本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Comprehend Medical 的安全性
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端*的*安全性,和雲端*中*的安全性:
+ **雲端的安全性** – AWS 負責保護在 Cloud AWS 中執行 AWS 服務的基礎設施。 AWS 也為您提供可安全使用的服務。作為[AWS 合規計畫](https://aws.amazon.com/compliance/programs/)的一部分,第三方稽核人員會定期測試和驗證我們安全的有效性。若要了解適用於 Amazon Comprehend Medical 的合規計劃,請參閱[合規計劃的 AWS 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件可協助您了解如何在使用 Amazon Comprehend Medical 時套用共同責任模型。下列主題說明如何設定 Amazon Comprehend Medical 以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 Amazon Comprehend Medical 資源。
**Topics**
+ [Amazon Comprehend Medical 中的資料保護](data-protection.md)
+ [Amazon Comprehend Medical 中的身分和存取管理](security-iam.md)
+ [使用 記錄 Amazon Comprehend Medical API 呼叫 AWS CloudTrail](logging-using-cloudtrail.md)
+ [Amazon Comprehend Medical 的合規驗證](compliance-validation.md)
+ [Amazon Comprehend Medical 中的彈性](resilience.md)
+ [Amazon Comprehend Medical 中的基礎設施安全性](infrastructure-security.md)
# Amazon Comprehend Medical 中的資料保護
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Amazon Comprehend Medical 中的資料保護。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 Comprehend Medical 或使用主控台、API AWS CLI或 AWS SDKs的其他 AWS 服務 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
# Amazon Comprehend Medical 中的身分和存取管理
存取 Comprehend Medical 需要 AWS 可用來驗證請求的登入資料。這些登入資料必須具有存取 Comprehend Medical 動作的許可。[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 可以透過控制可存取的人員,協助保護您的資源。下列各節提供如何搭配 Comprehend Medical 使用 IAM 的詳細資訊。
+ [身分驗證](#auth-med)
+ [存取控制](#access-control-med)
## 身分驗證
您必須授予使用者與 Amazon Comprehend Medical 互動的許可。對於需要完整存取權的使用者,請使用 `ComprehendMedicalFullAccess`。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
若要使用 Amazon Comprehend Medical 的非同步操作,您也需要服務角色。
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
若要進一步了解如何將 Amazon Comprehend Medical 指定為委託人中的服務,請參閱 [批次操作所需的角色型許可](security-iam-permissions.md#auth-role-permissions-med)。
## 存取控制
您必須具備有效的登入資料來驗證您的請求。登入資料必須具有呼叫 Amazon Comprehend Medical 動作的許可。
下列各節說明如何管理 Amazon Comprehend Medical 的許可。我們建議您先閱讀概觀。
+ [管理 Amazon Comprehend Medical 資源存取許可概觀](security-iam-accesscontrol.md)
+ [針對 Amazon Comprehend Medical 使用以身分為基礎的政策 (IAM 政策)](security-iam-permissions.md)
**Topics**
+ [身分驗證](#auth-med)
+ [存取控制](#access-control-med)
+ [管理 Amazon Comprehend Medical 資源存取許可概觀](security-iam-accesscontrol.md)
+ [針對 Amazon Comprehend Medical 使用以身分為基礎的政策 (IAM 政策)](security-iam-permissions.md)
+ [Amazon Comprehend Medical API 許可:動作、資源和條件參考](security-iam-resources.md)
+ [AWS Amazon Comprehend Medical 的 受管政策](security-iam-awsmanpol.md)
# 管理 Amazon Comprehend Medical 資源存取許可概觀
許可政策會管理對 動作的存取。帳戶管理員會將許可政策連接至 IAM 身分,以管理對 動作的存取。IAM 身分包括使用者、群組和角色。
