Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon Comprehend
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) ) lo descrive come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità applicabili ad Amazon Comprehend, consulta [AWS Services in Scope by Compliance Program ](https://aws.amazon.com/compliance/services-in-scope/) Program.
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Amazon Comprehend. I seguenti argomenti mostrano come configurare Amazon Comprehend per soddisfare i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse Amazon Comprehend.
**Topics**
+ [Protezione dei dati in Amazon Comprehend](comp-data-protection.md)
+ [Identity and Access Management per Amazon Comprehend](security-iam.md)
+ [Registrazione delle chiamate API Amazon Comprehend con AWS CloudTrail](logging-using-cloudtrail.md)
+ [Convalida della conformità per Amazon Comprehend](comp-compliance.md)
+ [Resilienza in Amazon Comprehend](comp-disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Amazon Comprehend](comp-infrastructure-security.md)
# Protezione dei dati in Amazon Comprehend
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di si applica alla protezione dei dati in Amazon Comprehend. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon Comprehend o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
**Topics**
+ [Crittografia KMS in Amazon Comprehend](kms-in-comprehend.md)
+ [Prevenzione del confused deputy tra servizi](cross-service-confused-deputy-prevention.md)
+ [Proteggi i lavori utilizzando un Amazon Virtual Private Cloud](usingVPC.md)
+ [Amazon Comprehend e interfaccia gli endpoint VPC ()AWS PrivateLink](vpc-interface-endpoints.md)
# Crittografia KMS in Amazon Comprehend
Amazon Comprehend collabora con AWS Key Management Service (AWS KMS) per fornire una crittografia avanzata per i tuoi dati. Amazon S3 ti consente già di crittografare i documenti di input quando crei un'analisi del testo, la modellazione di argomenti o un lavoro Amazon Comprehend personalizzato. L'integrazione con AWS KMS consente di crittografare i dati nel volume di storage per i lavori Start\$1 e Create\$1 e crittografa i risultati di output dei lavori Start\$1 utilizzando la tua chiave KMS.
Per il Console di gestione AWS, Amazon Comprehend crittografa i modelli personalizzati con la propria chiave KMS. Inoltre AWS CLI, Amazon Comprehend può crittografare modelli personalizzati utilizzando la propria chiave KMS o una chiave gestita dal cliente (CMK) fornita.
**Crittografia KMS utilizzando il Console di gestione AWS**
Quando si utilizza la console sono disponibili due opzioni di crittografia:
+ Crittografia dei volumi
+ crittografia dei risultati di output
**Per abilitare la crittografia dei volumi**
1. In **Job Settings**, scegli l'opzione di **crittografia del lavoro**.
![\[Crittografia KMS Job in Console di gestione AWS\]](http://docs.aws.amazon.com/it_it/comprehend/latest/dg/images/kms-1.png)
1. Scegliere se la chiave gestita dal cliente (CMK) KMS è dell'account in uso o di un altro account. Se desideri utilizzare una chiave dell'account corrente, scegli l'alias della chiave da **KMS** key ID. Se utilizzi una chiave di un altro account, devi inserire l'ARN della chiave.
**Per abilitare la crittografia dei risultati di output**
1. In **Impostazioni di output**, scegli l'opzione **Crittografia**.
![\[Crittografia dei risultati di output KMS in Console di gestione AWS\]](http://docs.aws.amazon.com/it_it/comprehend/latest/dg/images/kms-2.png)
1. Scegli se la chiave gestita dal cliente (CMK) proviene dall'account che stai utilizzando attualmente o da un altro account. Se desideri utilizzare una chiave dell'account corrente, scegli l'ID della chiave da **KMS** key ID. Se utilizzi una chiave di un altro account, devi inserire l'ARN della chiave.
Se in precedenza hai configurato la crittografia utilizzando SSE-KMS sui documenti di input S3, questo può offrirti una sicurezza aggiuntiva. Tuttavia, in tal caso, il ruolo IAM utilizzato deve disporre dell'`kms:Decrypt`autorizzazione per la chiave KMS con cui i documenti di input sono crittografati. Per ulteriori informazioni, consulta [Autorizzazioni necessarie per utilizzare la crittografia KMS](security_iam_id-based-policy-examples.md#auth-kms-permissions).
**Crittografia KMS con operazioni API**
Tutte le operazioni Amazon Comprehend `Start*` e `Create*` API supportano documenti di input crittografati KMS. `Describe*`e le operazioni `List*` API restituiscono l'`KmsKeyId`input `OutputDataConfig` se il job originale era stato `KmsKeyId` fornito come input. Se non è stato fornito come input, non viene restituito.
Questo può essere visto nel seguente esempio di AWS CLI che utilizza l'[StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)operazione:
```
aws comprehend start-entities-detection-job \
--region region \
--data-access-role-arn "data access role arn" \
--entity-recognizer-arn "entity recognizer arn" \
--input-data-config "S3Uri=s3://Bucket Name/Bucket Path" \
--job-name job name \
--language-code en \
--output-data-config "KmsKeyId=Output S3 KMS key ID" "S3Uri=s3://Bucket Name/Bucket Path/" \
--volumekmskeyid "Volume KMS key ID"
```
**Nota**
Questo esempio è formattato per Unix, Linux e macOS. Per Windows, sostituisci il carattere di continuazione UNIX barra rovesciata (\$1) al termine di ogni riga con un accento circonflesso (^).
