操作、您可以授予执行权限的对应操作和您可以授予权限的 AWS 资源。您可以在策略的 `Action` 字段中指定这些操作,并在策略的 `Resource` 字段中指定资源值。
要表达条件,您可以在 Amazon Comprehend Medical 策略中使用 AWS 条件键。有关键的完整列表,请参阅 *IAM 用户指南*中的[可用键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
**注意**
要指定操作,请在 API 操作名称之前使用 `comprehendmedical:` 前缀,例如 `comprehendmedical:DetectEntities`。
使用滚动条查看表的其余部分。
**Amazon Comprehend Medical API 和所需的操作权限**
| Amazon Comprehend Medical API 操作 | 所需权限(API 操作) | 资源 |
| --- | --- | --- |
| DescribeEntitiesDetectionV2Job | comprehendmedical:DescribeEntitiesDetectionV2Job | \$1 |
| 描述 PHIDetection Job | comprehendmedical:DescribePHIDetectionJob | \$1 |
| DetectEntities | comprehendmedical:DetectEntities | \$1 |
| DetectEntitiesV2 | comprehendmedical:DetectEntitiesV2 | \$1 |
| DetectPHI | comprehendmedical:DetectPHI | \$1 |
| ListEntitiesDetectionV2Jobs | comprehendmedical:ListEntitiesDetectionV2Jobs | \$1 |
| 列出PHIDetection职位 | comprehendmedical:ListPHIDetectionJobs | \$1 |
| StartEntitiesDetectionV2Job | comprehendmedical:StartEntitiesDetectionV2Job | \$1 |
| 开始 PHIDetection Job | comprehendmedical:StartPHIDetectionJob | \$1 |
| StopEntitiesDetectionV2Job | comprehendmedical:StopEntitiesDetectionV2Job | \$1 |
| Stop PHIDetection Job | comprehendmedical:StopPHIDetectionJob | \$1 |
| 推断 ICD10 CM | comprehendmedical:InferICD10CM | \$1 |
| InferRxNorm | comprehendmedical:InferRxNorm | \$1 |
| InferSNOMEDCT | comprehendmedical:InferSNOMEDCT | \$1 |
| 开始 ICD10 CMInference Job | comprehendmedical:StartICD10CMInferenceJob | \$1 |
| StartRxNormInferenceJob | comprehendmedical:StartRxNormInferenceJob | \$1 |
| 开始 SNOMEDCTInference Job | comprehendmedical:StartSNOMEDCTInferenceJob | \$1 |
| 列出ICD10CMInference职位 | comprehendmedical:ListICD10CMInferenceJobs | \$1 |
| ListRxNormInferenceJobs | comprehendmedical:ListRxNormInferenceJobs | \$1 |
| 列出SNOMEDCTInference职位 | comprehendmedical:ListSNOMEDCTInferenceJobs | \$1 |
| Stop ICD10 CMInference Job | comprehendmedical:StopICD10CMInferenceJob | \$1 |
| StopRxNormInferenceJob | comprehendmedical:StopRxNormInferenceJob | \$1 |
| Stop SNOMEDCTInference Job | comprehendmedical:StopSNOMEDCTInferenceJob | \$1 |
| 描述 ICD10 CMInference Job | comprehendmedical:DescribeICD10CMInferenceJob | \$1 |
| DescribeRxNormInferenceJob | comprehendmedical:DescribeRxNormInferenceJob | \$1 |
| 描述 SNOMEDCTInference Job | comprehendmedical:DescribeSNOMEDCTInferenceJob | \$1 |
# AWS 亚马逊 Comprehend Medical 的托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 托管策略: ComprehendMedicalFullAccess](#security-iam-awsmanpol-ComprehendMedicalFullAccess)
+ [亚马逊 Comprehend Medical 更新了托管政策 AWS](#security-iam-awsmanpol-updates)
## AWS 托管策略: ComprehendMedicalFullAccess
您可以将 `ComprehendMedicalFullAccess` 策略附加到 IAM 身份。
该政策向所有亚马逊 Comprehend Medical 操作授予管理权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Action" : [
"comprehendmedical:*"
],
"Effect" : "Allow",
"Resource" : "*"
}
]
}
```
------
## 亚马逊 Comprehend Medical 更新了托管政策 AWS
查看自 Amazon Comprehend Medical AWS 托管政策开始跟踪这些变更以来该服务更新的详细信息。有关此页面更改的自动提示,请订阅[ 文档历史记录页面](comprehendmedical-releases.md)上的 RSS 信息源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 亚马逊 Comprehend Medical 开始追踪变更 | Amazon Comprehend Medical 开始跟踪其托管政策的变更。 AWS | 2018 年 11 月 27 日 |
# 使用记录亚马逊 Comprehend Medical API 调用 AWS CloudTrail
亚马逊 Comprehend Medical 已与集成。 AWS CloudTrail CloudTrail 是一项服务,用于记录用户、角色或服务在 Amazon Comprehen AWS d Medical 内部采取的操作。 CloudTrail 将 Amazon Comprehend Medical 的所有 API 调用捕获为事件。记录的调用包括来自 Amazon Comprehend Medical 控制台的调用和对 Amazon Comprehend Medical API 操作的代码调用。如果您创建跟踪,则可以允许将 CloudTrail 事件持续传输到 Amazon S3 存储桶,包括亚马逊 Comprehend Medical 的事件。如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的 “事件**历史记录” 中查看最新的事件**。使用收集的信息 CloudTrail,您可以确定以下几点,例如:
+ 向 Amazon Comprehend Medical 发出的请求
+ 发出请求的 IP 地址
+ 谁发出了请求
+ 发出请求的时间
+ 其他详细信息
要了解更多信息 CloudTrail,请参阅《[AWS CloudTrail 用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
