Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon Comprehend
Cloud-Sicherheit hat höchste AWS Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Amazon Comprehend gelten, finden Sie unter [AWS Services in Scope by Compliance Program AWS](https://aws.amazon.com/compliance/services-in-scope/) Program.
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Amazon Comprehend anwenden können. In den folgenden Themen erfahren Sie, wie Sie Amazon Comprehend konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, mit denen Sie Ihre Amazon Comprehend Comprehend-Ressourcen überwachen und sichern können.
**Topics**
+ [Datenschutz in Amazon Comprehend](comp-data-protection.md)
+ [Identity and Access Management für Amazon Comprehend](security-iam.md)
+ [Protokollieren von Amazon Comprehend API-Aufrufen mit AWS CloudTrail](logging-using-cloudtrail.md)
+ [Konformitätsprüfung für Amazon Comprehend](comp-compliance.md)
+ [Resilienz in Amazon Comprehend](comp-disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon Comprehend](comp-infrastructure-security.md)
# Datenschutz in Amazon Comprehend
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) gilt für den Datenschutz in Amazon Comprehend. Wie in diesem Modell beschrieben, AWS ist es verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen. AWS Cloud Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon Comprehend oder anderen AWS-Services über die Konsole AWS CLI, API oder arbeiten. AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
**Topics**
+ [KMS-Verschlüsselung in Amazon Comprehend](kms-in-comprehend.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
+ [Schützen Sie Jobs mithilfe einer Amazon Virtual Private Cloud](usingVPC.md)
+ [Amazon VPC-Endpunkte verstehen und verbinden ()AWS PrivateLink](vpc-interface-endpoints.md)
# KMS-Verschlüsselung in Amazon Comprehend
Amazon Comprehend arbeitet mit AWS Key Management Service (AWS KMS) zusammen, um eine verbesserte Verschlüsselung Ihrer Daten bereitzustellen. Amazon S3 ermöglicht es Ihnen bereits, Ihre Eingabedokumente zu verschlüsseln, wenn Sie eine Textanalyse, Themenmodellierung oder einen benutzerdefinierten Amazon Comprehend Comprehend-Job erstellen. Die Integration mit AWS KMS ermöglicht es Ihnen, die Daten auf dem Speichervolume für Start\$1- und Create\$1-Jobs zu verschlüsseln, und sie verschlüsselt die Ausgabeergebnisse von Start\$1-Jobs mit Ihrem eigenen KMS-Schlüssel.
Für das AWS-Managementkonsole verschlüsselt Amazon Comprehend benutzerdefinierte Modelle mit einem eigenen KMS-Schlüssel. Für die AWS CLI kann Amazon Comprehend benutzerdefinierte Modelle entweder mit seinem eigenen KMS-Schlüssel oder einem bereitgestellten vom Kunden verwalteten Schlüssel (CMK) verschlüsseln.
**KMS-Verschlüsselung mit dem AWS-Managementkonsole**
Bei Verwendung der Konsole sind zwei Verschlüsselungsoptionen verfügbar:
+ Volume-Verschlüsselung
+ Verschlüsselung der Ausgabeergebnisse
**Um die Volumenverschlüsselung zu aktivieren**
1. Wählen Sie unter **Job-Einstellungen** die Option **Job-Verschlüsselung** aus.
![\[KMS-Jobverschlüsselung in der AWS-Managementkonsole\]](http://docs.aws.amazon.com/de_de/comprehend/latest/dg/images/kms-1.png)
1. Wählen Sie aus, ob der kundenverwaltete Schlüssel (CMK) von KMS aus dem Konto stammt, das Sie gerade verwenden, oder aus einem anderen Konto. Wenn Sie einen Schlüssel aus dem aktuellen Konto verwenden möchten, wählen Sie den Schlüsselalias aus der **KMS-Schlüssel-ID** aus. Wenn Sie einen Schlüssel von einem anderen Konto verwenden, müssen Sie den ARN des Schlüssels eingeben.
**So aktivieren Sie die Verschlüsselung der Ausgabeergebnisse**
1. Wählen Sie unter **Ausgabeeinstellungen** die Option **Verschlüsselung** aus.
![\[Verschlüsselung der KMS-Ausgabeergebnisse in AWS-Managementkonsole\]](http://docs.aws.amazon.com/de_de/comprehend/latest/dg/images/kms-2.png)
1. Wählen Sie aus, ob der vom Kunden verwaltete Schlüssel (CMK) von dem Konto stammt, das Sie gerade verwenden, oder von einem anderen Konto. Wenn Sie einen Schlüssel aus dem aktuellen Konto verwenden möchten, wählen Sie die Schlüssel-ID aus der **KMS-Schlüssel-ID** aus. Wenn Sie einen Schlüssel von einem anderen Konto verwenden, müssen Sie den ARN des Schlüssels eingeben.
Wenn Sie zuvor die Verschlüsselung mit SSE-KMS für Ihre S3-Eingabedokumente eingerichtet haben, kann Ihnen dies zusätzliche Sicherheit bieten. In diesem Fall muss die verwendete IAM-Rolle jedoch über `kms:Decrypt` Berechtigungen für den KMS-Schlüssel verfügen, mit dem die Eingabedokumente verschlüsselt werden. Weitere Informationen finden Sie unter [Für die Verwendung der KMS-Verschlüsselung sind Berechtigungen erforderlich](security_iam_id-based-policy-examples.md#auth-kms-permissions).
**KMS-Verschlüsselung mit API-Vorgängen**
Alle Amazon Comprehend `Start*` - und `Create*` API-Operationen unterstützen KMS-verschlüsselte Eingabedokumente. `Describe*`und `List*` API-Operationen geben die Eingabe zurück, `OutputDataConfig` wenn sie `KmsKeyId` im ursprünglichen Auftrag als `KmsKeyId` Eingabe bereitgestellt wurden. Wenn es nicht als Eingabe bereitgestellt wurde, wird es nicht zurückgegeben.
Dies ist im folgenden AWS CLI-Beispiel mit der [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)Operation zu sehen:
```
aws comprehend start-entities-detection-job \
--region region \
--data-access-role-arn "data access role arn" \
--entity-recognizer-arn "entity recognizer arn" \
--input-data-config "S3Uri=s3://Bucket Name/Bucket Path" \
--job-name job name \
--language-code en \
--output-data-config "KmsKeyId=Output S3 KMS key ID" "S3Uri=s3://Bucket Name/Bucket Path/" \
--volumekmskeyid "Volume KMS key ID"
```
**Anmerkung**
Dieses Beispiel ist für Unix, Linux und macOS formatiert. Ersetzen Sie unter Windows den umgekehrten Schrägstrich (\$1), das Unix-Fortsetzungszeichen, am Ende jeder Zeile durch ein Caret-Zeichen oder Zirkumflex (^).
**CMK-Verschlüsselung (Customer Managed Key) mit API-Vorgängen**
Die API-Operationen für benutzerdefinierte Modelle von Amazon Comprehend,`CreateEntityRecognizer`, und `CreateDocumentClassifier``CreateEndpoint`, unterstützen die Verschlüsselung mit vom Kunden verwalteten Schlüsseln über die. AWS CLI
Sie benötigen eine IAM-Richtlinie, damit ein Principal vom Kunden verwaltete Schlüssel verwenden oder verwalten kann. Diese Schlüssel sind im `Resource` Element der Grundsatzerklärung angegeben. Es hat sich bewährt, vom Kunden verwaltete Schlüssel auf diejenigen zu beschränken, die die Prinzipale in Ihrer Grundsatzerklärung verwenden müssen.