**Crittografia Customer Managed Key (CMK) con operazioni API**
Le operazioni API del modello personalizzato di Amazon Comprehend e `CreateEntityRecognizer` `CreateDocumentClassifier``CreateEndpoint`, supportano la crittografia utilizzando chiavi gestite dal cliente tramite. AWS CLI
È necessaria una policy IAM per consentire a un responsabile di utilizzare o gestire le chiavi gestite dal cliente. Queste chiavi sono specificate nell'`Resource`elemento della dichiarazione politica. Come procedura consigliata, limita le chiavi gestite dal cliente solo a quelle che i responsabili devono utilizzare nella dichiarazione sulla politica.
L'esempio AWS CLI seguente crea un riconoscimento di entità personalizzato con crittografia del modello utilizzando l'operazione: [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html)
```
aws comprehend create-entity-recognizer \
--recognizer-name name \
--data-access-role-arn data access role arn \
--language-code en \
--model-kms-key-id Model KMS Key ID \
--input-data-config file:///path/input-data-config.json
```
**Nota**
Questo esempio è formattato per Unix, Linux e macOS. Per Windows, sostituisci il carattere di continuazione UNIX barra rovesciata (\$1) al termine di ogni riga con un accento circonflesso (^).
# Prevenzione del confused deputy tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Ti consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global condition nelle politiche delle risorse per limitare le autorizzazioni che Amazon Comprehend fornisce a un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account nella stessa istruzione di policy.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:servicename::123456789012:*`.
## Usare l'account di origine
L'esempio seguente mostra come utilizzare la chiave di contesto della condizione `aws:SourceAccount` globale in Amazon Comprehend.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount":"111122223333"
}
}
}
}
```
------
## Policy di fiducia per gli endpoint dei modelli crittografati
È necessario creare una politica di fiducia per creare o aggiornare un endpoint per un modello crittografato. Impostare il valore `aws:SourceAccount` sull’ID dell’account. Se si utilizza la `ArnEquals` condizione, impostare il `aws:SourceArn` valore sull'ARN dell'endpoint.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:comprehend:us-west-2:111122223333:document-classifier-endpoint/endpoint-name"
}
}
}
]
}
```
------
## Crea un modello personalizzato
È necessario creare una politica di fiducia per creare un modello personalizzato. Impostare il valore `aws:SourceAccount` sull’ID dell’account. Se si utilizza la `ArnEquals` condizione, impostare il `aws:SourceArn` valore sull'ARN della versione del modello personalizzato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/smallest-classifier-test/version/version-name"
}
}
}
]
}
```
------
# Proteggi i lavori utilizzando un Amazon Virtual Private Cloud
Amazon Comprehend utilizza una serie di misure di sicurezza per garantire la sicurezza dei tuoi dati con i nostri job container in cui vengono archiviati mentre vengono utilizzati da Amazon Comprehend. Tuttavia, i job container accedono a AWS risorse, come i bucket Amazon S3 in cui archiviare dati e modellare artefatti, tramite Internet.
Per controllare l'accesso ai tuoi dati, ti consigliamo di creare un *cloud privato virtuale* (VPC) e configurarlo in modo che i dati e i contenitori non siano accessibili su Internet. Per ulteriori informazioni sulla creazione e sulla configurazione di un VPC, consulta [Nozioni di base su Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html) nella *Guida per l'utente di Amazon VPC*. L'utilizzo di un VPC aiuta a proteggere i dati perché è possibile configurare il VPC in modo che non sia connesso a Internet. L'utilizzo di un VPC consente inoltre di monitorare tutto il traffico di rete in entrata e in uscita dai nostri container di lavoro utilizzando i log di flusso VPC. Per ulteriori informazioni, consulta [Log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) nella *Guida per l’utente di Amazon VPC*.
La configurazione del VPC viene specificata quando si crea un lavoro, specificando le sottoreti e i gruppi di sicurezza. Quando specifichi le sottoreti e i gruppi di sicurezza, Amazon Comprehend *crea interfacce di rete elastiche* ENIs () associate ai tuoi gruppi di sicurezza in una delle sottoreti. ENIs consenti ai nostri job container di connettersi alle risorse del tuo VPC. Per informazioni su ENIs, consulta [Elastic Network Interfaces](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) nella *Amazon VPC* User Guide.
**Nota**
Per i lavori, puoi configurare solo le sottoreti con un VPC di tenancy predefinito in cui l'istanza viene eseguita su hardware condiviso. Per ulteriori informazioni sull'attributo tenancy per VPCs, consulta [Dedicated Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) nella *Amazon EC2* User Guide.