**注意**
*帳戶管理員* (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。
當您授予許可時,您可以決定誰和哪些動作都取得許可。
**Topics**
+ [管理對 動作的存取](#access-control-manage-access-intro-med)
+ [指定政策元素:動作、效果和主體](#access-control-specify-comprehend-actions-med)
+ [在政策中指定條件](#specifying-conditions-med)
## 管理對 動作的存取
*許可政策*描述誰可以存取哪些資源。下一節說明許可政策的選項。
**注意**
本節說明 Amazon Comprehend Medical 內容中的 IAM。它不提供 IAM 服務的詳細資訊。如需 IAM 的詳細資訊,請參閱[什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) *IAM 使用者指南*中的 。如需 IAM 政策語法和說明的相關資訊,請參閱《[IAM 使用者指南》中的 AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。 **
連接至 IAM 身分的政策是以*身分為基礎的*政策。連接到資源的政策是以*資源為基礎的*政策。Amazon Comprehend Medical 僅支援以身分為基礎的政策。
### 身分類型政策 (IAM 政策)
您可以將政策連接到 IAM 身分。以下是兩個範例。
+ **將許可政策連接至您帳戶中的使用者或群組**。若要允許使用者或使用者群組呼叫 Amazon Comprehend Medical 動作,請將許可政策連接至使用者。將政策連接至包含使用者的群組。
+ **將許可政策連接至角色,以授予跨帳戶許可**。若要授予跨帳戶許可,請將身分型政策連接至 IAM 角色。例如,帳戶 A 中的管理員可以建立角色,將跨帳戶許可授予另一個帳戶。在此範例中,請呼叫帳戶 B,這也可能是 AWS 服務。
1. 帳戶 A 管理員會建立 IAM 角色,並將政策連接至角色,以將許可授予帳戶 A 中的資源。
1. 帳戶 A 管理員將信任政策連接至該角色。此政策會將帳戶 B 識別為可擔任該角色的委託人。
1. 帳戶 B 管理員接著可以將擔任該角色的許可委派給帳戶 B 中的任何使用者。這可讓帳戶 B 中的使用者建立或存取帳戶 A 中的資源。如果您想要授予 AWS 服務擔任該角色的許可,信任政策中的委託人也可以是 AWS 服務委託人。
如需使用 IAM 來委派許可的相關資訊,請參閱《IAM 使用者指南》**中的[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
如需搭配 Amazon Comprehend Medical 使用身分型政策的詳細資訊,請參閱 [針對 Amazon Comprehend Medical 使用以身分為基礎的政策 (IAM 政策)](security-iam-permissions.md)。如需使用者、群組、角色和許可的詳細資訊,請參閱《IAM 使用者指南》**中的[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
### 資源型政策
其他服務,例如 AWS Lambda, 支援以資源為基礎的許可政策。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。Amazon Comprehend Medical 不支援以資源為基礎的政策。
## 指定政策元素:動作、效果和主體
Amazon Comprehend Medical 定義一組 API 操作。若要授予這些 API 操作的許可,Amazon Comprehend Medical 會定義一組您可以在政策中指定的動作。
這裡的四個項目是最基本的政策元素。
+ **資源** – 在政策中,使用 Amazon Resource Name (ARN) 來識別政策適用的資源。對於 Amazon Comprehend Medical,資源一律為 `"*"`。
+ **動作** – 使用動作關鍵字來識別您要允許或拒絕的操作。例如,根據指定的效果, 會`comprehendmedical:DetectEntities`允許或拒絕使用者執行 Amazon Comprehend Medical `DetectEntities`操作的許可。
+ **效果** – 指定當使用者請求特定動作時所發生之動作的效果:允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕存取資源。您可以這樣做以確保使用者無法存取資源,即使不同的政策授與存取。
+ **委託人** – 在以身分為基礎的政策中,附加政策的使用者是隱含委託人。
若要進一步了解 IAM 政策語法和描述,請參閱《[IAM 使用者指南》中的 AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。 **
如需顯示所有 Amazon Comprehend Medical API 動作的資料表,請參閱 [Amazon Comprehend Medical API 許可:動作、資源和條件參考](security-iam-resources.md)。
## 在政策中指定條件
當您授予許可時,您可以使用 IAM 政策語言來指定政策應生效的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。
AWS 為所有支援 IAM 以進行存取控制的 AWS 服務提供一組預先定義的條件金鑰。例如,您可以在請求動作時,使用 `aws:userid` 條件金鑰來要求特定的 AWS ID。如需詳細資訊和 AWS 金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[條件的可用金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