Das folgende AWS CLI-Beispiel erstellt mithilfe der [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html)Operation einen benutzerdefinierten Entitätserkenner mit Modellverschlüsselung:
```
aws comprehend create-entity-recognizer \
--recognizer-name name \
--data-access-role-arn data access role arn \
--language-code en \
--model-kms-key-id Model KMS Key ID \
--input-data-config file:///path/input-data-config.json
```
**Anmerkung**
Dieses Beispiel ist für Unix, Linux und macOS formatiert. Ersetzen Sie unter Windows den umgekehrten Schrägstrich (\$1), das Unix-Fortsetzungszeichen, am Ende jeder Zeile durch ein Caret-Zeichen oder Zirkumflex (^).
# Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS, dienstübergreifender Identitätswechsel kann zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Amazon Comprehend einem anderen Service für die Ressource gewährt. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:servicename::123456789012:*`.
## Quellkonto verwenden
Das folgende Beispiel zeigt, wie Sie den `aws:SourceAccount` globalen Bedingungskontextschlüssel in Amazon Comprehend verwenden können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount":"111122223333"
}
}
}
}
```
------
## Vertrauensrichtlinie für Endpunkte verschlüsselter Modelle
Sie müssen eine Vertrauensrichtlinie erstellen, um einen Endpunkt für ein verschlüsseltes Modell zu erstellen oder zu aktualisieren. Legen Sie den Wert `aws:SourceAccount` auf Ihre Konto-ID fest. Wenn Sie die `ArnEquals` Bedingung verwenden, setzen Sie den `aws:SourceArn` Wert auf den ARN des Endpunkts.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:comprehend:us-west-2:111122223333:document-classifier-endpoint/endpoint-name"
}
}
}
]
}
```
------
## Benutzerdefiniertes Modell erstellen
Sie müssen eine Vertrauensrichtlinie erstellen, um ein benutzerdefiniertes Modell zu erstellen. Legen Sie den Wert `aws:SourceAccount` auf Ihre Konto-ID fest. Wenn Sie die `ArnEquals` Bedingung verwenden, setzen Sie den `aws:SourceArn` Wert auf den ARN der benutzerdefinierten Modellversion.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/smallest-classifier-test/version/version-name"
}
}
}
]
}
```
------
# Schützen Sie Jobs mithilfe einer Amazon Virtual Private Cloud
Amazon Comprehend verwendet eine Vielzahl von Sicherheitsmaßnahmen, um die Sicherheit Ihrer Daten in unseren Jobcontainern zu gewährleisten, in denen sie gespeichert werden, während sie von Amazon Comprehend verwendet werden. Job-Container greifen jedoch über das Internet auf AWS Ressourcen zu — wie die Amazon S3 S3-Buckets, in denen Sie Daten und Modellartefakte speichern.
Um den Zugriff auf Ihre Daten zu kontrollieren, empfehlen wir Ihnen, eine *Virtual Private Cloud* (VPC) zu erstellen und diese so zu konfigurieren, dass die Daten und Container nicht über das Internet zugänglich sind. Informationen zum Erstellen und Konfigurieren einer VPC finden Sie unter [Erste Schritte mit Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html) im *Amazon VPC Benutzerhandbuch*. Die Verwendung einer VPC trägt zum Schutz Ihrer Daten bei, da Sie Ihre VPC so konfigurieren können, dass sie nicht mit dem Internet verbunden ist. Die Verwendung einer VPC ermöglicht es Ihnen auch, den gesamten Netzwerkverkehr in und aus unseren Jobcontainern mithilfe von VPC-Flow-Logs zu überwachen. Weitere Informationen finden Sie unter [VPC-Flow-Protokolle](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) im *Benutzerhandbuch für Amazon VPC*.
Sie geben Ihre VPC-Konfiguration an, wenn Sie einen Job erstellen, indem Sie die Subnetze und Sicherheitsgruppen angeben. Wenn Sie die Subnetze und Sicherheitsgruppen angeben, erstellt Amazon Comprehend *elastische Netzwerkschnittstellen* (ENIs), die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. ENIs ermöglichen Sie unseren Jobcontainern, sich mit Ressourcen in Ihrer VPC zu verbinden. Weitere Informationen dazu ENIs finden Sie unter [Elastic Network Interfaces](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) im *Amazon VPC-Benutzerhandbuch*.
**Anmerkung**
Für Jobs können Sie nur Subnetze mit einer Standard-Tenancy-VPC konfigurieren, in der Ihre Instance auf gemeinsam genutzter Hardware läuft. Weitere Informationen zum Tenancy-Attribut für VPCs finden Sie unter [Dedicated Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
## Einen Job für den Amazon VPC-Zugriff konfigurieren
Um Subnetze und Sicherheitsgruppen in Ihrer VPC anzugeben, verwenden Sie den `VpcConfig` Anforderungsparameter der entsprechenden API oder geben Sie diese Informationen an, wenn Sie einen Job in der Amazon Comprehend Comprehend-Konsole erstellen. Amazon Comprehend verwendet diese Informationen, um sie zu erstellen ENIs und an unsere Jobcontainer anzuhängen. ENIs Sie stellen unseren Jobcontainern eine Netzwerkverbindung innerhalb Ihrer VPC zur Verfügung, die nicht mit dem Internet verbunden ist.
Folgendes APIs enthält den `VpcConfig` Anforderungsparameter:
+ `Create*` APIs: ` [CreateDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateDocumentClassifier.html)`, ` [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html) `
+ `Start*` APIs: ` [StartDocumentClassificationJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDocumentClassificationJob.html)`, ` [StartDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDominantLanguageDetectionJob.html)`, ` [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)`, ` [StartKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartKeyPhrasesDetectionJob.html)`, ` [StartSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartSentimentDetectionJob.html)`, ` [StartTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTargetedSentimentDetectionJob.html)`, ` [StartTopicsDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTopicsDetectionJob.html)`
Im Folgenden finden Sie ein Beispiel für den VpcConfig Parameter, den Sie in Ihren API-Aufruf aufnehmen:
```
"VpcConfig": {
"SecurityGroupIds": [
" sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
]
}
```
Um eine VPC von der Amazon Comprehend Comprehend-Konsole aus zu konfigurieren, wählen Sie bei der Erstellung des Jobs die Konfigurationsdetails aus dem optionalen Abschnitt **VPC-Einstellungen** aus.
![\[Optionaler VPC-Abschnitt unter Analysejob erstellen\]](http://docs.aws.amazon.com/de_de/comprehend/latest/dg/images/vpc-image-10.png)
## Konfigurieren Sie Ihre VPC für Amazon Comprehend Comprehend-Jobs
Beachten Sie bei der Konfiguration der VPC für Ihre Amazon Comprehend Comprehend-Jobs die folgenden Richtlinien. Informationen zur Einrichtung einer VPC finden Sie unter [Arbeiten mit VPCs und Subnetzen](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html) im *Amazon VPC-Benutzerhandbuch*.
