Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für Amazon Comprehend Medical - Amazon Comprehend Medical
Für die Verwendung der Amazon Comprehend Medical Medical-Konsole sind Berechtigungen erforderlichAWSverwaltete (vordefinierte) Richtlinien für Amazon Comprehend MedicalRollenbasierte Berechtigungen sind für Batch-Operationen erforderlichBeispiele für vom Kunden verwaltete Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für Amazon Comprehend Medical

Dieses Thema zeigt Beispiele für identitätsbasierte Richtlinien. Die Beispiele zeigen, wie ein Kontoadministrator Berechtigungsrichtlinien an Identitäten anhängen kann. IAM Auf diese Weise können Benutzer, Gruppen und Rollen Amazon Comprehend Medical Medical-Aktionen ausführen.

Wichtig

Um mehr über Berechtigungen zu erfahren, empfehlen wir. Überblick über die Verwaltung von Zugriffsberechtigungen für Amazon Comprehend Medical Medical-Ressourcen

Diese Beispielrichtlinie ist erforderlich, um die Amazon Comprehend Medical Medical-Dokumentenanalyseaktionen verwenden zu können.

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowDetectActions",
      "Effect": "Allow",
      "Action": [
                "comprehendmedical:DetectEntitiesV2",
                "comprehendmedical:DetectEntities",
                "comprehendmedical:DetectPHI",
                
                "comprehendmedical:StartEntitiesDetectionV2Job",
                "comprehendmedical:ListEntitiesDetectionV2Jobs",
                "comprehendmedical:DescribeEntitiesDetectionV2Job",
                "comprehendmedical:StopEntitiesDetectionV2Job",

                "comprehendmedical:StartPHIDtectionJob",
                "comprehendmedical:ListPHIDetectionJobs",
                "comprehendmedical:DescribePHIDetectionJob",
                "comprehendmedical:StopPHIDetectionJob",
                
                "comprehendmedical:StartRxNormInferenceJob",
                "comprehendmedical:ListRxNormInferenceJobs",
                "comprehendmedical:DescribeRxNormInferenceJob",
                "comprehendmedical:StopRxNormInferenceJob",

                "comprehendmedical:StartICD10CMInferenceJob",
                "comprehendmedical:ListICD10CMInferenceJobs",
                "comprehendmedical:DescribeICD10CMInferenceJob",
                "comprehendmedical:StopICD10CMInferenceJob",
                
                "comprehendmedical:StartSNOMEDCTInferenceJob",
                "comprehendmedical:ListSNOMEDCTInferenceJobs",
                "comprehendmedical:DescribeSNOMEDCTInferenceJob",
                "comprehendmedical:StopSNOMEDCTInferenceJob",
                
                "comprehendmedical:InferRxNorm",
                "comprehendmedical:InferICD10CM",
                "comprehendmedical:InferSNOMEDCT",

             ],   
      "Resource": "*"
      }
   ]
}

Die Richtlinie enthält eine Erklärung, die die Genehmigung zur Verwendung der Aktionen DetectEntities und DetectPHI erteilt.

Die Richtlinie gibt nicht das Principal-Element an, da in einer identitätsbasierten Richtlinie nicht der Prinzipal angegeben wird, der die Berechtigung erhält. Wenn Sie einem Benutzer eine Richtlinie anfügen, ist der Benutzer automatisch der Prinzipal. Wenn Sie einer IAM Rolle eine Richtlinie zuordnen, erhält der in der Vertrauensrichtlinie der Rolle angegebene Principal die entsprechende Genehmigung.

Alle API Maßnahmen von Amazon Comprehend Medical und die Ressourcen, für die sie gelten, finden Sie unter. Amazon Comprehend Medical API Permissions: Referenz zu Aktionen, Ressourcen und Bedingungen

Für die Verwendung der Amazon Comprehend Medical Medical-Konsole sind Berechtigungen erforderlich

In der Referenztabelle für Berechtigungen sind die Amazon Comprehend Medical API Medical-Operationen aufgeführt und die erforderlichen Berechtigungen für jede Operation aufgeführt. Weitere Informationen zu den API Genehmigungen von Amazon Comprehend Medical finden Sie unter. Amazon Comprehend Medical API Permissions: Referenz zu Aktionen, Ressourcen und Bedingungen

Um die Amazon Comprehend Medical Medical-Konsole zu verwenden, gewähren Sie Berechtigungen für die in der folgenden Richtlinie aufgeführten Aktionen. 


{
  "Version": "2012-10-17",
  "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "iam:CreateRole",
            "iam:CreatePolicy",
            "iam:AttachRolePolicy"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iam:PassRole",
         "Resource": "*",
         "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
         }
      }
   ]
}

Die Amazon Comprehend Medical Medical-Konsole benötigt diese Berechtigungen aus den folgenden Gründen:

  • iamBerechtigungen zum Auflisten der verfügbaren IAM Rollen für Ihr Konto.

  • s3Berechtigungen für den Zugriff auf die Amazon S3 S3-Buckets und Objekte, die die Daten enthalten.