Amazon Comprehend Medical 不提供任何其他條件金鑰。
# 針對 Amazon Comprehend Medical 使用以身分為基礎的政策 (IAM 政策)
本主題顯示以身分為基礎的政策範例。這些範例顯示帳戶管理員如何將許可政策連接至 IAM 身分。這可讓使用者、群組和角色執行 Amazon Comprehend Medical 動作。
**重要**
若要了解許可,我們建議使用 [管理 Amazon Comprehend Medical 資源存取許可概觀](security-iam-accesscontrol.md)。
需要此範例政策才能使用 Amazon Comprehend Medical 文件分析動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2",
"comprehendmedical:DetectPHI",
"comprehendmedical:StartEntitiesDetectionV2Job",
"comprehendmedical:ListEntitiesDetectionV2Jobs",
"comprehendmedical:DescribeEntitiesDetectionV2Job",
"comprehendmedical:StopEntitiesDetectionV2Job",
"comprehendmedical:StartPHIDetectionJob",
"comprehendmedical:ListPHIDetectionJobs",
"comprehendmedical:DescribePHIDetectionJob",
"comprehendmedical:StopPHIDetectionJob",
"comprehendmedical:StartRxNormInferenceJob",
"comprehendmedical:ListRxNormInferenceJobs",
"comprehendmedical:DescribeRxNormInferenceJob",
"comprehendmedical:StopRxNormInferenceJob",
"comprehendmedical:StartICD10CMInferenceJob",
"comprehendmedical:ListICD10CMInferenceJobs",
"comprehendmedical:DescribeICD10CMInferenceJob",
"comprehendmedical:StopICD10CMInferenceJob",
"comprehendmedical:StartSNOMEDCTInferenceJob",
"comprehendmedical:ListSNOMEDCTInferenceJobs",
"comprehendmedical:DescribeSNOMEDCTInferenceJob",
"comprehendmedical:StopSNOMEDCTInferenceJob",
"comprehendmedical:InferRxNorm",
"comprehendmedical:InferICD10CM",
"comprehendmedical:InferSNOMEDCT"
],
"Resource": "*"
}
]
}
```
------
此政策有一個陳述式,授予使用 `DetectEntities`和 `DetectPHI`動作的許可。
此政策不指定 `Principal` 元素,因為您不會在以身分為基礎的政策中,指定取得許可的委託人。當您將政策連接至使用者時,這名使用者是隱含委託人。當您將政策連接至 IAM 角色時,角色信任政策中識別的主體會取得 許可。
若要查看所有 Amazon Comprehend Medical API 動作及其適用的資源,請參閱 [Amazon Comprehend Medical API 許可:動作、資源和條件參考](security-iam-resources.md)。
## 使用 Amazon Comprehend Medical 主控台所需的許可
許可參考表列出 Amazon Comprehend Medical API 操作,並顯示每個操作所需的許可。如需 Amazon Comprehend Medical API 許可的詳細資訊,請參閱 [Amazon Comprehend Medical API 許可:動作、資源和條件參考](security-iam-resources.md)。
若要使用 Amazon Comprehend Medical 主控台,請授予下列政策中所示動作的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
Amazon Comprehend Medical 主控台需要這些許可,原因如下:
+ `iam` 列出您帳戶可用 IAM 角色的許可。
+ `s3` 存取包含資料的 Amazon S3 儲存貯體和物件的許可。
當您使用主控台建立非同步批次任務時,您也可以為任務建立 IAM 角色。若要使用主控台建立 IAM 角色,必須授予使用者此處顯示的額外許可,以建立 IAM 角色和政策,並將政策連接到角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Amazon Comprehend Medical 主控台需要這些許可才能建立角色和政策,以及連接角色和政策。`iam:PassRole` 動作可讓主控台將角色傳遞給 Amazon Comprehend Medical。
## Amazon Comprehend Medical 的 AWS 受管 (預先定義) 政策
AWS 獨立的 IAM 政策由 AWS 所建立與管理,可用來解決許多常用案例。這些 AWS 受管政策會授予常用案例所需的許可,讓您免於調查所需的許可。如需詳細資訊,請參閱《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)》中的 *AWS Managed Policies* (AWS 受管政策)。
