Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de politiques basées sur l'identité (IAMpolitiques) pour Amazon Comprehend Medical
Cette rubrique présente des exemples de politiques basées sur l'identité. Les exemples montrent comment un administrateur de compte peut associer des politiques d'autorisation aux IAM identités. Cela permet aux utilisateurs, aux groupes et aux rôles d'effectuer des actions Amazon Comprehend Medical.
Important
Pour comprendre les autorisations, nous vous recommandonsPrésentation de la gestion des autorisations d'accès aux ressources Amazon Comprehend Medical.
Cet exemple de politique est obligatoire pour utiliser les actions d'analyse de documents Amazon Comprehend Medical.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowDetectActions", "Effect": "Allow", "Action": [ "comprehendmedical:DetectEntitiesV2", "comprehendmedical:DetectEntities", "comprehendmedical:DetectPHI", "comprehendmedical:StartEntitiesDetectionV2Job", "comprehendmedical:ListEntitiesDetectionV2Jobs", "comprehendmedical:DescribeEntitiesDetectionV2Job", "comprehendmedical:StopEntitiesDetectionV2Job", "comprehendmedical:StartPHIDtectionJob", "comprehendmedical:ListPHIDetectionJobs", "comprehendmedical:DescribePHIDetectionJob", "comprehendmedical:StopPHIDetectionJob", "comprehendmedical:StartRxNormInferenceJob", "comprehendmedical:ListRxNormInferenceJobs", "comprehendmedical:DescribeRxNormInferenceJob", "comprehendmedical:StopRxNormInferenceJob", "comprehendmedical:StartICD10CMInferenceJob", "comprehendmedical:ListICD10CMInferenceJobs", "comprehendmedical:DescribeICD10CMInferenceJob", "comprehendmedical:StopICD10CMInferenceJob", "comprehendmedical:StartSNOMEDCTInferenceJob", "comprehendmedical:ListSNOMEDCTInferenceJobs", "comprehendmedical:DescribeSNOMEDCTInferenceJob", "comprehendmedical:StopSNOMEDCTInferenceJob", "comprehendmedical:InferRxNorm", "comprehendmedical:InferICD10CM", "comprehendmedical:InferSNOMEDCT", ], "Resource": "*" } ] }
La politique comporte une déclaration qui autorise l'utilisation des DetectPHI actions DetectEntities et.
La stratégie ne spécifie pas l'élément Principal, car vous ne spécifiez pas le mandataire qui obtient l'autorisation dans une stratégie basée sur une identité. Quand vous attachez une stratégie à un utilisateur, l'utilisateur est le mandataire implicite. Lorsque vous associez une politique à un IAM rôle, le principal identifié dans la politique de confiance du rôle obtient l'autorisation.
Pour découvrir toutes les actions Amazon Comprehend API Medical et les ressources auxquelles elles s'appliquent, Autorisations Amazon Comprehend API Medical : référence aux actions, ressources et conditions consultez.
Autorisations requises pour utiliser la console Amazon Comprehend Medical
Le tableau de référence des autorisations répertorie les opérations Amazon Comprehend API Medical et indique les autorisations requises pour chaque opération. Pour plus d'informations sur les autorisations Amazon Comprehend API Medical, Autorisations Amazon Comprehend API Medical : référence aux actions, ressources et conditions consultez.
Pour utiliser la console Amazon Comprehend Medical, accordez des autorisations pour les actions décrites dans la politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "comprehendmedical.amazonaws.com" } } } ] }
La console Amazon Comprehend Medical a besoin de ces autorisations pour les raisons suivantes :
-
iamautorisations pour répertorier les IAM rôles disponibles pour votre compte. -
s3autorisations d'accès aux compartiments et aux objets Amazon S3 contenant les données.
Lorsque vous créez une tâche par lots asynchrone à l'aide de la console, vous pouvez également créer un IAM rôle pour votre tâche. Pour créer un IAM rôle à l'aide de la console, les utilisateurs doivent disposer des autorisations supplémentaires indiquées ici pour créer IAM des rôles et des politiques, et pour associer des politiques aux rôles.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Effect": "Allow", "Resource": "*" } ] }
La console Amazon Comprehend Medical a besoin de ces autorisations pour créer des rôles et des politiques et pour associer des rôles et des politiques. L'iam:PassRoleaction permet à la console de transmettre le rôle à Amazon Comprehend Medical.