## Configurare un lavoro per l'accesso ad Amazon VPC
Per specificare sottoreti e gruppi di sicurezza nel tuo VPC, utilizza il parametro di `VpcConfig` richiesta dell'API applicabile o fornisci queste informazioni quando crei un lavoro nella console Amazon Comprehend. Amazon Comprehend utilizza queste informazioni per crearle ENIs e allegarle ai nostri contenitori di lavoro. ENIs Forniamo ai nostri job container una connessione di rete all'interno del tuo VPC che non sia connessa a Internet.
Quanto segue APIs contiene il parametro di `VpcConfig` richiesta:
+ `Create*` APIs: ` [CreateDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateDocumentClassifier.html)`, ` [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html) `
+ `Start*` APIs: ` [StartDocumentClassificationJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDocumentClassificationJob.html)`, ` [StartDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDominantLanguageDetectionJob.html)`, ` [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)`, ` [StartKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartKeyPhrasesDetectionJob.html)`, ` [StartSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartSentimentDetectionJob.html)`, ` [StartTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTargetedSentimentDetectionJob.html)`, ` [StartTopicsDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTopicsDetectionJob.html)`
Di seguito è riportato un esempio del VpcConfig parametro che includi nella chiamata API:
```
"VpcConfig": {
"SecurityGroupIds": [
" sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
]
}
```
Per configurare un VPC dalla console Amazon Comprehend, scegli i dettagli di configurazione dalla sezione opzionale **VPC** Settings durante la creazione del lavoro.
![\[Sezione VPC opzionale in Creating Analysis Job\]](http://docs.aws.amazon.com/it_it/comprehend/latest/dg/images/vpc-image-10.png)
## Configura il tuo VPC per i lavori Amazon Comprehend
Quando configuri il VPC per i tuoi job Amazon Comprehend, utilizza le seguenti linee guida. Per informazioni sulla configurazione di un VPC, consulta [Working with VPCs and Subnet nella](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html) Amazon *VPC* User Guide.
**Assicurati che le sottoreti abbiano un numero sufficiente di indirizzi IP**
Le sottoreti VPC devono avere almeno due indirizzi IP privati per ogni istanza di un job. Per ulteriori informazioni, consulta [VPC and Subnet Sizing nella IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC* User Guide.
**Crea un endpoint VPC Amazon S3**
Se configuri il tuo VPC in modo che i job container non abbiano accesso a Internet, non possono connettersi ai bucket Amazon S3 che contengono i tuoi dati a meno che non crei un endpoint VPC che consenta l'accesso. Creando un endpoint VPC, consenti ai job container di accedere ai tuoi dati durante i lavori di formazione e analisi.
Quando crei l'endpoint VPC, configura questi valori:
+ **Seleziona la categoria di servizio come Servizi AWS **
+ Specificare il servizio come `com.amazonaws.region.s3`
+ Seleziona **Gateway** come tipo di endpoint VPC
Se stai usando CloudFormation per creare l'endpoint VPC, segui la documentazione. [CloudFormation VPCEndpoint](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) L'esempio seguente mostra la **VPCEndpoint**configurazione in un CloudFormation modello.
```
VpcEndpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
PolicyDocument:
Version: '2012-10-17 '
Statement:
- Action:
- s3:GetObject
- s3:PutObject
- s3:ListBucket
- s3:GetBucketLocation
- s3:DeleteObject
- s3:ListMultipartUploadParts
- s3:AbortMultipartUpload
Effect: Allow
Resource:
- "*"
Principal: "*"
RouteTableIds:
- Ref: RouteTable
ServiceName:
Fn::Join:
- ''
- - com.amazonaws.
- Ref: AWS::Region
- ".s3"
VpcId:
Ref: VPC
```
Ti consigliamo anche di creare una policy personalizzata che consenta solo alle richieste provenienti dal tuo VPC di accedere ai tuoi bucket S3. Per ulteriori informazioni, consulta [Endpoint per Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) nella *Guida per l'utente di Amazon VPC*.
La policy seguente consente l'accesso ai bucket S3. Modifica questa politica per consentire l'accesso solo alle risorse di cui ha bisogno il tuo lavoro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:DeleteObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "*"
}
]
}
```
------
Utilizza le impostazioni DNS predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempio`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) risolva. Se non utilizzi le impostazioni DNS predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei job vengano risolte configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing di endpoint VPC, consulta [Routing per endpoint gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html#vpc-endpoints-routing) nella *Guida per l'utente di Amazon VPC*.
La policy predefinita per gli endpoint consente agli utenti di installare pacchetti dai repository Amazon Linux e Amazon Linux 2 nel nostro contenitore dei lavori. Per impedire agli utenti di installare pacchetti da quel repository, crea una policy di endpoint personalizzata che nega esplicitamente l'accesso ai repository di Amazon Linux e Amazon Linux 2. Comprehend di per sé non necessita di tali pacchetti, quindi non ci sarà alcun impatto sulla funzionalità. Di seguito è riportato un esempio di policy che nega l'accesso a questi repository:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
**Autorizzazioni per `DataAccessRole`**
Quando si utilizza un VPC per il lavoro di analisi, l'utente `DataAccessRole` utilizzato per le `Start*` operazioni `Create*` and deve disporre anche delle autorizzazioni per il VPC da cui si accede ai documenti di input e al bucket di output.