**Stellen Sie sicher, dass die Subnetze über genügend IP-Adressen verfügen**
Ihre VPC-Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Job haben. Weitere Informationen finden Sie unter [VPC and Subnet Sizing for IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) im *Amazon VPC-Benutzerhandbuch*.
**Erstellen Sie einen Amazon S3 S3-VPC-Endpunkt**
Wenn Sie Ihre VPC so konfigurieren, dass Job-Container keinen Zugriff auf das Internet haben, können sie keine Verbindung zu den Amazon S3 S3-Buckets herstellen, die Ihre Daten enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff ermöglicht. Durch die Erstellung eines VPC-Endpunkts ermöglichen Sie den Job-Containern den Zugriff auf Ihre Daten während Trainings- und Analysejobs.
Wenn Sie den VPC-Endpunkt erstellen, konfigurieren Sie diese Werte:
+ **Wählen Sie die Servicekategorie als AWS Dienste aus**
+ Geben Sie den Dienst als an `com.amazonaws.region.s3`
+ Wählen Sie **Gateway** als VPC-Endpunkttyp
Wenn Sie den VPC-Endpunkt CloudFormation zum Erstellen verwenden, folgen Sie der [CloudFormation VPCEndpoint](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html)Dokumentation. Das folgende Beispiel zeigt die **VPCEndpoint**Konfiguration in einer CloudFormation Vorlage.
```
VpcEndpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
PolicyDocument:
Version: '2012-10-17 '
Statement:
- Action:
- s3:GetObject
- s3:PutObject
- s3:ListBucket
- s3:GetBucketLocation
- s3:DeleteObject
- s3:ListMultipartUploadParts
- s3:AbortMultipartUpload
Effect: Allow
Resource:
- "*"
Principal: "*"
RouteTableIds:
- Ref: RouteTable
ServiceName:
Fn::Join:
- ''
- - com.amazonaws.
- Ref: AWS::Region
- ".s3"
VpcId:
Ref: VPC
```
Wir empfehlen Ihnen, auch eine benutzerdefinierte Richtlinie zu erstellen, die nur Anfragen von Ihrer VPC den Zugriff auf Ihre S3-Buckets ermöglicht. Weitere Informationen finden Sie unter [Endpoints for Amazon S3 (Endpunkte für Amazon S3)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) im *Amazon-VPC-Benutzerhandbuch*.
Die folgende Richtlinie ermöglicht den Zugriff auf S3-Buckets. Bearbeiten Sie diese Richtlinie, um nur den Zugriff auf die Ressourcen zu ermöglichen, die Ihr Job benötigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:DeleteObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "*"
}
]
}
```
------
Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die Standardlösung von Amazon S3 URLs (z. B.`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) funktioniert. Wenn Sie keine Standard-DNS-Einstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Jobs verwenden, aufgelöst werden, indem Sie die Endpunkt-Routing-Tabellen konfigurieren. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter [Routing für Gateway-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html#vpc-endpoints-routing) im *Amazon VPC Benutzerhandbuch*.
Die standardmäßige Endpunktrichtlinie ermöglicht es Benutzern, Pakete aus den Amazon Linux- und Amazon Linux 2-Repositorys in unserem Job-Container zu installieren. Wenn Sie nicht möchten, dass Benutzer Pakete von diesem Repository installieren, erstellen Sie eine benutzerdefinierte Endpunkt-Richtlinie, die ausdrücklich den Zugriff auf die Amazon Linux- und Amazon Linux-2-Repositorys verweigert. Comprehend selbst benötigt keine solchen Pakete, sodass es keine Auswirkungen auf die Funktionalität gibt. Nachfolgend finden Sie eine Beispielrichtlinie, die den Zugriff auf diese Repositorys verweigert:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
**Berechtigungen für `DataAccessRole`**
Wenn Sie eine VPC mit Ihrem Analysejob verwenden, müssen die für die `Create*` und `DataAccessRole` verwendeten `Start*` Operationen auch über Berechtigungen für die VPC verfügen, von der aus auf die Eingabedokumente und den Ausgabe-Bucket zugegriffen wird.
Die folgende Richtlinie bietet den erforderlichen Zugriff auf die für `Create*` und `DataAccessRole` `Start*` verwendeten Operationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
```
------
**Konfigurieren Sie die VPC-Sicherheitsgruppe**
Bei verteilten Aufträgen müssen Sie die Kommunikation zwischen den verschiedenen Job-Containern im selben Job zulassen. Konfigurieren Sie dazu eine Regel für Ihre Sicherheitsgruppe, mit der eingehende Verbindungen zwischen Mitgliedern derselben Sicherheitsgruppe zugelassen werden. Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) im *Amazon VPC-Benutzerhandbuch*.
**Connect zu Ressourcen außerhalb Ihrer VPC her**
Wenn Sie Ihre VPC so konfigurieren, dass sie keinen Internetzugang hat, haben Jobs, die diese VPC verwenden, keinen Zugriff auf Ressourcen außerhalb Ihrer VPC. Wenn Ihre Jobs Zugriff auf Ressourcen außerhalb Ihrer VPC benötigen, stellen Sie den Zugriff mit einer der folgenden Optionen bereit:
+ Wenn Ihr Job Zugriff auf einen AWS Dienst benötigt, der VPC-Schnittstellen-Endpunkte unterstützt, erstellen Sie einen Endpunkt, um eine Verbindung zu diesem Dienst herzustellen. Eine Liste der Services, die Schnittstellenendpunkte unterstützen, finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) im *Amazon VPC Benutzerhandbuch*. Informationen zum Erstellen eines Schnittstellen-VPC-Endpunkts finden Sie unter [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) im *Amazon VPC-Benutzerhandbuch*.
+ Wenn Ihr Job Zugriff auf einen AWS Dienst benötigt, der keine VPC-Schnittstellen-Endpunkte unterstützt, oder auf eine Ressource außerhalb von AWS, erstellen Sie ein NAT-Gateway und konfigurieren Sie Ihre Sicherheitsgruppen so, dass ausgehende Verbindungen zugelassen werden. Informationen zur Einrichtung eines NAT-Gateways für Ihre VPC finden Sie unter [Szenario 2: VPC with Public and Private Subnets (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) im *Amazon VPC-Benutzerhandbuch*.
# Amazon VPC-Endpunkte verstehen und verbinden ()AWS PrivateLink
Sie können eine private Verbindung zwischen Ihrer VPC und Amazon Comprehend herstellen, indem Sie einen *VPC-Schnittstellen-Endpunkt* erstellen. Schnittstellenendpunkte werden von einer Technologie unterstützt [AWS PrivateLink](https://aws.amazon.com/privatelink), die es Ihnen ermöglicht, privat auf Amazon Comprehend APIs ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder AWS Direct Connect-Verbindung zuzugreifen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Amazon APIs Comprehend zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und Amazon Comprehend verlässt das Amazon-Netzwerk nicht.
Jeder Schnittstellenendpunkt wird durch eine oder mehrere [Elastic Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) in Ihren Subnetzen repräsentiert.