AWSpolitiques gérées (prédéfinies) pour Amazon Comprehend Medical
AWSrépond à de nombreux cas d'utilisation courants en fournissant des IAM politiques autonomes créées et administrées parAWS. Ces politiques AWS gérées accordent les autorisations nécessaires pour les cas d'utilisation courants afin que vous puissiez éviter d'avoir à rechercher les autorisations nécessaires. Pour plus d'informations, consultez la section Politiques AWS gérées dans le guide de IAM l'utilisateur.
La politique AWS gérée suivante, que vous pouvez associer aux utilisateurs de votre compte, est spécifique à Amazon Comprehend Medical.
-
ComprehendMedicalFullAccess— Accorde un accès complet aux ressources d'Amazon Comprehend Medical. Inclut l'autorisation de répertorier et d'obtenir IAM des rôles.
Vous devez appliquer la politique supplémentaire suivante à tout utilisateur utilisant Amazon Comprehend Medical :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "comprehendmedical.amazonaws.com" } } } ] }
Vous pouvez consulter les politiques d'autorisations gérées en vous connectant à la IAM console et en y recherchant des politiques spécifiques.
Ces politiques fonctionnent lorsque vous utilisez AWS SDKs ou le AWSCLI.
Vous pouvez également créer vos propres IAM politiques pour autoriser les actions et les ressources d'Amazon Comprehend Medical. Vous pouvez associer ces politiques personnalisées aux IAM utilisateurs ou aux groupes qui en ont besoin.
Autorisations basées sur les rôles requises pour les opérations par lots
Pour utiliser les opérations asynchrones d'Amazon Comprehend Medical, accordez à Amazon Comprehend Medical l'accès au compartiment Amazon S3 qui contient votre collection de documents. Pour ce faire, créez un rôle d'accès aux données dans votre compte afin de faire confiance au responsable du service Amazon Comprehend Medical. Pour plus d'informations sur la création d'un rôle, consultez Creating a Role to Delegate Permissions to an AWS Service dans le guide de l'utilisateur d'AWSIdentity and Access Management.
Voici la politique de confiance du rôle.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "comprehendmedical.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Après avoir créé le rôle, créez une politique d'accès pour celui-ci. La politique doit accorder à Amazon S3 GetObject et ListBucket des autorisations au compartiment Amazon S3 qui contient vos données d'entrée. Il accorde également des autorisations pour Amazon S3 PutObject à votre compartiment de données de sortie Amazon S3.
L'exemple de politique d'accès suivant contient ces autorisations.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::input bucket/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::input bucket" ], "Effect": "Allow" }, { "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::output bucket/*" ], "Effect": "Allow" } ] }
Exemples de politiques gérées par le client
Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions d'Amazon Comprehend Medical. Ces politiques fonctionnent lorsque vous utilisez AWS SDKs ou le AWSCLI. Lorsque vous utilisez la console, vous devez accorder des autorisations à tous les Amazon Comprehend APIs Medical. Cela est indiqué dans Autorisations requises pour utiliser la console Amazon Comprehend Medical.
Note
Tous les exemples utilisent la région us-east-2 et contiennent un compte fictif. IDs
Exemples
Exemple 1 : Autoriser toutes les actions d'Amazon Comprehend Medical
Une fois inscrit AWS, vous créez un administrateur chargé de gérer votre compte, notamment de créer des utilisateurs et de gérer leurs autorisations.
Vous pouvez choisir de créer un utilisateur autorisé à effectuer toutes les actions Amazon Comprehend. Considérez cet utilisateur comme un administrateur spécifique au service qui travaille avec Amazon Comprehend. Vous pouvez alors lier la stratégie d'autorisations suivante à cet utilisateur.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowAllComprehendMedicalActions", "Effect": "Allow", "Action": [ "comprehendmedical:*"], "Resource": "*" } ] }
Exemple 2 : autoriser uniquement DetectEntities les actions
La politique d'autorisation suivante autorise les utilisateurs à détecter des entités dans Amazon Comprehend Medical, mais pas à PHI détecter des opérations.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowDetectEntityActions", "Effect": "Allow", "Action": [ "comprehendedical:DetectEntities" ], "Resource": "*" ] } ] }