下列 AWS 受管政策是 Amazon Comprehend Medical 特有的,您可以連接到您帳戶中的使用者。
+ **ComprehendMedicalFullAccess** – 授予 Amazon Comprehend Medical 資源的完整存取權。包含列出和取得 IAM 角色的許可。
您必須將下列其他政策套用至使用 Amazon Comprehend Medical 的任何使用者:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
您可以登入 IAM 主控台並在其中搜尋特定政策,以檢閱受管許可政策。
這些政策會在您使用 AWS 開發套件或 AWS CLI 時運作。
您也可以建立自己的 IAM 政策,以允許 Amazon Comprehend Medical 動作和資源的許可。您可以將這些自訂政策連接到需要它們的 IAM 使用者或群組。
## 批次操作所需的角色型許可
若要使用 Amazon Comprehend Medical 非同步操作,請將包含文件集合的 Amazon S3 儲存貯體存取權授予 Amazon Comprehend Medical。在您的帳戶中建立資料存取角色以信任 Amazon Comprehend Medical 服務主體來執行此操作。如需建立角色的詳細資訊,請參閱《[AWS Identity and Access Management 使用者指南》中的建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。 *AWS Identity and Access Management *
以下是角色的信任政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehendmedical.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
建立角色之後,請為其建立存取政策。政策應該將 Amazon S3 `GetObject`和 `ListBucket`許可授予包含您輸入資料的 Amazon S3 儲存貯體。它也會將 Amazon S3 的許可授予`PutObject`您的 Amazon S3 輸出資料儲存貯體。
下列存取政策範例包含這些許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::input bucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::input bucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::output bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
## 客戶管理政策範例
在本節中,您可以找到授予各種 Amazon Comprehend Medical 動作許可的使用者政策範例。這些政策會在您使用 AWS 開發套件或 AWS CLI 時運作。使用主控台時,您必須授予所有 Amazon Comprehend Medical APIs許可。這會在 [使用 Amazon Comprehend Medical 主控台所需的許可](#auth-console-permissions-med) 中討論。
**注意**
所有範例都是使用 us-east-2 區域,並且包含虛構帳戶 ID。
**範例**
### 範例 1:允許所有 Amazon Comprehend Medical 動作
註冊後 AWS,您可以建立管理員來管理您的帳戶,包括建立使用者和管理其許可。
您可以選擇建立具有所有 Amazon Comprehend 動作許可的使用者。將此使用者視為使用 Amazon Comprehend 的服務特定管理員。您可以將以下許可政策附加到此使用者。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAllComprehendMedicalActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:*"],
"Resource": "*"
}
]
}
```
------
### 範例 2:僅允許 DetectEntities 動作
下列許可政策會授予使用者許可,以偵測 Amazon Comprehend Medical 中的實體,但不會偵測 PHI 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectEntityActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2"
],
"Resource": "*"
}
]
}
```
------
# Amazon Comprehend Medical API 許可:動作、資源和條件參考
在設定[存取控制](security-iam.md#access-control-med)和撰寫您可以連接到使用者的許可政策時,請使用下表做為參考。此清單包含每個 Amazon Comprehend Medical API 操作、您可以授予執行動作許可的對應動作,以及您可以授予許可的 AWS 資源。您在政策的 `Action` 欄位中指定動作,然後在政策的 `Resource` 欄位中指定資源值。
若要表達條件,您可以在 Amazon Comprehend Medical 政策中使用 AWS 條件金鑰。如需金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[可用金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
**注意**
若要指定動作,請使用 `comprehendmedical:` 字首,後面加上 API 操作名稱,例如 `comprehendmedical:DetectEntities`。