Weitere Informationen finden Sie unter [Schnittstellen-VPC-Endpunkte (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) im *Amazon-VPC-Benutzerhandbuch*.
## Überlegungen zu Amazon Comprehend VPC-Endpunkten
Bevor Sie einen Schnittstellen-VPC-Endpunkt für Amazon Comprehend einrichten, sollten Sie die [Eigenschaften und Einschränkungen der Schnittstellen-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) im *Amazon VPC-Benutzerhandbuch* lesen.
Amazon Comprehend Comprehend-Endpunkte sind nicht in allen Verfügbarkeitszonen einer Region verfügbar. Wenn Sie den Endpunkt erstellen, verwenden Sie den folgenden Befehl, um die Verfügbarkeitszonen aufzulisten.
```
aws ec2 describe-vpc-endpoint-services \
--service-names com.amazonaws.us-west-2.comprehend
```
Amazon Comprehend unterstützt Aufrufe all seiner API-Aktionen von Ihrer VPC aus.
## Erstellen eines VPC-Schnittstellen-Endpunkts für Amazon Comprehend
Sie können einen VPC-Endpunkt für den Amazon Comprehend Service entweder mit der Amazon VPC-Konsole oder mit () erstellen. AWS Command Line Interface AWS CLI Weitere Informationen finden Sie unter [Erstellung eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) im *Benutzerhandbuch für Amazon VPC*.
Erstellen Sie einen VPC-Endpunkt für Amazon Comprehend mit dem folgenden Servicenamen:
+ com.amazonaws. *region*.com verstehen
Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an Amazon Comprehend stellen, indem Sie den Standard-DNS-Namen für die Region verwenden, zum Beispiel. `comprehend.us-east-1.amazonaws.com`
Weitere Informationen finden Sie unter [Zugriff auf einen Service über einen Schnittstellenendpunkt](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) im *Benutzerhandbuch für Amazon VPC*.
## Erstellen einer VPC-Endpunktrichtlinie für Amazon Comprehend
Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Amazon Comprehend steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
**Beispiel: VPC-Endpunktrichtlinie für Amazon Comprehend Comprehend-Aktionen**
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Amazon Comprehend. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Principals auf allen Ressourcen Zugriff auf die Amazon Comprehend `DetectEntities` Comprehend-Aktion.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"comprehend:DetectEntities"
],
"Resource":"*"
}
]
}
```
# Identity and Access Management für Amazon Comprehend
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Comprehend Comprehend-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert Amazon Comprehend mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für Amazon Comprehend](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für Amazon Comprehend](security-iam-awsmanpol.md)
+ [Fehlerbehebung bei Amazon Comprehend Identity and Access](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Amazon Comprehend Identity and Access](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon Comprehend mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für Amazon Comprehend](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon Comprehend mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Comprehend zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen mit Amazon Comprehend verwendet werden können.
**IAM-Funktionen, die Sie mit Amazon Comprehend verwenden können**
| IAM-Feature | Amazon Comprehend Comprehend-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Ja |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Teilweise |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Nein |
*Einen allgemeinen Überblick darüber, wie Amazon Comprehend und andere AWS Services mit den meisten IAM-Funktionen funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Identitätsbasierte Richtlinien für Amazon Comprehend
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Amazon Comprehend
Beispiele für identitätsbasierte Richtlinien von Amazon Comprehend finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Comprehend](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien innerhalb von Amazon Comprehend
**Unterstützt ressourcenbasierte Richtlinien:** Ja
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
Der Amazon Comprehend-Service unterstützt nur eine Art von ressourcenbasierter Richtlinie (eine *benutzerdefinierte Modellrichtlinie*), die an ein benutzerdefiniertes Modell angehängt ist. Diese Richtlinie definiert andere Konten, die das benutzerdefinierte Modell verwenden können.
Informationen zum Anhängen einer ressourcenbasierten Richtlinie an ein benutzerdefiniertes Modell finden Sie unter. [Ressourcenbasierte Richtlinien für benutzerdefinierte Modelle](custom-copy-sharing.md#custom-copy-sharing-example-policy)
## Politische Maßnahmen für Amazon Comprehend
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
*Eine Liste der Amazon Comprehend-Aktionen finden Sie unter [Von Amazon Comprehend definierte Aktionen in der Service Authorization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-actions-as-permissions) Reference.*
Richtlinienaktionen in Amazon Comprehend verwenden das folgende Präfix vor der Aktion:
```
comprehend
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"comprehend:DetectSentiment",
"comprehend:ClassifyDocument"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "comprehend:Describe*"
```
Verwenden Sie keine Platzhalter, um alle Aktionen für einen Service anzugeben. Verwenden Sie die bewährte Methode der Gewährung der geringsten Rechte, wenn Sie die Berechtigungen in einer Richtlinie angeben.
Beispiele für identitätsbasierte Richtlinien von Amazon Comprehend finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Comprehend](security_iam_id-based-policy-examples.md)
## Richtlinienressourcen für Amazon Comprehend
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
*Eine Liste der Amazon Comprehend-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon Comprehend definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-resources-for-iam-policies) in der Service Authorization Reference.* Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Comprehend definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-actions-as-permissions).
## Schlüssel zu den Richtlinienbedingungen für Amazon Comprehend
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
*Eine Liste der Amazon Comprehend-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-policy-keys) in der Service Authorization Reference.* Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Comprehend definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-actions-as-permissions).
Beispiele für identitätsbasierte Richtlinien von Amazon Comprehend finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Comprehend](security_iam_id-based-policy-examples.md)
## ACLs in Amazon Comprehend
**Unterstützt ACLs**: Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit Amazon Comprehend
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, um Operationen zu ermöglichen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Weitere Informationen zum Markieren von Amazon Comprehend Comprehend-Ressourcen finden Sie unter. [Markieren von Ressourcen](tagging.md)
## Temporäre Anmeldeinformationen mit Amazon Comprehend verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Zugriffssitzungen für Amazon Comprehend weiterleiten
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Principals, der einen aufruft AWS-Service, kombiniert mit der Anfrage, Anfragen an AWS-Service nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Amazon Comprehend
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle kann die Funktionalität von Amazon Comprehend beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn Amazon Comprehend Sie dazu anleitet.
Um die asynchronen Amazon Comprehend-Operationen verwenden zu können, müssen Sie Amazon Comprehend Zugriff auf den Amazon S3 S3-Bucket gewähren, der Ihre Dokumentensammlung enthält. Dazu erstellen Sie in Ihrem Konto eine Datenzugriffsrolle mit einer Vertrauensrichtlinie, um dem Amazon Comprehend Service Principal zu vertrauen.