## 亚马逊 Comprehend Medical 信息在 CloudTrail
CloudTrail 在您创建 AWS 账户时已在您的账户上启用。**当 Amazon Comprehend Medical 中发生活动时,该活动会 AWS 与其他服务事件一起记录在 CloudTrail 事件历史记录中。**您可以在自己的 AWS 账户中查看、搜索和下载最近发生的事件。有关更多信息,请参阅[使用事件历史记录查看 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录您的 AWS 账户中的事件,包括亚马逊 Comprehend Medical 的事件,请创建跟踪。*跟踪*允许 CloudTrail将日志文件传输到 Amazon S3 存储桶。默认情况下,在控制台中创建跟踪记录时,此跟踪记录应用于所有 AWS 区域。跟踪记录 AWS 分区中所有区域的事件,并将日志文件传送到您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅下列内容:
+ [创建跟踪概述](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [配置 Amazon SNS 通知 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [接收来自多个区域的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收来自多个账户的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
[所有亚马逊 Comprehend Medical 操作均 CloudTrail 由亚马逊 Comprehend Medical API 参考记录并记录在案。](https://docs.aws.amazon.com/comprehend/latest/dg/API_Operations_AWS_Comprehend_Medical.html)例如,调用`DetectPHI`和`ListEntitiesDetectionV2Jobs`操作会在 CloudTrail 日志文件中生成条目。`DetectEntitiesV2`
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
+ 请求是使用根证书还是 AWS Identity and Access Management (IAM) 用户凭证发出。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 AWS 服务发出。
有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 了解 Amazon Comprehend Medical 日志文件条目
跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。事件表示来自任何源的单个请求。该事件包含有关所请求操作的信息,例如日期和时间或请求参数。 CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此它们不会按任何特定的顺序出现。
以下示例显示了演示该`DetectEntitiesV2`操作的 CloudTrail 日志条目。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"accessKeyId": "ASIAXHKUFODNN8EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"userName": "Mateo_Jackson"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-09-27T20:07:27Z"
}
}
},
"eventTime": "2019-09-27T20:10:26Z",
"eventSource": "comprehendmedical.amazonaws.com",
"eventName": "DetectEntitiesV2",
"awsRegion": "us-east-1",
"sourceIPAddress": "702.21.198.166",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.590 Linux/4.9.184-0.1.ac.235.83.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.212-b03 java/1.8.0_212 vendor/Oracle_Corporation",
"requestParameters": null,
"responseElements": null,
"requestID": "8d85f2ec-EXAMPLE",
"eventID": "ae9be9b1-EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
# Amazon Comprehend Medical 的合规性验证
作为多项合规计划的一部分,第三方审计师评估亚马逊Comprehend Medical的安全与合规性。 AWS 其中包括 PCI、FedRAMP、HIPAA 及其他计划。您可以使用下载第三方审计报告 AWS Artifact。有关更多信息,请参阅[在 AWS Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您在使用 Amazon Comprehend Medical 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。 AWS 提供了以下资源来帮助实现合规性:
+ [《安全性与合规性快速入门指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance)》– 这些部署指南讨论了架构注意事项,并提供了在 AWS上部署基于安全性和合规性的基准环境的步骤。
+ [HIPAA 安全与合规架构白皮书 — 本白皮书](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html)描述了公司如何使用来 AWS 创建符合 HIPAA 标准的应用程序。
+ [AWS 合规资源](https://aws.amazon.com/compliance/resources/) — 此工作簿和指南集可能适用于您所在的行业和所在地。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— 该 AWS 服务评估您的资源配置在多大程度上符合内部实践、行业指导方针和法规。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— 此 AWS 服务可全面了解您的安全状态 AWS ,帮助您检查是否符合安全行业标准和最佳实践。
有关特定合规计划范围内的 AWS 服务列表,请参阅[按合规计划划分的范围内的 AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。有关一般信息,请参阅 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)。
# Amazon Comprehend Medical 中的弹性
AWS 全球基础设施是围绕 AWS 区域和可用区构建的。 AWS 区域提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络相连。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础架构相比,可用区具有更高的可用性、容错性和可扩展性。
有关 AWS 区域和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# Amazon Comprehend Medical 中的基础设施安全性
作为一项托管服务,Amazon Comprehend Medical 受 AWS 亚马逊网络[服务:](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)安全流程概述白皮书中描述的全球网络安全程序的保护。
要通过网络访问 Amazon Comprehend Medical,您可以使用已发布的 API 调用。 AWS 客户端必须支持传输层安全性协议(TLS)1.0 或更高版本。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密(PFS)的密码套件,例如 Ephemeral Diffie-Hellman(DHE)或 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 AWS Identity and Access Management (IAM) 委托人关联的私有访问密钥对请求进行签名。或者,您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)(AWS STS)生成临时安全凭证来对请求进行签名。