La seguente politica fornisce l'accesso necessario all'utente `DataAccessRole` per le operazioni and. `Create*` `Start*`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
```
------
**Configurare il gruppo di sicurezza VPC**
Con i lavori distribuiti, è necessario consentire la comunicazione tra i diversi contenitori di lavoro nello stesso lavoro. A tale scopo, configura una regola per il gruppo di sicurezza che consente connessioni in entrata tra i membri dello stesso gruppo di sicurezza. Per informazioni, consulta [le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) nella Guida per l'*utente di Amazon VPC*.
**Connect a risorse esterne al tuo VPC**
Se configuri il tuo VPC in modo che non abbia accesso a Internet, i lavori che utilizzano quel VPC non hanno accesso a risorse esterne al tuo VPC. Se i tuoi lavori richiedono l'accesso a risorse esterne al tuo VPC, fornisci l'accesso con una delle seguenti opzioni:
+ Se il tuo lavoro richiede l'accesso a un AWS servizio che supporta gli endpoint VPC di interfaccia, crea un endpoint per connetterti a quel servizio. Per un elenco dei servizi che supportano gli endpoint di interfaccia, consulta [Endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) nella *Guida per l'utente di Amazon VPC*. *Per informazioni sulla creazione di un endpoint VPC di interfaccia, consulta Interface [VPC Endpoints () nella Amazon VPC User AWS PrivateLink Guide](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html).*
+ Se il tuo lavoro richiede l'accesso a un AWS servizio che non supporta gli endpoint VPC di interfaccia o a una risorsa esterna AWS, crea un gateway NAT e configura i tuoi gruppi di sicurezza per consentire le connessioni in uscita. *Per informazioni sulla configurazione di un gateway NAT per il tuo VPC, [consulta Scenario 2: VPC con sottoreti pubbliche e private (NAT) nella Amazon VPC User](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) Guide.*
# Amazon Comprehend e interfaccia gli endpoint VPC ()AWS PrivateLink
Puoi stabilire una connessione privata tra il tuo VPC e Amazon Comprehend creando un endpoint VPC di *interfaccia*. Gli endpoint di interfaccia sono basati su una tecnologia che consente di accedere in modo privato ad Amazon APIs Comprehend senza un gateway Internet, un dispositivo NAT, una connessione VPN o AWS una connessione Direct Connect. [AWS PrivateLink](https://aws.amazon.com/privatelink) Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Amazon Comprehend. APIs Il traffico tra il tuo VPC e Amazon Comprehend non esce dalla rete Amazon.
Ogni endpoint di interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nelle sottoreti.
Per ulteriori informazioni, consultare [Endpoint VPC di interfaccia (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) nella *Guida per l'utente di Amazon VPC*.
## Considerazioni sugli endpoint VPC Amazon Comprehend
*Prima di configurare un endpoint VPC di interfaccia per Amazon Comprehend, assicurati di esaminare le proprietà [e le limitazioni degli endpoint dell'interfaccia nella Amazon VPC User Guide](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations).*
Gli endpoint Amazon Comprehend non sono disponibili in tutte le zone di disponibilità di una regione. Quando crei l'endpoint, usa il seguente comando per elencare le zone di disponibilità.
```
aws ec2 describe-vpc-endpoint-services \
--service-names com.amazonaws.us-west-2.comprehend
```
Amazon Comprehend supporta l'esecuzione di chiamate a tutte le sue azioni API dal tuo VPC.
## Creazione di un endpoint VPC di interfaccia per Amazon Comprehend
Puoi creare un endpoint VPC per il servizio Amazon Comprehend utilizzando la console Amazon VPC o (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consultare [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) nella *Guida per l’utente di Amazon VPC*.
Crea un endpoint VPC per Amazon Comprehend utilizzando il seguente nome di servizio:
+ com.amazonaws. *region*. comprendere
Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API ad Amazon Comprehend utilizzando il nome DNS predefinito per la regione, ad esempio. `comprehend.us-east-1.amazonaws.com`
Per ulteriori informazioni, consultare [Accesso a un servizio tramite un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) in *Guida per l'utente di Amazon VPC*.
## Creazione di una policy sugli endpoint VPC per Amazon Comprehend
Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso ad Amazon Comprehend. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) in *Guida per l'utente di Amazon VPC*.
**Esempio: policy sugli endpoint VPC per le azioni di Amazon Comprehend**
Di seguito è riportato un esempio di policy sugli endpoint per Amazon Comprehend. Se collegata a un endpoint, questa policy garantisce l'accesso all'azione Amazon `DetectEntities` Comprehend per tutti i principali su tutte le risorse.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"comprehend:DetectEntities"
],
"Resource":"*"
}
]
}
```
# Identity and Access Management per Amazon Comprehend
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuare l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon Comprehend. IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Amazon Comprehend con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Amazon Comprehend](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per Amazon Comprehend](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Comprehend](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Comprehend](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon Comprehend con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon Comprehend](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon Comprehend con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon Comprehend, scopri quali funzionalità IAM sono disponibili per l'uso con Amazon Comprehend.