Ein Beispiel für eine Richtlinie finden Sie unter [Rollenbasierte Berechtigungen sind für asynchrone Operationen erforderlich](security_iam_id-based-policy-examples.md#auth-role-permissions)
## Servicebezogene Rollen für Amazon Comprehend
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Beispiele für identitätsbasierte Richtlinien für Amazon Comprehend
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Amazon Comprehend Comprehend-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
*Einzelheiten zu den von Amazon Comprehend definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html) in der Service Authorization Reference.*
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Amazon Comprehend Comprehend-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Für die Durchführung von Dokumentenanalyseaktionen erforderliche Berechtigungen](#security-iam-based-policy-perform-cmp-actions)
+ [Für die Verwendung der KMS-Verschlüsselung sind Berechtigungen erforderlich](#auth-kms-permissions)
+ [AWS verwaltete (vordefinierte) Richtlinien für Amazon Comprehend](#access-policy-aws-managed-policies)
+ [Rollenbasierte Berechtigungen sind für asynchrone Operationen erforderlich](#auth-role-permissions)
+ [Berechtigungen zum Zulassen aller Amazon Comprehend Comprehend-Aktionen](#custom-policy-all-all-actions)
+ [Berechtigungen, um Aktionen zur Themenmodellierung zuzulassen](#custom-policy-allow-topic-modeling)
+ [Für einen benutzerdefinierten asynchronen Analyseauftrag erforderliche Berechtigungen](#tagging-resources)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Comprehend Comprehend-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon Comprehend Comprehend-Konsole
Um auf die Amazon Comprehend Comprehend-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon Comprehend Comprehend-Ressourcen in Ihrem aufzulisten und anzuzeigen. AWS-Konto Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. AWS Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Für Mindestberechtigungen für die Amazon Comprehend Comprehend-Konsole können Sie die `ComprehendReadOnly` AWS verwaltete Richtlinie an die Entitäten anhängen. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
Um die Amazon Comprehend Comprehend-Konsole verwenden zu können, benötigen Sie außerdem Berechtigungen für die in der folgenden Richtlinie aufgeführten Aktionen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:ListRoles",
"iam:GetRole",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Die Amazon Comprehend Comprehend-Konsole benötigt diese zusätzlichen Berechtigungen aus den folgenden Gründen:
+ `iam`Berechtigungen zum Auflisten der verfügbaren IAM-Rollen für Ihr Konto.
+ `s3`Berechtigungen für den Zugriff auf die Amazon S3 S3-Buckets und Objekte, die die Daten für die Themenmodellierung enthalten.
Wenn Sie mithilfe der Konsole einen asynchronen Batch-Job oder einen Job zur Themenmodellierung erstellen, haben Sie die Möglichkeit, die Konsole eine IAM-Rolle für Ihren Job erstellen zu lassen. Um eine IAM-Rolle zu erstellen, müssen Benutzern die folgenden zusätzlichen Berechtigungen zum Erstellen von IAM-Rollen und -Richtlinien sowie zum Anhängen von Richtlinien an Rollen gewährt werden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Action":
[
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
Die Amazon Comprehend Comprehend-Konsole benötigt diese zusätzlichen Berechtigungen aus den folgenden Gründen:
+ `iam`Berechtigungen zum Erstellen von Rollen und Richtlinien und zum Anhängen von Rollen und Richtlinien. Die `iam:PassRole` Aktion ermöglicht es der Konsole, die Rolle an Amazon Comprehend zu übergeben.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie beinhaltet Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Für die Durchführung von Dokumentenanalyseaktionen erforderliche Berechtigungen
Die folgende Beispielrichtlinie gewährt Berechtigungen zur Verwendung der Amazon Comprehend Comprehend-Dokumentenanalyseaktionen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowDetectActions",
"Effect": "Allow",
"Action": [
"comprehend:DetectEntities",
"comprehend:DetectKeyPhrases",
"comprehend:DetectDominantLanguage",
"comprehend:DetectSentiment",
"comprehend:DetectTargetedSentiment",
"comprehend:DetectSyntax",
"textract:DetectDocumentText",
"textract:AnalyzeDocument"
],
"Resource": "*"
}
]
}
```
------
Die Richtlinie enthält eine Erklärung, die die Erlaubnis zur Verwendung der Aktionen`DetectEntities`,`DetectKeyPhrases`,`DetectDominantLanguage`, `DetectTargetedSentiment``DetectSentiment`, und `DetectSyntax` erteilt. Die Grundsatzerklärung gewährt auch Berechtigungen zur Verwendung von zwei Amazon Textract Textract-API-Methoden. Amazon Comprehend ruft diese Methoden auf, um Text aus Bilddateien und gescannten PDF-Dokumenten zu extrahieren. Sie können diese Berechtigungen für Benutzer entfernen, die niemals benutzerdefinierte Inferenzen für diese Art von Eingabedateien ausführen.
Ein Benutzer mit dieser Richtlinie wäre nicht in der Lage, Batch-Aktionen oder asynchrone Aktionen in Ihrem Konto durchzuführen.
Die Richtlinie gibt nicht das `Principal`-Element an, da in einer identitätsbasierten Richtlinie nicht der Prinzipal angegeben wird, der die Berechtigung erhält. Wenn Sie einem Benutzer eine Richtlinie anfügen, ist der Benutzer automatisch der Prinzipal. Wird die Berechtigungsrichtlinie einer IAM-Rolle angefügt, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen.
*Eine Tabelle mit allen Amazon Comprehend API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Comprehend](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazoncomprehend.html) in der Service Authorization Reference.*
## Für die Verwendung der KMS-Verschlüsselung sind Berechtigungen erforderlich
Um Amazon Key Management Service (KMS) für die Daten- und Auftragsverschlüsselung in einem asynchronen Job vollständig nutzen zu können, müssen Sie Berechtigungen für die in der folgenden Richtlinie aufgeführten Aktionen erteilen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:CreateGrant"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:Decrypt",
"kms:GenerateDatakey"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
Wenn Sie mit Amazon Comprehend einen asynchronen Job erstellen, verwenden Sie auf Amazon S3 gespeicherte Eingabedaten. Mit S3 haben Sie die Möglichkeit, Ihre gespeicherten Daten zu verschlüsseln, die von S3 und nicht von Amazon Comprehend verschlüsselt werden. Wir können diese verschlüsselten Eingabedaten entschlüsseln und lesen, wenn Sie der vom Amazon Comprehend Comprehend-Job verwendeten Datenzugriffsrolle die `kms:Decrypt` Erlaubnis für den Schlüssel erteilen, mit dem die ursprünglichen Eingabedaten verschlüsselt wurden.
Sie haben auch die Möglichkeit, vom Kunden verwaltete KMS-Schlüssel (CMK) zu verwenden, um die Ausgabeergebnisse auf S3 sowie das bei der Auftragsverarbeitung verwendete Speichervolumen zu verschlüsseln. In diesem Fall können Sie denselben KMS-Schlüssel für beide Verschlüsselungsarten verwenden, dies ist jedoch nicht erforderlich. Bei der Erstellung des Jobs stehen separate Felder zur Verfügung, um die Schlüssel für die Ausgabeverschlüsselung und die Volumenverschlüsselung anzugeben, und Sie können sogar einen KMS-Schlüssel von einem anderen Konto verwenden.
Bei Verwendung der KMS-Verschlüsselung ist eine `kms:CreateGrant` Genehmigung für die Volumenverschlüsselung und eine `kms:GenerateDataKey` Genehmigung für die Verschlüsselung der Ausgabedaten erforderlich. Für das Lesen verschlüsselter Eingaben (wenn die Eingabedaten bereits von Amazon S3 verschlüsselt sind) ist eine `kms:Decrypt` Genehmigung erforderlich. Die IAM-Rolle muss diese Berechtigungen nach Bedarf erteilen. Wenn der Schlüssel jedoch von einem anderen Konto stammt als dem, das derzeit verwendet wird, muss die KMS-Schlüsselrichtlinie für diesen KMS-Schlüssel diese Berechtigungen auch der Datenzugriffsrolle für den Job zuweisen.