使用捲軸查看資料表的其餘部分。
**Amazon Comprehend Medical API 和動作的必要許可**
| Amazon Comprehend Medical API 操作 | 所需許可 (API 動作) | Resources |
| --- | --- | --- |
| DescribeEntitiesDetectionV2Job | comprehendmedical:DescribeEntitiesDetectionV2Job | \$1 |
| DescribePHIDetectionJob | comprehendmedical:DescribePHIDetectionJob | \$1 |
| DetectEntities | comprehendmedical:DetectEntities | \$1 |
| DetectEntitiesV2 | comprehendmedical:DetectEntitiesV2 | \$1 |
| DetectPHI | comprehendmedical:DetectPHI | \$1 |
| ListEntitiesDetectionV2Jobs | comprehendmedical:ListEntitiesDetectionV2Jobs | \$1 |
| ListPHIDetectionJobs | comprehendmedical:ListPHIDetectionJobs | \$1 |
| StartEntitiesDetectionV2Job | comprehendmedical:StartEntitiesDetectionV2Job | \$1 |
| StartPHIDetectionJob | comprehendmedical:StartPHIDetectionJob | \$1 |
| StopEntitiesDetectionV2Job | comprehendmedical:StopEntitiesDetectionV2Job | \$1 |
| StopPHIDetectionJob | comprehendmedical:StopPHIDetectionJob | \$1 |
| InferICD10CM | comprehendmedical:InferICD10CM | \$1 |
| InferRxNorm | comprehendmedical:InferRxNorm | \$1 |
| InferSNOMEDCT | comprehendmedical:InferSNOMEDCT | \$1 |
| StartICD10CMInferenceJob | comprehendmedical:StartICD10CMInferenceJob | \$1 |
| StartRxNormInferenceJob | comprehendmedical:StartRxNormInferenceJob | \$1 |
| StartSNOMEDCTInferenceJob | comprehendmedical:StartSNOMEDCTInferenceJob | \$1 |
| ListICD10CMInferenceJobs | comprehendmedical:ListICD10CMInferenceJobs | \$1 |
| ListRxNormInferenceJobs | comprehendmedical:ListRxNormInferenceJobs | \$1 |
| ListSNOMEDCTInferenceJobs | comprehendmedical:ListSNOMEDCTInferenceJobs | \$1 |
| StopICD10CMInferenceJob | comprehendmedical:StopICD10CMInferenceJob | \$1 |
| StopRxNormInferenceJob | comprehendmedical:StopRxNormInferenceJob | \$1 |
| StopSNOMEDCTInferenceJob | comprehendmedical:StopSNOMEDCTInferenceJob | \$1 |
| DescribeICD10CMInferenceJob | comprehendmedical:DescribeICD10CMInferenceJob | \$1 |
| DescribeRxNormInferenceJob | comprehendmedical:DescribeRxNormInferenceJob | \$1 |
| DescribeSNOMEDCTInferenceJob | comprehendmedical:DescribeSNOMEDCTInferenceJob | \$1 |
# AWS Amazon Comprehend Medical 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 受管政策:ComprehendMedicalFullAccess](#security-iam-awsmanpol-ComprehendMedicalFullAccess)
+ [Amazon Comprehend Medical 受 AWS 管政策的更新](#security-iam-awsmanpol-updates)
## AWS 受管政策:ComprehendMedicalFullAccess
您可將 `ComprehendMedicalFullAccess` 政策連接到 IAM 身分。
此政策會將管理許可授予所有 Amazon Comprehend Medical 動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Action" : [
"comprehendmedical:*"
],
"Effect" : "Allow",
"Resource" : "*"
}
]
}
```
------