**Funzionalità IAM che puoi usare con Amazon Comprehend**
| Funzionalità IAM | Supporto per Amazon Comprehend |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | Sì |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Parziale |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | No |
Per avere una visione di alto livello di come Amazon Comprehend e AWS altri servizi funzionano con la maggior parte delle funzionalità IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
## Politiche basate sull'identità per Amazon Comprehend
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Amazon Comprehend
Per visualizzare esempi di politiche basate sull'identità di Amazon Comprehend, consulta. [Esempi di policy basate sull'identità per Amazon Comprehend](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Amazon Comprehend
**Supporta le policy basate sulle risorse**: sì
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
Il servizio Amazon Comprehend supporta solo un tipo di politica basata sulle risorse (una politica del *modello personalizzata*), collegata a un modello personalizzato. Questa politica definisce altri account che possono utilizzare il modello personalizzato.
Per informazioni su come allegare una politica basata sulle risorse a un modello personalizzato, consulta. [Politiche basate sulle risorse per modelli personalizzati](custom-copy-sharing.md#custom-copy-sharing-example-policy)
## Azioni politiche per Amazon Comprehend
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
*Per visualizzare un elenco di azioni Amazon Comprehend, consulta [Actions defined by Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-actions-as-permissions) nel Service Authorization Reference.*
Le azioni politiche in Amazon Comprehend utilizzano il seguente prefisso prima dell'azione:
```
comprehend
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"comprehend:DetectSentiment",
"comprehend:ClassifyDocument"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "comprehend:Describe*"
```
Non utilizzare caratteri jolly per specificare tutte le azioni di un servizio. Utilizza la migliore pratica di concedere il privilegio minimo quando specifichi le autorizzazioni in una politica.
Per visualizzare esempi di politiche basate sull'identità di Amazon Comprehend, consulta. [Esempi di policy basate sull'identità per Amazon Comprehend](security_iam_id-based-policy-examples.md)
## Risorse relative alle policy per Amazon Comprehend
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
*Per visualizzare un elenco dei tipi di risorse Amazon Comprehend e relativi ARNs, consulta [Resources defined by Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-resources-for-iam-policies) nel Service Authorization Reference.* Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-actions-as-permissions).
## Chiavi delle condizioni delle politiche per Amazon Comprehend
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
*Per visualizzare un elenco di chiavi di condizione di Amazon Comprehend, consulta [Condition keys for Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-policy-keys) nel Service Authorization Reference.* Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Amazon Comprehend, consulta. [Esempi di policy basate sull'identità per Amazon Comprehend](security_iam_id-based-policy-examples.md)
## ACLs in Amazon Comprehend
**Supporti ACLs: no**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Amazon Comprehend
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
Per ulteriori informazioni sull'etichettatura delle risorse Amazon Comprehend, consulta. [Tagging delle risorse](tagging.md)
## Utilizzo di credenziali temporanee con Amazon Comprehend
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando utilizzi la federazione o cambi ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per Amazon Comprehend
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, Servizio AWS per effettuare richieste ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Amazon Comprehend
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Amazon Comprehend. Modifica i ruoli di servizio solo quando Amazon Comprehend fornisce indicazioni in tal senso.
Per utilizzare le operazioni asincrone di Amazon Comprehend, devi concedere ad Amazon Comprehend l'accesso al bucket Amazon S3 che contiene la tua raccolta di documenti. A tale scopo, puoi creare un ruolo di accesso ai dati nel tuo account con una politica di fiducia per considerare affidabile il responsabile del servizio Amazon Comprehend.
Per un esempio di policy, vedi [Autorizzazioni basate sui ruoli necessarie per le operazioni asincrone](security_iam_id-based-policy-examples.md#auth-role-permissions)
## Ruoli collegati ai servizi per Amazon Comprehend
**Supporta i ruoli collegati ai servizi:** no
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per Amazon Comprehend
Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a creare o modificare risorse Amazon Comprehend. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
*Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon Comprehend, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html) nel Service Authorization Reference.*
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon Comprehend](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Autorizzazioni necessarie per eseguire azioni di analisi dei documenti](#security-iam-based-policy-perform-cmp-actions)
+ [Autorizzazioni necessarie per utilizzare la crittografia KMS](#auth-kms-permissions)
+ [AWS politiche gestite (predefinite) per Amazon Comprehend](#access-policy-aws-managed-policies)
+ [Autorizzazioni basate sui ruoli necessarie per le operazioni asincrone](#auth-role-permissions)
+ [Autorizzazioni per consentire tutte le azioni di Amazon Comprehend](#custom-policy-all-all-actions)
+ [Autorizzazioni per consentire azioni di modellazione degli argomenti](#custom-policy-allow-topic-modeling)
+ [Autorizzazioni necessarie per un processo di analisi asincrono personalizzato](#tagging-resources)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Comprehend nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon Comprehend
Per accedere alla console Amazon Comprehend, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon Comprehend presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per le autorizzazioni minime della console Amazon Comprehend, puoi allegare la policy `ComprehendReadOnly` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
Per utilizzare la console Amazon Comprehend, sono inoltre necessarie le autorizzazioni per le azioni mostrate nella seguente politica:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:ListRoles",
"iam:GetRole",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
La console Amazon Comprehend necessita di queste autorizzazioni aggiuntive per i seguenti motivi:
+ `iam`autorizzazioni per elencare i ruoli IAM disponibili per il tuo account.