Wenn Sie mit der Konsole einen asynchronen Batch-Job erstellen, können Sie auch eine IAM Rolle für Ihren Job erstellen. Um eine IAM Rolle mithilfe der Konsole zu erstellen, müssen Benutzern die hier aufgeführten zusätzlichen Berechtigungen zum Erstellen von IAM Rollen und Richtlinien sowie zum Anhängen von Richtlinien an Rollen erteilt werden.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Die Amazon Comprehend Medical Medical-Konsole benötigt diese Berechtigungen, um Rollen und Richtlinien zu erstellen und Rollen und Richtlinien anzuhängen. Die iam:PassRole Aktion ermöglicht es der Konsole, die Rolle an Amazon Comprehend Medical zu übergeben.

AWSverwaltete (vordefinierte) Richtlinien für Amazon Comprehend Medical

AWSadressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM Richtlinien, die von erstellt und verwaltet werden. AWS Diese AWS verwalteten Richtlinien gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle, sodass Sie nicht erst untersuchen müssen, welche Berechtigungen benötigt werden. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWSVerwaltete Richtlinien.

Die folgende AWS verwaltete Richtlinie, die Sie Benutzern in Ihrem Konto zuordnen können, ist spezifisch für Amazon Comprehend Medical.

  • ComprehendMedicalFullAccess— Gewährt vollen Zugriff auf die medizinischen Ressourcen von Amazon Comprehend. Beinhaltet die Erlaubnis, Rollen aufzulisten und abzurufenIAM.

Sie müssen die folgenden zusätzlichen Richtlinien auf alle Benutzer anwenden, die Amazon Comprehend Medical verwenden:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
            }
        }
    ]
}

Sie können die Richtlinien für verwaltete Berechtigungen überprüfen, indem Sie sich bei der IAM Konsole anmelden und dort nach bestimmten Richtlinien suchen.

Diese Richtlinien funktionieren, wenn Sie AWS SDKs oder die verwenden AWSCLI.

Sie können auch Ihre eigenen IAM Richtlinien erstellen, um Berechtigungen für Aktionen und Ressourcen von Amazon Comprehend Medical zu gewähren. Sie können diese benutzerdefinierten Richtlinien den IAM Benutzern oder Gruppen zuordnen, für die sie erforderlich sind.

Rollenbasierte Berechtigungen sind für Batch-Operationen erforderlich

Um die asynchronen Vorgänge von Amazon Comprehend Medical zu verwenden, gewähren Sie Amazon Comprehend Medical Zugriff auf den Amazon S3 S3-Bucket, der Ihre Dokumentensammlung enthält. Erstellen Sie dazu in Ihrem Konto eine Datenzugriffsrolle, um dem Amazon Comprehend Medical Service Principal zu vertrauen. Weitere Informationen zum Erstellen einer Rolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst im AWSIdentity and Access Management-Benutzerhandbuch.

Im Folgenden finden Sie die Vertrauensrichtlinie der Rolle.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "comprehendmedical.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Nachdem Sie die Rolle erstellt haben, erstellen Sie eine Zugriffsrichtlinie für sie. Die Richtlinie sollte Amazon S3 GetObject und ListBucket Berechtigungen für den Amazon S3 S3-Bucket gewähren, der Ihre Eingabedaten enthält. Außerdem gewährt es Ihrem Amazon PutObject S3-Ausgabedaten-Bucket Berechtigungen für Amazon S3.

Die folgende Beispiel-Zugriffsrichtlinie enthält diese Berechtigungen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::output bucket/*"
            ],
            "Effect": "Allow"
        }
    ]
}

Beispiele für vom Kunden verwaltete Richtlinien

In diesem Abschnitt finden Sie Beispielbenutzerrichtlinien, die Berechtigungen für verschiedene Amazon Comprehend Medical Medical-Aktionen gewähren. Diese Richtlinien gelten, wenn Sie AWS SDKs oder die verwenden. AWS CLI Wenn Sie die Konsole verwenden, müssen Sie allen Amazon Comprehend Medical Berechtigungen erteilen. APIs Näheres hierzu finden Sie unter Für die Verwendung der Amazon Comprehend Medical Medical-Konsole sind Berechtigungen erforderlich.

Anmerkung

Alle Beispiele verwenden die Region us-east-2 und enthalten ein fiktives Konto. IDs

Beispiele

Beispiel 1: Alle Amazon Comprehend Medical Medical-Aktionen zulassen

Nachdem Sie sich angemeldet haben AWS, richten Sie einen Administrator ein, der Ihr Konto verwaltet, einschließlich der Erstellung von Benutzern und der Verwaltung ihrer Berechtigungen.

Sie können wählen, ob Sie einen Benutzer erstellen möchten, der über Berechtigungen für alle Amazon Comprehend Comprehend-Aktionen verfügt. Stellen Sie sich diesen Benutzer als dienstspezifischen Administrator für die Arbeit mit Amazon Comprehend vor. Diesem Benutzer können Sie die folgende Berechtigungsrichtlinie zuweisen:

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowAllComprehendMedicalActions",
      "Effect": "Allow",
      "Action": [
         "comprehendmedical:*"],
      "Resource": "*"
      }
   ]
}

Beispiel 2: Nur Aktionen zulassen DetectEntities

Die folgende Berechtigungsrichtlinie gewährt Benutzern Berechtigungen zur Erkennung von Entitäten in Amazon Comprehend Medical, jedoch nicht zur Erkennung PHI von Vorgängen.

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowDetectEntityActions",
      "Effect": "Allow",
      "Action": [
                "comprehendedical:DetectEntities"
             ],   
            "Resource": "*"
            ]
        }
    ]
}