## AWS verwaltete (vordefinierte) Richtlinien für Amazon Comprehend
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet werden. AWS Diese AWS verwalteten Richtlinien gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle, sodass Sie nicht erst untersuchen müssen, welche Berechtigungen benötigt werden. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind spezifisch für Amazon Comprehend:
+ **ComprehendFullAccess**— Gewährt vollen Zugriff auf Amazon Comprehend Comprehend-Ressourcen, einschließlich der Ausführung von Themenmodellierungsjobs. Beinhaltet die Erlaubnis, IAM-Rollen aufzulisten und abzurufen.
+ **ComprehendReadOnly**— Erteilt die Erlaubnis, alle Amazon Comprehend Comprehend-Aktionen außer`StartDominantLanguageDetectionJob`,`StartEntitiesDetectionJob`,, `StartKeyPhrasesDetectionJob` `StartSentimentDetectionJob``StartTargetedSentimentDetectionJob`, und auszuführen. `StartTopicsDetectionJob`
Sie müssen die folgende zusätzliche Richtlinie auf jeden Benutzer anwenden, der Amazon Comprehend verwendet:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
Sie können die Richtlinien für verwaltete Berechtigungen überprüfen, indem Sie sich bei der IAM-Konsole anmelden und dort nach bestimmten Richtlinien suchen.
Diese Richtlinien funktionieren, wenn Sie AWS SDKs oder die AWS CLI verwenden.
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für Amazon Comprehend Comprehend-Aktionen und -Ressourcen zu gewähren. Sie können diese benutzerdefinierten Richtlinien den Benutzern, Gruppen oder Rollen zuordnen, für die diese Berechtigungen erforderlich sind.
## Rollenbasierte Berechtigungen sind für asynchrone Operationen erforderlich
Um die asynchronen Amazon Comprehend-Operationen verwenden zu können, müssen Sie Amazon Comprehend Zugriff auf den Amazon S3 S3-Bucket gewähren, der Ihre Dokumentensammlung enthält. Dazu erstellen Sie in Ihrem Konto eine Datenzugriffsrolle mit einer Vertrauensrichtlinie, um dem Amazon Comprehend Service Principal zu vertrauen. Weitere Informationen zum Erstellen einer Rolle finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *AWS Identity and Access Management-Benutzerhandbuch*.
Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie für die Rolle, die Sie erstellen. Um das Vermeiden [verwirrter Stellvertreter zu verhindern](cross-service-confused-deputy-prevention.md), schränken Sie den Umfang der Berechtigung ein, indem Sie einen oder mehrere globale Bedingungskontextschlüssel verwenden. Legen Sie den Wert `aws:SourceAccount` auf Ihre Konto-ID fest. Wenn Sie die `ArnEquals` Bedingung verwenden, setzen Sie den `aws:SourceArn` Wert auf den ARN des Jobs. Verwenden Sie einen Platzhalter für die Auftragsnummer im ARN, da Amazon Comprehend diese Nummer im Rahmen der Auftragserstellung generiert.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:comprehend:us-west-2:111122223333:pii-entities-detection-job/*"
}
}
}
]
}
```
------
Nachdem Sie die Rolle erstellt haben, erstellen Sie eine Zugriffsrichtlinie für diese Rolle. Dadurch sollten Amazon S3 `GetObject` und `ListBucket` Berechtigungen für den Amazon S3-Bucket, der Ihre Eingabedaten enthält, und Amazon S3-Berechtigungen für Ihren Amazon S3 S3-Ausgabedaten-Bucket `PutObject` erteilt werden.
## Berechtigungen zum Zulassen aller Amazon Comprehend Comprehend-Aktionen
Nachdem Sie sich angemeldet haben AWS, erstellen Sie einen Administratorbenutzer zur Verwaltung Ihres Kontos, einschließlich der Erstellung von Benutzern und der Verwaltung ihrer Berechtigungen.
Sie können einen Benutzer erstellen, der über Berechtigungen für alle Amazon Comprehend-Aktionen verfügt (stellen Sie sich diesen Benutzer als dienstspezifischen Administrator vor), um mit Amazon Comprehend zu arbeiten. Diesem Benutzer können Sie die folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "AllowAllComprehendActions",
"Effect": "Allow",
"Action":
[
"comprehend:*",
"iam:ListRoles",
"iam:GetRole",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDatakey"
],
"Resource": "*"
},
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
Diese Berechtigungen können im Hinblick auf die Verschlüsselung auf folgende Weise geändert werden:
+ Damit Amazon Comprehend Dokumente analysieren kann, die in einem verschlüsselten S3-Bucket gespeichert sind, muss die IAM-Rolle über die entsprechende Berechtigung verfügen. `kms:Decrypt`
+ Damit Amazon Comprehend Dokumente verschlüsseln kann, die auf einem Speichervolume gespeichert sind, das an die Compute-Instance angehängt ist, die den Analyseauftrag verarbeitet, muss die IAM-Rolle über die entsprechende Berechtigung verfügen. `kms:CreateGrant`
+ Damit Amazon Comprehend die Ausgabeergebnisse in ihrem S3-Bucket verschlüsseln kann, muss die IAM-Rolle über die entsprechende Berechtigung verfügen. `kms:GenerateDataKey`
## Berechtigungen, um Aktionen zur Themenmodellierung zuzulassen
Die folgende Berechtigungsrichtlinie gewährt Benutzern Berechtigungen zur Durchführung der Themenmodellierungsoperationen von Amazon Comprehend.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTopicModelingActions",
"Effect": "Allow",
"Action": [
"comprehend:DescribeTopicsDetectionJob",
"comprehend:ListTopicsDetectionJobs",
"comprehend:StartTopicsDetectionJob"
],
"Resource": "*"
}
]
}
```
------
## Für einen benutzerdefinierten asynchronen Analyseauftrag erforderliche Berechtigungen
**Wichtig**
Wenn Sie über eine IAM-Richtlinie verfügen, die den Modellzugriff einschränkt, können Sie einen Inferenzjob mit einem benutzerdefinierten Modell nicht abschließen. Ihre IAM-Richtlinie sollte dahingehend aktualisiert werden, dass sie über eine Platzhalterressource für einen benutzerdefinierten asynchronen Analysejob verfügt.
Wenn Sie das [StartDocumentClassificationJob ](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartDocumentClassificationJob.html)und verwenden [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartEntitiesDetectionJob.html) APIs, müssen Sie Ihre IAM-Richtlinie aktualisieren, es sei denn, Sie verwenden derzeit Platzhalter als Ressourcen. Wenn Sie ein vortrainiertes Modell [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartEntitiesDetectionJob.html)verwenden, hat dies keine Auswirkungen auf Sie und Sie müssen keine Änderungen vornehmen.
Die folgende Beispielrichtlinie enthält eine **veraltete** Referenz.