+ `s3`autorizzazioni per accedere ai bucket e agli oggetti Amazon S3 che contengono i dati per la modellazione degli argomenti.
Quando crei un processo batch asincrono o un lavoro di modellazione di argomenti utilizzando la console, hai la possibilità di fare in modo che la console crei un ruolo IAM per il tuo lavoro. Per creare un ruolo IAM, agli utenti devono essere concesse le seguenti autorizzazioni aggiuntive per creare ruoli e policy IAM e per associare policy ai ruoli:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Action":
[
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
La console Amazon Comprehend necessita di queste autorizzazioni aggiuntive per i seguenti motivi:
+ `iam`autorizzazioni per creare ruoli e politiche e per allegare ruoli e politiche. L'`iam:PassRole`azione consente alla console di passare il ruolo ad Amazon Comprehend.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Autorizzazioni necessarie per eseguire azioni di analisi dei documenti
La seguente politica di esempio concede le autorizzazioni per utilizzare le azioni di analisi dei documenti di Amazon Comprehend:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowDetectActions",
"Effect": "Allow",
"Action": [
"comprehend:DetectEntities",
"comprehend:DetectKeyPhrases",
"comprehend:DetectDominantLanguage",
"comprehend:DetectSentiment",
"comprehend:DetectTargetedSentiment",
"comprehend:DetectSyntax",
"textract:DetectDocumentText",
"textract:AnalyzeDocument"
],
"Resource": "*"
}
]
}
```
------
La policy contiene una dichiarazione che concede il permesso di utilizzare le azioni`DetectEntities`,,`DetectKeyPhrases`, `DetectDominantLanguage``DetectTargetedSentiment`, `DetectSentiment` e. `DetectSyntax` La dichiarazione politica concede inoltre le autorizzazioni per l'uso di due metodi API Amazon Textract. Amazon Comprehend utilizza questi metodi per estrarre testo da file di immagini e documenti PDF scansionati. Puoi rimuovere queste autorizzazioni per gli utenti che non eseguono mai inferenze personalizzate per questi tipi di file di input.
Un utente con questa politica non sarebbe in grado di eseguire azioni batch o azioni asincrone nel proprio account.
La policy non specifica l'elemento `Principal` poiché in una policy basata su identità non si specifica il principale che ottiene l'autorizzazione. Quando alleghi una policy a un utente, l'utente è il principale implicito. Quando colleghi una policy di autorizzazioni a un ruolo IAM, il principale identificato nella policy di attendibilità del ruolo ottiene le autorizzazioni.
*Per una tabella che mostra tutte le azioni dell'API Amazon Comprehend e le risorse a cui si applicano, consulta [Azioni, risorse e chiavi di condizione per Amazon Comprehend](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazoncomprehend.html) nel Service Authorization Reference.*
## Autorizzazioni necessarie per utilizzare la crittografia KMS
Per utilizzare appieno Amazon Key Management Service (KMS) per la crittografia di dati e processi in un processo asincrono, devi concedere le autorizzazioni per le azioni mostrate nella seguente politica:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:CreateGrant"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:Decrypt",
"kms:GenerateDatakey"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
Quando crei un lavoro asincrono con Amazon Comprehend, usi i dati di input archiviati su Amazon S3. Con S3, hai la possibilità di crittografare i dati archiviati, che vengono crittografati da S3 e non da Amazon Comprehend. Possiamo decrittografare e leggere i dati di input crittografati se fornisci l'`kms:Decrypt`autorizzazione per la chiave con cui i dati di input originali sono stati crittografati per il ruolo di accesso ai dati utilizzato dal job Amazon Comprehend.
Hai anche la possibilità di utilizzare le chiavi gestite dal cliente (CMK) KMS per crittografare i risultati di output su S3, nonché il volume di storage utilizzato durante l'elaborazione del lavoro. A tale scopo, è possibile utilizzare la stessa chiave KMS per entrambi i tipi di crittografia, ma ciò non è necessario. Durante la creazione del lavoro sono disponibili campi separati per specificare le chiavi per la crittografia dell'output e la crittografia del volume ed è anche possibile utilizzare una chiave KMS di un account diverso.
