Amazon Transcribe Beispiele für identitätsbasierte Politik - Amazon Transcribe
Bewährte Methoden für RichtlinienMit dem AWS Management ConsoleFür IAM Rollen sind Berechtigungen erforderlichFür Amazon S3 Verschlüsselungsschlüssel sind Berechtigungen erforderlichGewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für BenutzerAWS KMS Richtlinie für den VerschlüsselungskontextConfused-Deputy-Prävention-RichtlinieAnzeigen von Transkriptionsaufträgen basierend auf Tags

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Transcribe Beispiele für identitätsbasierte Politik

Benutzer und Rollen haben standardmäßig nicht die Berechtigung, Amazon Transcribe -Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe von AWS Management Console, AWS Command Line Interface (AWS CLI) oder ausführen. AWS API Um Benutzern die Berechtigung zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.

Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie mithilfe dieser Beispieldokumente zu JSON Richtlinien finden Sie im IAMBenutzerhandbuch unter IAM Richtlinien erstellen (Konsole).

Einzelheiten zu den von Amazon Transcribe definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Transcribe in der Service Authorization Reference.

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien legen fest, ob jemand Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Amazon Transcribe Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:

  • Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie AWS im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien oder Verwaltete Richtlinien für Jobfunktionen.

  • Berechtigungen mit den geringsten Rechten anwenden — Wenn Sie Berechtigungen mit IAM Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung IAM zum Anwenden von Berechtigungen finden Sie IAMim Benutzerhandbuch unter Richtlinien und Berechtigungen. IAM

  • Verwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränken — Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen einzuschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um anzugeben, dass alle Anfragen mit gesendet werden müssenSSL. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese über einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAMJSONRichtlinienelemente: Bedingung im IAMBenutzerhandbuch.

  • Verwenden Sie IAM Access Analyzer, um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleisten. IAM Access Analyzer validiert neue und bestehende Richtlinien, sodass die Richtlinien der IAM Richtliniensprache (JSON) und den IAM bewährten Methoden entsprechen. IAMAccess Analyzer bietet mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen, um Sie bei der Erstellung sicherer und funktionaler Richtlinien zu unterstützen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Überprüfen von Richtlinien mit IAM Access Analyzer.

  • Multi-Faktor-Authentifizierung erforderlich (MFA) — Wenn Sie ein Szenario haben, in dem IAM Benutzer oder ein Root-Benutzer erforderlich sind AWS-Konto, aktivieren Sie die Option MFA für zusätzliche Sicherheit. Um festzulegen, MFA wann API Operationen aufgerufen werden, fügen Sie MFA Bedingungen zu Ihren Richtlinien hinzu. Weitere Informationen finden Sie unter Sicherer API Zugriff mit MFA im IAMBenutzerhandbuch.

Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch. IAM

Mit dem AWS Management Console

Um auf die Amazon Transcribe-Konsole zugreifen zu können, müssen Sie über ein Mindestmaß an Berechtigungen verfügen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon Transcribe Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.

Sie müssen Benutzern, die nur Anrufe an AWS CLI oder am tätigen, keine Mindestberechtigungen für die Konsole gewähren AWS API. Erlauben Sie stattdessen nur den Zugriff auf die Aktionen, die dem API Vorgang entsprechen, den sie ausführen möchten.

Um sicherzustellen, dass eine Entität (Benutzer und Rollen) die verwenden kann AWS Management Console, fügen Sie ihnen eine der folgenden AWS verwalteten Richtlinien bei.

  • AmazonTranscribeFullAccess: Gewährt vollen Zugriff zum Erstellen, Lesen, Aktualisieren, Löschen und Ausführen aller Amazon Transcribe Ressourcen. Es ermöglicht auch den Zugriff auf Amazon S3 -Buckets mit transcribe im Bucket-Namen.

  • AmazonTranscribeReadOnlyAccess: Gewährt Lesezugriff auf die Ressourcen von Amazon Transcribe , sodass Sie Transkriptionsaufträge und benutzerdefinierte Vokabulare abrufen und auflisten können.

Anmerkung

Sie können die verwalteten Berechtigungsrichtlinien überprüfen, indem Sie sich bei IAM AWS Management Console anmelden und nach dem Namen der Richtlinie suchen. Bei der Suche nach „transcribe“ werden beide oben aufgeführten Richtlinien (AmazonTranscribeReadOnlyund AmazonTranscribeFullAccess) zurückgegeben.

Sie können auch Ihre eigenen benutzerdefinierten IAM Richtlinien erstellen, um Berechtigungen für Amazon Transcribe API Aktionen zu gewähren. Sie können diese benutzerdefinierten Richtlinien mit den Entitäten verknüpfen, die diese Berechtigungen benötigen.

Für IAM Rollen sind Berechtigungen erforderlich

Wenn Sie eine IAM Rolle zum Aufrufen erstellen Amazon Transcribe, muss diese über die Zugriffsberechtigung für den Amazon S3 Bucket verfügen. Falls zutreffend, muss KMS key auch zur Verschlüsselung des Inhalts des Buckets verwendet werden. In den folgenden Abschnitten finden Sie Beispiele für Richtlinien.