```
{
"Action": [
"comprehend:StartDocumentClassificationJob",
"comprehend:StartEntitiesDetectionJob",
],
"Resource": [
"arn:aws:comprehend:us-east-1:123456789012:document-classifier/myClassifier",
"arn:aws:comprehend:us-east-1:123456789012:entity-recognizer/myRecognizer"
],
"Effect": "Allow"
}
```
Dies ist die **aktualisierte** Richtlinie, die Sie verwenden müssen, um und erfolgreich auszuführen StartDocumentClassificationJob . StartEntitiesDetectionJob
```
{
"Action": [
"comprehend:StartDocumentClassificationJob",
"comprehend:StartEntitiesDetectionJob",
],
"Resource": [
"arn:aws:comprehend:us-east-1:123456789012:document-classifier/myClassifier",
"arn:aws:comprehend:us-east-1:123456789012:document-classification-job/*",
"arn:aws:comprehend:us-east-1:123456789012:entity-recognizer/myRecognizer",
"arn:aws:comprehend:us-east-1:123456789012:entities-detection-job/*"
],
"Effect": "Allow"
}
```
# AWS verwaltete Richtlinien für Amazon Comprehend
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im *IAM-Benutzerhandbuch* unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies).
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die **ReadOnlyAccess** AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
## AWS verwaltete Richtlinie: ComprehendFullAccess
Diese Richtlinie gewährt vollen Zugriff auf Amazon Comprehend Comprehend-Ressourcen, einschließlich der Ausführung von Themenmodellierungsjobs. Diese Richtlinie gewährt auch Listen- und Abrufberechtigungen für Amazon S3 S3-Buckets und IAM-Rollen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"comprehend:*",
"iam:GetRole",
"iam:ListRoles",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: ComprehendReadOnly
**Diese Richtlinie gewährt nur Leseberechtigungen zur Ausführung aller Amazon Comprehend Comprehend-Aktionen mit Ausnahme der folgenden:**
+ `StartDominantLanguageDetectionJob`
+ `StartEntitiesDetectionJob`
+ `StartKeyPhrasesDetectionJob`
+ `StartSentimentDetectionJob`
+ `StartTargetedSentimentDetectionJob`
+ `StartTopicsDetectionJob`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectKeyPhrases",
"comprehend:BatchDetectSentiment",
"comprehend:BatchDetectSyntax",
"comprehend:ClassifyDocument",
"comprehend:ContainsPiiEntities",
"comprehend:DescribeDocumentClassificationJob",
"comprehend:DescribeDocumentClassifier",
"comprehend:DescribeDominantLanguageDetectionJob",
"comprehend:DescribeEndpoint",
"comprehend:DescribeEntitiesDetectionJob",
"comprehend:DescribeEntityRecognizer",
"comprehend:DescribeKeyPhrasesDetectionJob",
"comprehend:DescribePiiEntitiesDetectionJob",
"comprehend:DescribeResourcePolicy",
"comprehend:DescribeSentimentDetectionJob",
"comprehend:DescribeTargetedSentimentDetectionJob",
"comprehend:DescribeTopicsDetectionJob",
"comprehend:DetectDominantLanguage",
"comprehend:DetectEntities",
"comprehend:DetectKeyPhrases",
"comprehend:DetectPiiEntities",
"comprehend:DetectSentiment",
"comprehend:DetectSyntax",
"comprehend:ListDocumentClassificationJobs",
"comprehend:ListDocumentClassifiers",
"comprehend:ListDocumentClassifierSummaries",
"comprehend:ListDominantLanguageDetectionJobs",
"comprehend:ListEndpoints",
"comprehend:ListEntitiesDetectionJobs",
"comprehend:ListEntityRecognizers",
"comprehend:ListEntityRecognizerSummaries",
"comprehend:ListKeyPhrasesDetectionJobs",
"comprehend:ListPiiEntitiesDetectionJobs",
"comprehend:ListSentimentDetectionJobs",
"comprehend:ListTargetedSentimentDetectionJobs",
"comprehend:ListTagsForResource",
"comprehend:ListTopicsDetectionJobs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Amazon Comprehend Comprehend-Aktualisierungen der verwalteten Richtlinien AWS
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Comprehend an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Amazon Comprehend [Document-Verlaufsseite](https://docs.aws.amazon.com/comprehend/latest/dg/doc-history.html).
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly) – Aktualisierung auf eine bestehende Richtlinie | Amazon Comprehend erlaubt jetzt die `comprehend:ListTargetedSentimentDetectionJobs` Aktionen `comprehend:DescribeTargetedSentimentDetectionJob` und in der Richtlinie ComprehendReadOnly | 30. März 2022 |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly) – Aktualisierung auf eine bestehende Richtlinie | Amazon Comprehend erlaubt jetzt die `comprehend:DescribeResourcePolicy` Aktion in der Richtlinie ComprehendReadOnly | 2. Februar 2022 |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly) – Aktualisierung auf eine bestehende Richtlinie | Amazon Comprehend erlaubt jetzt die `ListEntityRecognizerSummaries` Aktionen `ListDocumentClassifierSummaries` und in der Richtlinie ComprehendReadOnly | 21. September 2021 |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly) – Aktualisierung auf eine bestehende Richtlinie | Amazon Comprehend erlaubt jetzt die ContainsPIIEntities Aktion in der Richtlinie ComprehendReadOnly | 26. März 2021 |
| Amazon Comprehend hat begonnen, Änderungen nachzuverfolgen | Amazon Comprehend hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 1. März 2021 |
# Fehlerbehebung bei Amazon Comprehend Identity and Access
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Comprehend und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Amazon Comprehend durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff auf meine AWS-Konto Amazon Comprehend Comprehend-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Amazon Comprehend durchzuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zum Anzeigen von Details zu einer fiktiven `my-example-widget`-Ressource zu verwenden, jedoch nicht über `comprehend:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: comprehend:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Mateo-Richtlinie aktualisiert werden, damit er mit der `comprehend:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon Comprehend übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon Comprehend auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren Administrator. AWS Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff auf meine AWS-Konto Amazon Comprehend Comprehend-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon Comprehend diese Funktionen unterstützt, finden Sie unter. [So funktioniert Amazon Comprehend mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Protokollieren von Amazon Comprehend API-Aufrufen mit AWS CloudTrail
Amazon Comprehend ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in Amazon Comprehend ausgeführt wurden. CloudTrail erfasst API-Aufrufe für Amazon Comprehend als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Amazon Comprehend Comprehend-Konsole und Code-Aufrufe der Amazon Comprehend Comprehend-API-Operationen. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Amazon Comprehend. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Amazon Comprehend gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen darüber CloudTrail, einschließlich der Konfiguration und Aktivierung, finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Amazon Comprehend in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn unterstützte Ereignisaktivitäten in Amazon Comprehend auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen im CloudTrail Ereignisverlauf in einem **Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem anzeigen, suchen und herunterladen. AWS-Konto Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto, einschließlich Ereignissen für Amazon Comprehend, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole erstellen, gilt der Trail standardmäßig für alle AWS Regionen. Der Trail protokolliert Ereignisse aus allen Regionen in der AWS -Partition und stellt die Protokolldateien in dem von Ihnen angegebenen Amazon-S3-Bucket bereit. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Amazon Comprehend unterstützt die Protokollierung der folgenden Aktionen als Ereignisse in CloudTrail Protokolldateien:
+ [BatchDetectDominantLanguage](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectDominantLanguage.html)
+ [BatchDetectEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectEntities.html)
+ [BatchDetectKeyPhrases](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectKeyPhrases.html)
+ [BatchDetectSentiment](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectSentiment.html)
+ [BatchDetectSyntax](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectSyntax.html)
+ [ClassifyDocument](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ClassifyDocument.html)
+ [CreateDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateDocumentClassifier.html)
+ [CreateEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEndpoint.html)