Quando si utilizza la crittografia KMS, è richiesta `kms:CreateGrant` l'autorizzazione per la crittografia dei volumi e `kms:GenerateDataKey` l'autorizzazione è necessaria per la crittografia dei dati di output. Per leggere input crittografati (come quando i dati di input sono già crittografati da Amazon S3), è `kms:Decrypt` richiesta l'autorizzazione. Il ruolo IAM deve fornire queste autorizzazioni secondo necessità. Tuttavia, se la chiave proviene da un account diverso da quello attualmente utilizzato, la politica delle chiavi KMS per quella chiave kms deve fornire queste autorizzazioni anche al ruolo di accesso ai dati per il lavoro.
## AWS politiche gestite (predefinite) per Amazon Comprehend
AWS affronta molti casi d'uso comuni fornendo politiche IAM autonome create e amministrate da. AWS Queste policy AWS gestite concedono le autorizzazioni necessarie per i casi d'uso comuni in modo da evitare di dover esaminare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
Le seguenti politiche AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche di Amazon Comprehend:
+ **ComprehendFullAccess**— Garantisce l'accesso completo alle risorse di Amazon Comprehend, inclusa l'esecuzione di lavori di modellazione tematica. Include il permesso di elencare e ottenere ruoli IAM.
+ **ComprehendReadOnly**— Concede l'autorizzazione a eseguire tutte le azioni di Amazon Comprehend `StartDominantLanguageDetectionJob` tranne`StartEntitiesDetectionJob`,,`StartKeyPhrasesDetectionJob`, `StartSentimentDetectionJob``StartTargetedSentimentDetectionJob`, e. `StartTopicsDetectionJob`
È necessario applicare la seguente politica aggiuntiva a tutti gli utenti che utilizzeranno Amazon Comprehend:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
Puoi rivedere le politiche di autorizzazione gestite accedendo alla console IAM e cercando lì politiche specifiche.
Queste politiche funzionano quando si utilizza AWS SDKs o la AWS CLI.
Puoi anche creare policy IAM personalizzate per consentire le autorizzazioni per azioni e risorse di Amazon Comprehend. Puoi allegare queste politiche personalizzate agli utenti, ai gruppi o ai ruoli che richiedono tali autorizzazioni.
## Autorizzazioni basate sui ruoli necessarie per le operazioni asincrone
Per utilizzare le operazioni asincrone di Amazon Comprehend, devi concedere ad Amazon Comprehend l'accesso al bucket Amazon S3 che contiene la tua raccolta di documenti. A tale scopo, puoi creare un ruolo di accesso ai dati nel tuo account con una politica di fiducia per considerare affidabile il responsabile del servizio Amazon Comprehend. Per ulteriori informazioni sulla creazione di un ruolo, vedere [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella Guida per l'*utente di AWS Identity and Access Management*.
Di seguito viene illustrato un esempio di politica di fiducia per il ruolo creato. Per facilitare la [prevenzione della confusione tra i deputati](cross-service-confused-deputy-prevention.md), limitate l'ambito dell'autorizzazione utilizzando una o più chiavi di contesto relative alle condizioni globali. Impostare il valore `aws:SourceAccount` sull’ID dell’account. Se si utilizza la `ArnEquals` condizione, impostare il `aws:SourceArn` valore sull'ARN del lavoro. Usa un carattere jolly per il numero del lavoro nell'ARN, poiché Amazon Comprehend genera questo numero come parte della creazione di posti di lavoro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:comprehend:us-west-2:111122223333:pii-entities-detection-job/*"
}
}
}
]
}
```
------
Dopo aver creato il ruolo, crea una politica di accesso per quel ruolo. Ciò dovrebbe concedere Amazon S3 `GetObject` e `ListBucket` le autorizzazioni al bucket Amazon S3 che contiene i dati di input e l'autorizzazione `PutObject` Amazon S3 al bucket di dati di output Amazon S3.
## Autorizzazioni per consentire tutte le azioni di Amazon Comprehend
Dopo la registrazione AWS, crei un utente amministratore per gestire il tuo account, inclusa la creazione di utenti e la gestione delle relative autorizzazioni.
