建立客戶受管金鑰 - Amazon Transcribe
AWS KMSAWS HealthScribe 的金鑰政策存取角色的 IAM 政策許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立客戶受管金鑰

您可以使用 AWS Management Console或 AWS KMS APIs 來建立對稱客戶受管金鑰。若要建立對稱客戶受管金鑰,請遵循《 AWS Key Management Service 開發人員指南》中的建立對稱客戶受管金鑰的步驟。

金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時,可以指定金鑰政策。如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的管理客戶受管金鑰的存取

AWS KMSAWS HealthScribe 的金鑰政策

如果您在與 StartMedicalScribeJobResourceAccessRole StartMedicalScribeStream 請求DataAccessRole中指定為 IAM 的角色相同的帳戶中使用金鑰,則不需要更新金鑰政策。若要在與 DataAccessRole (適用於轉錄任務) 或 ResourceAccessRole (適用於串流) 不同的帳戶中使用客戶受管金鑰,您必須信任金鑰政策中的個別角色,才能執行下列動作:

  • kms:Encrypt:允許使用客戶受管金鑰進行加密

  • kms:Decrypt:允許使用客戶受管金鑰進行解密

  • kms:DescribeKey — 提供客戶受管金鑰詳細資訊,以允許 AWS HealthScribe 驗證金鑰

以下是可用來授予 ResourceAccessRole 跨帳戶許可的金鑰政策範例,以使用客戶受管金鑰進行 AWS HealthScribe 串流。若要將此政策用於轉錄任務,請更新 Principal 以使用 DataAccessRole ARN,並移除或修改加密內容。

存取角色的 IAM 政策許可

連接到 DataAccessRole 或 ResourceAccessRole 的 IAM 政策必須授予執行必要 AWS KMS 動作的許可,無論客戶受管金鑰和角色位於相同或不同的帳戶中。此外,角色的信任政策必須授予 AWS HealthScribe 擔任角色的許可。

下列 IAM 政策範例顯示如何授予 AWS HealthScribe 串流的 ResourceAccessRole 許可。若要將此政策用於轉錄任務,請將 取代transcribe.streaming.amazonaws.com為 ,transcribe.amazonaws.com並移除或修改加密內容。

以下是 ResourceAccessRole 的信任政策範例。對於 DataAccessRole,將 取代transcribe.streaming.amazonaws.com.rproxy.govskope.catranscribe.amazonaws.com

如需在政策中指定許可或對金鑰存取進行故障診斷的詳細資訊,請參閱 AWS Key Management Service 開發人員指南。