Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon Transcribe Beispiele für identitätsbasierte Politik
Benutzer und Rollen haben standardmäßig nicht die Berechtigung, Amazon Transcribe -Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe der AWS Management Console, AWS Command Line Interface (AWS CLI) oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen. Der Administrator kann dann die IAM-Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen annehmen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter Erstellen von IAM-Richtlinien (Konsole) im IAM-Benutzerhandbuch.
Einzelheiten zu den von Amazon Transcribe definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Transcribe in der Service Authorization Reference.
Themen
Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Amazon Transcribe Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:
-
Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS -verwaltete Richtlinien oder AWS -verwaltete Richtlinien für Auftrags-Funktionen im IAM-Benutzerhandbuch.
-
Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.
-
Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
-
Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung mit IAM Access Analyzer im IAM-Benutzerhandbuch.
-
Multi-Faktor-Authentifizierung (MFA) erforderlich — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Sicherer API-Zugriff mit MFA im IAM-Benutzerhandbuch.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.
Verwenden des AWS Management Console
Um auf die Amazon Transcribe-Konsole zugreifen zu können, müssen Sie über ein Mindestmaß an Berechtigungen verfügen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon Transcribe Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass eine Entität (Benutzer und Rollen) die verwenden kann AWS Management Console
-
AmazonTranscribeFullAccess: Gewährt vollen Zugriff zum Erstellen, Lesen, Aktualisieren, Löschen und Ausführen aller Amazon Transcribe Ressourcen. Es ermöglicht auch den Zugriff auf Amazon S3 -Buckets mittranscribeim Bucket-Namen. -
AmazonTranscribeReadOnlyAccess: Gewährt Lesezugriff auf die Ressourcen von Amazon Transcribe , sodass Sie Transkriptionsaufträge und benutzerdefinierte Vokabulare abrufen und auflisten können.
Anmerkung
Sie können die verwalteten Berechtigungsrichtlinien überprüfen, indem Sie sich bei IAM AWS Management Console anmelden und nach dem Namen der Richtlinie suchen. Bei der Suche nach „transcribe“ werden beide oben aufgeführten Richtlinien (AmazonTranscribeReadOnlyund AmazonTranscribeFullAccess) zurückgegeben.
Sie können auch Ihre eigenen benutzerdefinierten IAM Richtlinien erstellen, um Berechtigungen für Amazon Transcribe API-Aktionen zuzulassen. Sie können diese benutzerdefinierten Richtlinien mit den Entitäten verknüpfen, die diese Berechtigungen benötigen.
Für IAM Rollen sind Berechtigungen erforderlich
Wenn Sie eine IAM Rolle zum Aufrufen erstellen Amazon Transcribe, muss diese über die Zugriffsberechtigung für den Amazon S3 Bucket verfügen. Falls zutreffend, muss KMS key auch zur Verschlüsselung des Inhalts des Buckets verwendet werden. In den folgenden Abschnitten finden Sie Beispiele für Richtlinien.
Vertrauensrichtlinien
Die IAM Entität, die Sie für Ihre Transkriptionsanfrage verwenden, muss über eine Vertrauensrichtlinie verfügen, die es ermöglicht, diese Rolle Amazon Transcribe zu übernehmen. Verwenden Sie die folgende Amazon Transcribe Vertrauensrichtlinie. Beachten Sie, dass Sie bei einer Echtzeit-Call-Analytics-Anforderung mit aktivierter Analyse nach Anrufen die „Vertrauensrichtlinie für Echtzeit-Call-Analytics“ verwenden müssen.
