本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Transcribe 中的数据保护
<a name="data-protection"></a>

AWS [责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于 Amazon Transcribe 中的数据保护。如该模式中所述，AWS 负责保护运行所有 AWS 云 的全球基础架构。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息，请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息，请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。

出于数据保护目的，建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management（IAM）设置单个用户。这样，每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证（MFA）。
+ 使用 SSL/TLS 与 AWS 资源进行通信。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 使用 AWS CloudTrail 设置 API 和用户活动日记账记录。有关使用 CloudTrail 跟踪来捕获 AWS 活动的信息，请参阅《AWS CloudTrail 用户指南》**中的[使用 CloudTrail 跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
+ 使用高级托管安全服务（例如 Amazon Macie），它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-3 验证的加密模块，请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息，请参阅[《美国联邦信息处理标准（FIPS）第 140-3 版》](https://aws.amazon.com/compliance/fips/)。

强烈建议您切勿将机密信息或敏感信息（如您客户的电子邮件地址）放入标签或自由格式文本字段（如**名称**字段）。这包括使用控制台、API、AWS CLI 或 AWS SDK 处理 Amazon Transcribe 或其他 AWS 服务时。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址，强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。



## 互联网络流量隐私
<a name="inter-network-traffic-privacy"></a>

Amazon Virtual Private Cloud 的 Amazon VPC (Amazon Transcribe) 终端节点是 VPC 中的一个逻辑实体，只允许连接到 Amazon Transcribe。Amazon VPC 将请求路由到 Amazon Transcribe 并将响应路由回 VPC。有关更多信息，请参阅 [AWS PrivateLink 概念](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)。有关将 Amazon VPC 终端节点与 Amazon Transcribe 结合使用的信息，请参阅[Amazon Transcribe 和接口 VPC 终端节点 (AWS PrivateLink)](vulnerability-analysis-and-management.md#vpc-interface-endpoints)。

# 数据加密
<a name="data-encryption"></a>

数据加密是指保护静态数据和传输中的数据。KMS keys在传输过程中，您可以使用Amazon S3托管密钥或静态密钥以及标准传输层安全 (TLS) 来保护数据。

## 静态加密
<a name="encryption-rest"></a>

Amazon Transcribe使用默认Amazon S3密钥 (SSE-S3) 对存储在存储桶中的Amazon S3笔录进行服务器端加密。

使用该[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html)操作时，您可以指定自己的操作KMS key来加密转录作业的输出。

Amazon Transcribe使用使用默认密钥加密的Amazon EBS卷。

## 传输中加密
<a name="encryption-transit"></a>

Amazon Transcribe使用带有AWS证书的 TLS 1.2 对传输中的数据进行加密。这包括流式转录。

## 密钥管理
<a name="key-management"></a>

Amazon Transcribe与配合使用KMS keys，为您的数据提供增强的加密。使用Amazon S3，您可以在创建转录作业时对输入媒体进行加密。与集成AWS KMS允许对[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html)请求的输出进行加密。

如果未指定KMS key，则使用默认Amazon S3密钥 (SSE-S3) 对转录作业的输出进行加密。

有关的更多信息AWS KMS，请参阅《[https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)。

### 使用密钥管理 AWS 管理控制台
<a name="kms-console"></a>

要对转录作业的输出进行加密，您可以选择使用KMS key用于发出请求的AWS 账户，还是使用KMS key来自其他AWS 账户请求的。

如果未指定KMS key，则使用默认Amazon S3密钥 (SSE-S3) 对转录作业的输出进行加密。

**启用输出加密：**

1. 在**输出数据**下，选择**加密**。  
![\[已启用的加密开关和 KMS key ID 下拉菜单的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/transcribe/latest/dg/images/output-encryption.png)

1. 选择KMS key是来自AWS 账户你当前使用的，还是来自其他的AWS 账户。如果要使用当前密钥AWS 账户，请从 **KMS keyID** 中选择密钥。如果您使用的是其他密钥AWS 账户，则必须输入该密钥的 ARN。要使用其他密钥AWS 账户，调用者必须拥有对的`kms:Encrypt`权限KMS key。有关更多信息，请参阅[创建密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html)。

### 使用 API 进行密钥管理
<a name="kms-api"></a>

要在 API 中使用输出加密，必须KMS key使用[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartCallAnalyticsJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartCallAnalyticsJob.html)、或[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html)操作的`OutputEncryptionKMSKeyId`参数来指定您的。

如果使用位于**当前**的密钥AWS 账户，则可以通过以下四种KMS key方式之一来指定您的：

1. 使用KMS key身份证本身。例如 `1234abcd-12ab-34cd-56ef-1234567890ab`。

1. 使用别名作为 KMS key ID。例如 `alias/ExampleAlias`。

1. 使用亚马逊资源名称 (ARN) 作为 ID。KMS key例如 `arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab`。

1. 使用 ARN 作为别名。KMS key例如 `arn:aws:kms:region:account-ID:alias/ExampleAlias`。

如果使用与当前密钥**AWS 账户不同的**密钥AWS 账户，则可以通过以下两种KMS key方式之一来指定：

1. 使用 ARN 作为身份证。KMS key例如 `arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab`。

1. 使用 ARN 作为别名。KMS key例如 `arn:aws:kms:region:account-ID:alias/ExampleAlias`。

请注意，发出请求的实体必须拥有使用指定 KMS key的权限。

## AWS KMS加密上下文
<a name="kms-context"></a>

AWS KMS加密上下文是纯文本、非秘密密钥:值对的映射。此地图表示其他经过身份验证的数据，称为加密上下文对，它们为您的数据提供了额外的安全层。 Amazon Transcribe需要对称加密密钥才能将转录输出加密到客户指定的Amazon S3存储桶中。要了解更多信息，请参阅 [AWS KMS 中的非对称密钥](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html)。

创建加密上下文对时，**请勿**包含敏感信息。加密上下文不是秘密的——它在你的CloudTrail日志中以纯文本形式可见（因此你可以用它来识别和分类你的加密操作）。

加密上下文对可以包含特殊字符，如下划线 (`_`)、短划线 (`-`)、斜杠（`/`、`\`）和冒号 (`:`)。

**提示**  
将加密上下文对中的值与正在加密的数据关联会很有用。尽管此操作并非必需，但我们建议您使用与加密内容相关的非敏感元数据，例如文件名、标头值或未加密的数据库字段。

要通过 API 使用输出加密，请设置 [https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html) 操作的 `KMSEncryptionContext` 参数。为了为输出加密操作提供加密上下文，`OutputEncryptionKMSKeyId` 参数必须引用对称的 KMS key ID。

您可以将[AWS KMS条件密钥](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms)与IAM策略配合使用，KMS key根据加密操作请求中使用的加密上下文来控制对称[加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations)的访问权限。有关加密上下文策略的示例，请参阅 [AWS KMS 加密上下文策略](security_iam_id-based-policy-examples.md#kms-context-policy)。

使用加密上下文是可选操作，但建议使用。有关更多信息，请参阅[加密上下文](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)。

# 选择不使用您的数据来改善服务
<a name="opt-out"></a>

默认情况下，Amazon Transcribe 存储和使用其处理过的语音输入来开发服务并持续改善您的体验。您可以使用 AWS Organizations 退出策略，选择不将您的内容用于开发和改进 Amazon Transcribe。有关如何选择退出策略的信息，请参阅 [AI 服务退出策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)。