创建客户托管的密钥 - Amazon Transcribe
AWS KMS 的关键政策 AWS HealthScribe访问角色的 IAM 策略权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建客户托管的密钥

您可以使用 AWS Management Console、或,创建对称的客户托管密钥。 AWS KMS APIs要创建对称客户托管密钥,请按照《 AWS Key Management Service 开发人员指南》中创建对称客户托管密钥的步骤进行操作。

密钥政策控制对客户托管密钥的访问。每个客户托管式密钥必须只有一个密钥策略,其中包含确定谁可以使用密钥以及如何使用密钥的声明。创建客户托管式密钥时,可以指定密钥策略。有关更多信息,请参阅《 AWS Key Management Service 开发人员指南》中的管理客户托管密钥的访问权限

AWS KMS 的关键政策 AWS HealthScribe

如果您使用的是与您在请求中StartMedicalScribeJobStartMedicalScribeStream请求DataAccessRole中指定的 IAM 角色相同的账户ResourceAccessRole中的密钥,则无需更新密钥政策。要将其他账户中的客户托管密钥用作您的 DataAccessRole (用于转录作业)或 ResourceAccessRole (用于直播),您必须信任密钥政策中的相应角色才能执行以下操作:

  • kms:Encrypt - 允许使用客户管理型密钥进行加密

  • kms:Decrypt - 允许使用客户管理型密钥进行解密

  • kms:DescribeKey— 提供客户管理的密钥详细信息 AWS HealthScribe 以允许验证密钥

以下是密钥策略示例,您可以使用该策略向 ResourceAccessRole 跨账户授予使用客户托管密钥进行 AWS HealthScribe 直播的权限。要将此策略用于转录作业,请更新Principal以使用 AR DataAccessRole N,然后移除或修改加密上下文。

访问角色的 IAM 策略权限

无论客户管理的密钥和角色是在相同账户还是不同账户中,您 DataAccessRole 或都 ResourceAccessRole 必须授予执行必要 AWS KMS 操作的 IAM 策略。此外,角色的信任策略必须授予代入该角色的 AWS HealthScribe 权限。

以下 IAM 策略示例显示了如何授予 AWS HealthScribe 直播 ResourceAccessRole 权限。要将此策略用于转录作业,请transcribe.streaming.amazonaws.com替换为加密上下文,transcribe.amazonaws.com然后移除或修改加密上下文。

以下是的信任策略示例 ResourceAccessRole。对于 DataAccessRole,请transcribe.streaming.amazonaws.com替换为transcribe.amazonaws.com

有关在策略中指定权限或对密钥访问进行故障排除的更多信息,请参阅《 AWS Key Management Service 开发者指南》。