Vertrauensrichtlinie für Amazon Transcribe
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "transcribe.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ], "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*" } } } ] }
Vertrauensrichtlinie für Echtzeit-Call-Analytics
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "transcribe.streaming.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ], "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*" } } } ] }
Amazon S3 Eingabe-Bucket-Richtlinie
Die folgende Richtlinie erteilt einer IAM Rolle die Berechtigung, auf Dateien aus dem angegebenen Eingabe-Bucket zuzugreifen.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-INPUT-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-INPUT-BUCKET/*" ] } }
Amazon S3 Richtlinie für den Ausgabe-Bucket
Die folgende Richtlinie erteilt einer IAM Rolle die Berechtigung, Dateien in den angegebenen Ausgabe-Bucket zu schreiben.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-OUTPUT-BUCKET/*" ] } }
Für Amazon S3 Verschlüsselungsschlüssel sind Berechtigungen erforderlich
Wenn Sie einen KMS key Amazon S3 Bucket verschlüsseln, nehmen Sie Folgendes in die KMS key Richtlinie auf. Dadurch erhalten Amazon Transcribe Sie Zugriff auf den Inhalt des Buckets. Weitere Informationen zum Zulassen des Zugriffs auf KMS keys finden Sie unter Zulassen des Zugriffs auf AWS-Konten an durch externe KMS key Benutzer im AWS KMS Entwicklerhandbuch.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId" } ] }
Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI AWS OR-API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
AWS KMS Richtlinie für den Verschlüsselungskontext
Die folgende Richtlinie gewährt der IAM Rolle „ExampleRole“ die Berechtigung, die Operationen AWS KMS Entschlüsseln und Verschlüsseln für diesen speziellen Zweck zu verwenden. KMS key Diese Richtlinie gilt nur für Anfragen mit mindestens einem Verschlüsselungskontextpaar, in diesem Fall „color:indigoBlue“. Weitere Informationen zum AWS KMS Verschlüsselungskontext finden Sie unter. AWS KMS Verschlüsselungskontext
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:color":"indigoBlue" } } } ] }
Confused-Deputy-Prävention-Richtlinie
Im Folgenden finden Sie ein Beispiel für eine Richtlinie „Rolle übernehmen“. Es zeigt, wie Sie mithilfe von aws:SourceArn und aws:SourceAccount mit verhindern können, dass ein Amazon Transcribe unübersichtliches Stellvertreterproblem entsteht. Weitere Informationen zur Confused-Deputy-Prävention finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "transcribe.amazonaws.com" }, "Action": [ "sts:AssumeRole", ], "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*" } } } ] }
Anzeigen von Transkriptionsaufträgen basierend auf Tags
Sie können in Ihrer identitätsbasierten Richtlinie Bedingungen für die Steuerung des Zugriffs auf Amazon Transcribe
-Ressourcen auf der Basis von Tags verwenden. In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die die Anzeige eines Transkriptionsauftrags ermöglicht. Die Berechtigung wird jedoch nur erteilt, wenn das Owner-Transkriptionsauftrags-Tag den Wert des Benutzernamens dieses Benutzers hat. Diese Richtlinie gewährt auch die Berechtigungen, die für die Ausführung dieser Aktion über die AWS Management Console erforderlich sind.
Sie können diese Richtlinie den IAM Entitäten in Ihrem Konto zuordnen. Wenn eine Rolle namens test-role versucht, einen Transkriptionsauftrag anzuzeigen, muss der Transkriptionsauftrag markiert werden als Owner=test-role oder owner=test-role (Bedingungsschlüsselnamen werden nicht zwischen Groß- und Kleinschreibung unterschieden), andernfalls wird ihnen der Zugriff verweigert. Weitere Informationen finden Sie unter IAM -JSON-Richtlinienelemente: Bedingung im IAM -Benutzerhandbuch.
Weitere Informationen zum Taggen finden Sie Amazon Transcribe unterTaggen von -Ressourcen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListTranscriptionJobsInConsole", "Effect": "Allow", "Action": "transcribe:ListTranscriptionJobs", "Resource": "*" }, { "Sid": "ViewTranscriptionJobsIfOwner", "Effect": "Allow", "Action": "transcribe:GetTranscriptionJobs", "Resource": "arn:aws:transcribe:*:*:transcription-job/*", "Condition": { "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"} } } ] }
