Amazon Transcribe exemples de politiques basées sur l'identité - Amazon Transcribe
Bonnes pratiques en matière de politiquesEn utilisant le AWS Management ConsoleAutorisations requises pour les IAM rôlesAutorisations requises pour les clés Amazon S3 de chiffrementAutorisation accordée aux utilisateurs pour afficher leurs propres autorisationsAWS KMS politique de contexte de chiffrementPolitique de prévention de l’adjoint confusAffichage des tâches de transcription en fonction des balises

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon Transcribe exemples de politiques basées sur l'identité

Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources Amazon Transcribe . Ils ne peuvent pas non plus effectuer de tâches en utilisant le AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.

Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, voir Créer des IAM politiques (console) dans le guide de l'IAMutilisateur.

Pour en savoir plus sur les actions et les types de ressources définis par Amazon Transcribe, y compris le format de chaque type de ressource, consultez la section Actions, ressources et clés de condition pour Amazon Transcribe dans la référence d'autorisation de service. ARNs

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer Amazon Transcribe des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :

  • Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d'informations, consultez les politiques AWS gérées ou les politiques AWS gérées pour les fonctions professionnelles dans le Guide de IAM l'utilisateur.

  • Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations du Guide de IAM l'utilisateur. IAM

  • Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.

  • Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles soient conformes au langage des IAM politiques (JSON) et IAM aux meilleures pratiques. IAMAccess Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Valider les politiques avec IAM Access Analyzer dans le guide de l'IAMutilisateur.

  • Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des IAM utilisateurs ou un utilisateur root Compte AWS, activez-le MFA pour une sécurité supplémentaire. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section APIAccès sécurisé avec MFA dans le guide de IAM l'utilisateur.

Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.

En utilisant le AWS Management Console

Pour accéder à la console Amazon Transcribe, vous devez disposer d’un ensemble minimum d’autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails Amazon Transcribe des ressources de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.

Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération qu'ils tentent d'effectuer.

Pour garantir qu'une entité (utilisateurs et rôles) peut utiliser le AWS Management Console, associez-lui l'une des politiques AWS gérées suivantes.

  • AmazonTranscribeFullAccess: accorde un accès complet pour créer, lire, mettre à jour, supprimer et exécuter toutes les Amazon Transcribe ressources. Cette stratégie accorde également l’accès aux compartiments  Amazon S3 comportant transcribe dans leur nom.

  • AmazonTranscribeReadOnlyAccess : accorde un accès en lecture seule aux ressources Amazon Transcribe afin que vous puissiez obtenir et répertorier des tâches de transcription et des vocabulaires personnalisés.

Note

Vous pouvez consulter les politiques d’autorisation gérées en vous connectant à la AWS Management Console IAM et en effectuant une recherche par nom de politique. Une recherche sur « transcrire » renvoie les deux politiques répertoriées ci-dessus (AmazonTranscribeReadOnlyet AmazonTranscribeFullAccess).

Vous pouvez également créer vos propres IAM politiques personnalisées pour autoriser les Amazon Transcribe API actions à effectuer. Vous pouvez associer ces politiques personnalisées aux entités qui nécessitent ces autorisations.

Autorisations requises pour les IAM rôles

Si vous créez un IAM rôle à appeler Amazon Transcribe, celui-ci doit être autorisé à accéder au Amazon S3 compartiment. Le cas échéant, la KMS key doit également être utilisée pour chiffrer le contenu du compartiment. Vous trouverez dans les sections suivantes des exemples de politiques.

Politiques d’approbation

L' IAM entité que vous utilisez pour effectuer votre demande de transcription doit disposer d'une politique de confiance lui Amazon Transcribe permettant d'assumer ce rôle. Utilisez la politique de Amazon Transcribe confiance suivante. Notez que si vous faites une demande Call Analytics en temps réel avec l’analyse après appel activée, vous devez utiliser la « Politique d’approbation pour Call Analytics en temps réel ».