+ [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html)
+ [DeleteDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DeleteDocumentClassifier.html)
+ [DeleteEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DeleteEndpoint.html)
+ [DeleteEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DeleteEntityRecognizer.html)
+ [DescribeDocumentClassificationJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeDocumentClassificationJob.html)
+ [DescribeDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeDocumentClassifier.html)
+ [DescribeDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeDominantLanguageDetectionJob.html)
+ [DescribeEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeEndpoint.html)
+ [DescribeEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeEntitiesDetectionJob.html)
+ [DescribeEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeEntityRecognizer.html)
+ [DescribeKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeKeyPhrasesDetectionJob.html)
+ [DescribePiiEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribePiiEntitiesDetectionJob.html)
+ [DescribeSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeSentimentDetectionJob.html)
+ [DescribeTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeTargetedSentimentDetectionJob.html)
+ [DescribeTopicsDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeTopicsDetectionJob.html)
+ [DetectDominantLanguage](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectDominantLanguage.html)
+ [DetectEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectEntities.html)
+ [DetectKeyPhrases](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectKeyPhrases.html)
+ [DetectPiiEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectPiiEntities.html)
+ [DetectSentiment](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectSentiment.html)
+ [DetectSyntax](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectSyntax.html)
+ [ListDocumentClassificationJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListDocumentClassificationJobs.html)
+ [ListDocumentClassifiers](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListDocumentClassifiers.html)
+ [ListDominantLanguageDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListDominantLanguageDetectionJobs.html)
+ [ListEndpoints](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListEndpoints.html)
+ [ListEntitiesDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListEntitiesDetectionJobs.html)
+ [ListEntityRecognizers](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListEntityRecognizers.html)
+ [ListKeyPhrasesDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListKeyPhrasesDetectionJobs.html)
+ [ListPiiEntitiesDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListPiiEntitiesDetectionJobs.html)
+ [ListSentimentDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListSentimentDetectionJobs.html)
+ [ListTargetedSentimentDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListTargetedSentimentDetectionJobs.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListTagsForResource.html)
+ [ListTopicsDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListTopicsDetectionJobs.html)
+ [StartDocumentClassificationJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDocumentClassificationJob.html)
+ [StartDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDominantLanguageDetectionJob.html)
+ [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)
+ [StartKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartKeyPhrasesDetectionJob.html)
+ [StartPiiEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartPiiEntitiesDetectionJob.html)
+ [StartSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartSentimentDetectionJob.html)
+ [StartTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTargetedSentimentDetectionJob.html)
+ [StartTopicsDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTopicsDetectionJob.html)
+ [StopDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopDominantLanguageDetectionJob.html)
+ [StopEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopEntitiesDetectionJob.html)
+ [StopKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopKeyPhrasesDetectionJob.html)
+ [StopPiiEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopPiiEntitiesDetectionJob.html)
+ [StopSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopSentimentDetectionJob.html)
+ [StopTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopTargetedSentimentDetectionJob.html)
+ [StopTrainingDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopTrainingDocumentClassifier.html)
+ [StopTrainingEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopTrainingEntityRecognizer.html)
+ [TagResource](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_TagResource.html)
+ [UntagResource](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_UntagResource.html)
+ [UpdateEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_UpdateEndpoint.html)
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit den Root-Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Beispiel: Amazon Comprehend Comprehend-Protokolldateieinträge
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `ClassifyDocument` Aktion demonstriert.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AROAICFHPEXAMPLE",
"arn": "arn:aws:iam::12345678910:user/myadmin2",
"accountId": "12345678910",
"accessKeyId": "ASIA3VZEXAMPLE",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-10-19T14:22:09Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-10-19T17:31:20Z",
"eventSource": "comprehend.amazonaws.com",
"eventName": "ClassifyDocument",
"awsRegion": "us-east-2",
"sourceIPAddress": "3.21.185.237",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/115.0",
"requestParameters": null,
"responseElements": null,
"requestID": "fd916e66-caac-46c9-a1fc-81a0ef33e61b",
"eventID": "535ca22b-b3a3-4c13-b2c5-bf51ab082794",
"readOnly": false,
"resources": [
{
"accountId": "12345678910",
"type": "AWS::Comprehend::DocumentClassifierEndpoint",
"ARN": "arn:aws:comprehend:us-east-2:12345678910:document-classifier-endpoint/endpointExample"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "12345678910"
}
```
# Konformitätsprüfung für Amazon Comprehend
Externe Prüfer bewerten die Sicherheit und Konformität von Amazon Comprehend im Rahmen mehrerer AWS Compliance-Programme. Hierzu zählen unter anderem PCI, FedRAMP und HIPAA. Sie können Prüfberichte von Drittanbietern unter herunterladen. AWS Artifact Weitere Informationen finden Sie unter [Berichte in AWS Artifact herunterladen](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Compliance-Verantwortung bei der Verwendung von Amazon Comprehend richtet sich nach der Sensibilität Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften. AWS bietet die folgenden Ressourcen zur Unterstützung bei der Einhaltung von Vorschriften:
+ [Schnellstartanleitungen zu Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — In diesen Bereitstellungsleitfäden werden architektonische Überlegungen erörtert und Schritte für die Implementierung von Umgebungen beschrieben, auf denen auf Sicherheit und Compliance ausgerichtete Basisumgebungen eingerichtet werden. AWS
+ Whitepaper „[Architecting for HIPAA Security and Compliance“ — In diesem Whitepaper](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) wird beschrieben, wie Unternehmen HIPAA-konforme Anwendungen entwickeln können. AWS
+ [AWS Ressourcen zur Einhaltung](https://aws.amazon.com/compliance/resources/) von Vorschriften — Diese Sammlung von Arbeitsmappen und Leitfäden kann auf Ihre Branche und Ihren Standort zutreffen.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Mit diesem AWS Service wird bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus und hilft Ihnen AWS , die Einhaltung der Sicherheitsstandards und bewährten Verfahren der Sicherheitsbranche zu überprüfen.
Eine Liste der AWS Services im Rahmen bestimmter Compliance-Programme finden Sie unter [AWS Services im Umfang der einzelnen Compliance-Programme](https://aws.amazon.com/compliance/services-in-scope/). Allgemeine Informationen finden Sie unter [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/).
# Resilienz in Amazon Comprehend
Die AWS globale Infrastruktur basiert auf AWS-Region s und Availability Zones. AWS-Region s bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS-Region s und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
# Infrastruktursicherheit in Amazon Comprehend
Als verwalteter Service ist Amazon Comprehend durch die AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Comprehend zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.