Vertrauensrichtlinien

Die IAM Entität, die Sie für Ihre Transkriptionsanfrage verwenden, muss über eine Vertrauensrichtlinie verfügen, die es ermöglicht, diese Rolle Amazon Transcribe zu übernehmen. Verwenden Sie die folgende Amazon Transcribe Vertrauensrichtlinie. Beachten Sie, dass Sie bei einer Echtzeit-Call-Analytics-Anforderung mit aktivierter Analyse nach Anrufen die „Vertrauensrichtlinie für Echtzeit-Call-Analytics“ verwenden müssen.

Vertrauensrichtlinie für Amazon Transcribe

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "transcribe.amazonaws.com"
        ]
      },
      "Action": [
        "sts:AssumeRole"
      ],      
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*"
        }
      }
    }
  ]
}

Vertrauensrichtlinie für Echtzeit-Call-Analytics

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "transcribe.streaming.amazonaws.com"
        ]
      },
      "Action": [
        "sts:AssumeRole"
      ],      
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*"
        }
      }
    }
  ]
}

Amazon S3 Richtlinie für den Eingabe-Bucket

Die folgende Richtlinie erteilt einer IAM Rolle die Berechtigung, auf Dateien aus dem angegebenen Eingabe-Bucket zuzugreifen.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-INPUT-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-INPUT-BUCKET/*"
        ]
    }
}

Amazon S3 Richtlinie für den Ausgabe-Bucket

Die folgende Richtlinie erteilt einer IAM Rolle die Berechtigung, Dateien in den angegebenen Ausgabe-Bucket zu schreiben.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-OUTPUT-BUCKET/*"
        ]
    }
}

Für Amazon S3 Verschlüsselungsschlüssel sind Berechtigungen erforderlich

Wenn Sie einen KMS key Amazon S3 Bucket verschlüsseln, nehmen Sie Folgendes in die KMS key Richtlinie auf. Dadurch erhalten Amazon Transcribe Sie Zugriff auf den Inhalt des Buckets. Weitere Informationen zum Zulassen des Zugriffs auf KMS keys finden Sie unter Zulassen des Zugriffs auf AWS-Konten an durch externe KMS key Benutzer im AWS KMS Entwicklerhandbuch.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
      },
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId"
    }
  ]
}

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es IAM Benutzern ermöglicht, die Inline- und verwalteten Richtlinien einzusehen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von oder. AWS CLI AWS API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

AWS KMS Richtlinie für den Verschlüsselungskontext

Die folgende Richtlinie gewährt der IAM Rolle „ExampleRole“ die Berechtigung, die Operationen AWS KMS Entschlüsseln und Verschlüsseln für diesen speziellen Zweck zu verwenden. KMS key Diese Richtlinie gilt nur für Anfragen mit mindestens einem Verschlüsselungskontextpaar, in diesem Fall „color:indigoBlue“. Weitere Informationen zum AWS KMS Verschlüsselungskontext finden Sie unter. AWS KMS-Verschlüsselungskontext

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
          },
          "Action": [
              "kms:Decrypt",
              "kms:DescribeKey",
              "kms:Encrypt",
              "kms:GenerateDataKey*",
              "kms:ReEncrypt*"
          ],
          "Resource": "*",
          "Condition": {
              "StringEquals": {
                  "kms:EncryptionContext:color":"indigoBlue"
              }
           }
        }
   ]
}

Confused-Deputy-Prävention-Richtlinie

Im Folgenden finden Sie ein Beispiel für eine Richtlinie „Rolle übernehmen“. Es zeigt, wie Sie mithilfe von aws:SourceArn und aws:SourceAccount mit verhindern können, dass ein Amazon Transcribe unübersichtliches Stellvertreterproblem entsteht. Weitere Informationen zur Confused-Deputy-Prävention finden Sie unter Vermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend).

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "transcribe.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*"
        }
      }
    }
  ]
}

Anzeigen von Transkriptionsaufträgen basierend auf Tags

Sie können in Ihrer identitätsbasierten Richtlinie Bedingungen für die Steuerung des Zugriffs auf Amazon Transcribe -Ressourcen auf der Basis von Tags verwenden. In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die die Anzeige eines Transkriptionsauftrags ermöglicht. Die Berechtigung wird jedoch nur erteilt, wenn das Owner-Transkriptionsauftrags-Tag den Wert des Benutzernamens dieses Benutzers hat. Diese Richtlinie gewährt auch die Berechtigungen, die für die Ausführung dieser Aktion über die AWS Management Console erforderlich sind.

Sie können diese Richtlinie den IAM Entitäten in Ihrem Konto zuordnen. Wenn eine Rolle namens test-role versucht, einen Transkriptionsauftrag anzuzeigen, muss der Transkriptionsauftrag markiert werden als Owner=test-role oder owner=test-role (Bedingungsschlüsselnamen werden nicht zwischen Groß- und Kleinschreibung unterschieden), andernfalls wird ihnen der Zugriff verweigert. Weitere Informationen finden Sie unter IAM JSONRichtlinienelemente: Bedingung im IAM Benutzerhandbuch.

Weitere Informationen zum Taggen finden Sie Amazon Transcribe unterTaggen von -Ressourcen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListTranscriptionJobsInConsole",
            "Effect": "Allow",
            "Action": "transcribe:ListTranscriptionJobs",
            "Resource": "*"
        },
        {
            "Sid": "ViewTranscriptionJobsIfOwner",
            "Effect": "Allow",
            "Action": "transcribe:GetTranscriptionJobs",
            "Resource": "arn:aws:transcribe:*:*:transcription-job/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}