## Amazon Comprehend Medical 受 AWS 管政策的更新
檢視自此服務開始追蹤 Amazon Comprehend Medical AWS 受管政策更新以來的詳細資訊。如需自動收到有關此頁面變更的提醒,請前往 [ 文件歷史記錄頁面](comprehendmedical-releases.md)上訂閱 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| Amazon Comprehend Medical 開始追蹤變更 | Amazon Comprehend Medical 開始追蹤其 AWS 受管政策的變更。 | 2018 年 11 月 27 日 |
# 使用 記錄 Amazon Comprehend Medical API 呼叫 AWS CloudTrail
Amazon Comprehend Medical 已與 整合 AWS CloudTrail。CloudTrail 是一種服務,可提供使用者、角色或 AWS 服務從 Amazon Comprehend Medical 內採取之動作的記錄。CloudTrail 會將 Amazon Comprehend Medical 的所有 API 呼叫擷取為事件。擷取的呼叫包括來自 Amazon Comprehend Medical 主控台的呼叫,以及對 Amazon Comprehend Medical API 操作的程式碼呼叫。如果您建立線索,則可以將 CloudTrail 事件持續交付至 Amazon S3 儲存貯體,包括 Amazon Comprehend Medical 的事件。即使您未設定追蹤,依然可以透過 CloudTrail 主控台中的**事件歷史記錄**檢視最新事件。您可以使用 CloudTrail 所收集的資訊來判斷數個項目,例如:
+ 向 Amazon Comprehend Medical 提出的請求
+ 提出請求的 IP 位址
+ 提出要求的人員
+ 提出請求的時間
+ 其他詳細資訊
若要進一步了解 CloudTrail,請參閱[「AWS CloudTrail 使用者指南」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
## CloudTrail 中的 Amazon Comprehend 醫療資訊
當您建立 AWS 帳戶時,會在您的帳戶上啟用 CloudTrail。當活動在 Amazon Comprehend Medical 中發生時,該活動會與**事件歷史記錄**中的其他 AWS 服務事件一起記錄在 CloudTrail 事件中。您可以在 AWS 帳戶中檢視、搜尋和下載最近的事件。如需詳細資訊,請參閱《使用 CloudTrail 事件歷史記錄檢視事件》[https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
若要持續記錄您 AWS 帳戶中的事件,包括 Amazon Comprehend Medical 的事件,請建立追蹤。*線索*能讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。根據預設,當您在主控台建立追蹤記錄時,追蹤記錄會套用到所有 AWS 區域。線索會記錄 AWS 分割區中所有區域的事件,並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊,請參閱下列內容:
+ [建立追蹤的概觀](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支援的服務和整合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [設定 CloudTrail 的 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [從多個區域接收 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html),以及[從多個帳戶接收 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
CloudTrail 會記錄所有 Amazon Comprehend Medical 動作,並記錄在 [Amazon Comprehend Medical API 參考](https://docs.aws.amazon.com/comprehend/latest/dg/API_Operations_AWS_Comprehend_Medical.html)中。例如,對 `DetectEntitiesV2`、`DetectPHI` 和 `ListEntitiesDetectionV2Jobs` 動作發出的呼叫會在 CloudTrail 記錄檔案中產生專案。
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
+ 是否使用根或 AWS Identity and Access Management (IAM) 使用者登入資料提出請求。
+ 提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
+ 請求是否由其他 AWS 服務提出。
如需詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 了解 Amazon Comprehend Medical 日誌檔案項目
追蹤是一種組態,能讓事件以日誌檔案的形式交付到您指定的 Amazon S3 儲存貯體。CloudTrail 日誌檔案包含一個或多個日誌項目。事件代表來自任何來源的單一請求。事件包含所請求動作的相關資訊,例如日期和時間或請求參數。CloudTrail 日誌檔並非依公有 API 呼叫的堆疊追蹤排序,因此不會以任何特定順序出現。