Politique de confiance pour Amazon Transcribe

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "transcribe.amazonaws.com"
        ]
      },
      "Action": [
        "sts:AssumeRole"
      ],      
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*"
        }
      }
    }
  ]
}

Politique d’approbation pour Call Analytics en temps réel

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "transcribe.streaming.amazonaws.com"
        ]
      },
      "Action": [
        "sts:AssumeRole"
      ],      
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*"
        }
      }
    }
  ]
}

Amazon S3 politique de compartiment d'entrée

La politique suivante donne à un IAM rôle l'autorisation d'accéder aux fichiers depuis le compartiment d'entrée spécifié.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-INPUT-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-INPUT-BUCKET/*"
        ]
    }
}

Amazon S3 politique du bucket de sortie

La politique suivante autorise un IAM rôle à écrire des fichiers dans le compartiment de sortie spécifié.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-OUTPUT-BUCKET/*"
        ]
    }
}

Autorisations requises pour les clés Amazon S3 de chiffrement

Si vous utilisez un KMS key pour chiffrer un Amazon S3 compartiment, incluez les éléments suivants dans la KMS key politique. Cela donne Amazon Transcribe accès au contenu du compartiment. Pour plus d'informations sur l'autorisation d'accès KMS keys, voir Autoriser l'accès Comptes AWS à un utilisateur externe KMS key dans le Guide du AWS KMS développeur.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
      },
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId"
    }
  ]
}

Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

Cet exemple montre comment créer une politique qui permet aux IAM utilisateurs de consulter les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du AWS CLI ou. AWS API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

AWS KMS politique de contexte de chiffrement

La politique suivante accorde au IAM rôle « ExampleRole » l'autorisation d'utiliser les opérations de AWS KMS déchiffrement et de chiffrement dans ce cas particulier. KMS key Cette politique fonctionne uniquement pour les requêtes comportant au moins une paire de contextes de chiffrement, dans le cas présent « color:indigoBlue ». Pour plus d'informations sur le contexte de AWS KMS chiffrement, consultezContexte de chiffrement AWS KMS.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
          },
          "Action": [
              "kms:Decrypt",
              "kms:DescribeKey",
              "kms:Encrypt",
              "kms:GenerateDataKey*",
              "kms:ReEncrypt*"
          ],
          "Resource": "*",
          "Condition": {
              "StringEquals": {
                  "kms:EncryptionContext:color":"indigoBlue"
              }
           }
        }
   ]
}

Politique de prévention de l’adjoint confus

Voici un exemple de politique d'acceptation des rôles qui montre comment vous pouvez utiliser aws:SourceArn et aws:SourceAccount avec Amazon Transcribe pour éviter toute confusion en matière d'adjoint. Pour plus d’informations sur la prévention du problème de l’adjoint confus, consultez la section Prévention du problème de l'adjoint confus entre services.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "transcribe.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*"
        }
      }
    }
  ]
}

Affichage des tâches de transcription en fonction des balises

Vous pouvez utiliser des conditions dans votre politique basée sur l’identité pour contrôler l’accès aux ressources Amazon Transcribe en fonction des balises. Cet exemple montre comment créer une stratégie qui permet d’afficher une tâche de transcription. Toutefois, l’autorisation est accordée uniquement si la balise de la tâche de transcription Owner a pour valeur le nom d’utilisateur de cet utilisateur. Cette politique accorde également les autorisations nécessaires pour réaliser cette action à l’aide de la AWS Management Console.

Vous pouvez associer cette politique aux IAM entités de votre compte. Si un rôle nommé test-role tente de visualiser une tâche de transcription, celle-ci doit être balisée Owner=test-role ou owner=test-role (les noms des clés de condition ne sont pas sensibles à la casse), sinon l’accès lui est refusé. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.

Pour plus d'informations sur le balisage Amazon Transcribe, consultezBalisage des ressources.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListTranscriptionJobsInConsole",
            "Effect": "Allow",
            "Action": "transcribe:ListTranscriptionJobs",
            "Resource": "*"
        },
        {
            "Sid": "ViewTranscriptionJobsIfOwner",
            "Effect": "Allow",
            "Action": "transcribe:GetTranscriptionJobs",
            "Resource": "arn:aws:transcribe:*:*:transcription-job/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}