以下範例顯示的是展示 `DetectEntitiesV2` 動作的 CloudTrail 日誌項目。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"accessKeyId": "ASIAXHKUFODNN8EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Mateo_Jackson",
"accountId": "123456789012",
"userName": "Mateo_Jackson"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-09-27T20:07:27Z"
}
}
},
"eventTime": "2019-09-27T20:10:26Z",
"eventSource": "comprehendmedical.amazonaws.com",
"eventName": "DetectEntitiesV2",
"awsRegion": "us-east-1",
"sourceIPAddress": "702.21.198.166",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.590 Linux/4.9.184-0.1.ac.235.83.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.212-b03 java/1.8.0_212 vendor/Oracle_Corporation",
"requestParameters": null,
"responseElements": null,
"requestID": "8d85f2ec-EXAMPLE",
"eventID": "ae9be9b1-EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
# Amazon Comprehend Medical 的合規驗證
在多個合規計畫中,第三方稽核人員會評估 Amazon Comprehend Medical 的安全性和 AWS 合規性。這些計劃包括 PCI、FedRAMP、HIPAA 等等。您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱[在 AWS Artifact 中下載報告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您使用 Amazon Comprehend Medical 時的合規責任取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。 AWS 提供下列資源以協助合規:
+ [安全與合規快速入門指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – 這些部署指南討論在 AWS上部署以安全及合規為重心基準環境的架構考量和步驟。
+ [HIPAA 安全與合規架構白皮書](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) – 此白皮書說明公司如何使用 AWS 來建立符合 HIPAA 規範的應用程式。
+ [AWS 合規資源](https://aws.amazon.com/compliance/resources/) – 此工作手冊和指南集合可能適用於您的產業和位置。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – AWS 此服務會評估資源組態符合內部實務、產業準則和法規的程度。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – AWS 此服務提供 內安全狀態的全方位檢視 AWS ,可協助您檢查是否符合安全產業標準和最佳實務。
如需特定合規計劃範圍內 AWS 的服務清單,請參閱[合規計劃範圍內的 AWS 服務](https://aws.amazon.com/compliance/services-in-scope/)。如需一般資訊,請參閱 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。
# Amazon Comprehend Medical 中的彈性
AWS 全球基礎設施是以 AWS 區域和可用區域為基礎建置。 AWS 區域提供多個實體分隔和隔離的可用區域,這些可用區域以低延遲、高輸送量和高備援聯網連接。透過可用區域,您所設計與操作的應用程式和資料庫,就能夠在可用區域之間自動容錯移轉,而不會發生中斷。可用區域的可用性、容錯能力和擴充能力,均較單一或多個資料中心的傳統基礎設施還高。
如需 AWS 區域和可用區域的詳細資訊,請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# Amazon Comprehend Medical 中的基礎設施安全性
作為受管服務,Amazon Comprehend Medical 受到 [Amazon Web Services:安全程序概觀](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)白皮書中所述 AWS 的全球網路安全程序的保護。
若要透過網路存取 Amazon Comprehend Medical,請使用 AWS 已發佈的 API 呼叫。用戶端必須支援 Transport Layer Security (TLS) 1.0 或更新版本。建議使用 TLS 1.2 或更新版本。用戶端也必須支援具備完美轉送私密 (PFS) 的密碼套件,例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統 (如 Java 7 和更新版本) 大多會支援這些模式。
此外,必須使用與 AWS Identity and Access Management (IAM) 主體相關聯的存取金鑰 ID 和私密存取金鑰來簽署請求。或者,您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 以產生暫時安全憑證以簽署請求。