Puoi scegliere di creare un utente con le autorizzazioni per tutte le azioni di Amazon Comprehend (considera questo utente un amministratore specifico del servizio) per lavorare con Amazon Comprehend. È possibile collegare la policy di autorizzazione seguente a tale utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "AllowAllComprehendActions",
"Effect": "Allow",
"Action":
[
"comprehend:*",
"iam:ListRoles",
"iam:GetRole",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDatakey"
],
"Resource": "*"
},
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
Queste autorizzazioni possono essere modificate per quanto riguarda la crittografia nei seguenti modi:
+ Per consentire ad Amazon Comprehend di analizzare i documenti archiviati in un bucket S3 crittografato, il ruolo IAM deve disporre dell'autorizzazione. `kms:Decrypt`
+ Per consentire ad Amazon Comprehend di crittografare i documenti archiviati su un volume di storage collegato all'istanza di calcolo che elabora il processo di analisi, il ruolo IAM deve disporre dell'autorizzazione. `kms:CreateGrant`
+ Per consentire ad Amazon Comprehend di crittografare i risultati di output nel proprio bucket S3, il ruolo IAM deve disporre dell'autorizzazione. `kms:GenerateDataKey`
## Autorizzazioni per consentire azioni di modellazione degli argomenti
La seguente politica di autorizzazione concede le autorizzazioni agli utenti per eseguire le operazioni di modellazione tematica di Amazon Comprehend.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTopicModelingActions",
"Effect": "Allow",
"Action": [
"comprehend:DescribeTopicsDetectionJob",
"comprehend:ListTopicsDetectionJobs",
"comprehend:StartTopicsDetectionJob"
],
"Resource": "*"
}
]
}
```
------
## Autorizzazioni necessarie per un processo di analisi asincrono personalizzato
**Importante**
Se disponi di una policy IAM che limita l'accesso al modello, non sarai in grado di completare un lavoro di inferenza con un modello personalizzato. La tua policy IAM dovrebbe essere aggiornata in modo da avere una risorsa wildcard per un processo di analisi asincrona personalizzato.
Se utilizzi [StartDocumentClassificationJob ](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartDocumentClassificationJob.html)and [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartEntitiesDetectionJob.html) APIs, devi aggiornare la tua policy IAM a meno che non utilizzi attualmente i caratteri jolly come risorse. Se [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartEntitiesDetectionJob.html)utilizzi un modello già addestrato, ciò non ha alcun impatto su di te e non devi apportare alcuna modifica.
La seguente politica di esempio contiene un riferimento **obsoleto**.
```
{
"Action": [
"comprehend:StartDocumentClassificationJob",
"comprehend:StartEntitiesDetectionJob",
],
"Resource": [
"arn:aws:comprehend:us-east-1:123456789012:document-classifier/myClassifier",
"arn:aws:comprehend:us-east-1:123456789012:entity-recognizer/myRecognizer"
],
"Effect": "Allow"
}
```
Questa è la politica **aggiornata** che è necessario utilizzare per eseguire correttamente and. StartDocumentClassificationJob StartEntitiesDetectionJob
```
{
"Action": [
"comprehend:StartDocumentClassificationJob",
"comprehend:StartEntitiesDetectionJob",
],
"Resource": [
"arn:aws:comprehend:us-east-1:123456789012:document-classifier/myClassifier",
"arn:aws:comprehend:us-east-1:123456789012:document-classification-job/*",
"arn:aws:comprehend:us-east-1:123456789012:entity-recognizer/myRecognizer",
"arn:aws:comprehend:us-east-1:123456789012:entities-detection-job/*"
],
"Effect": "Allow"
}
```
# AWS politiche gestite per Amazon Comprehend
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite che scrivere le politiche da soli. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d’uso comuni e sono disponibili nell’account Account AWS. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy **ReadOnlyAccess** AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
## AWS politica gestita: ComprehendFullAccess
Questa politica garantisce l'accesso completo alle risorse di Amazon Comprehend, inclusa l'esecuzione di lavori di modellazione degli argomenti. Questa policy concede inoltre autorizzazioni per l'elenco e l'ottenimento di autorizzazioni per i bucket Amazon S3 e i ruoli IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"comprehend:*",
"iam:GetRole",
"iam:ListRoles",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: ComprehendReadOnly
**Questa politica concede autorizzazioni di sola lettura per eseguire tutte le azioni di Amazon Comprehend tranne le seguenti:**
+ `StartDominantLanguageDetectionJob`
+ `StartEntitiesDetectionJob`
+ `StartKeyPhrasesDetectionJob`
+ `StartSentimentDetectionJob`
+ `StartTargetedSentimentDetectionJob`
+ `StartTopicsDetectionJob`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectKeyPhrases",
"comprehend:BatchDetectSentiment",
"comprehend:BatchDetectSyntax",
"comprehend:ClassifyDocument",
"comprehend:ContainsPiiEntities",
"comprehend:DescribeDocumentClassificationJob",
"comprehend:DescribeDocumentClassifier",
"comprehend:DescribeDominantLanguageDetectionJob",
"comprehend:DescribeEndpoint",
"comprehend:DescribeEntitiesDetectionJob",
"comprehend:DescribeEntityRecognizer",
"comprehend:DescribeKeyPhrasesDetectionJob",
"comprehend:DescribePiiEntitiesDetectionJob",
"comprehend:DescribeResourcePolicy",
"comprehend:DescribeSentimentDetectionJob",
"comprehend:DescribeTargetedSentimentDetectionJob",
"comprehend:DescribeTopicsDetectionJob",
"comprehend:DetectDominantLanguage",
"comprehend:DetectEntities",
"comprehend:DetectKeyPhrases",
"comprehend:DetectPiiEntities",
"comprehend:DetectSentiment",
"comprehend:DetectSyntax",
"comprehend:ListDocumentClassificationJobs",
"comprehend:ListDocumentClassifiers",
"comprehend:ListDocumentClassifierSummaries",
"comprehend:ListDominantLanguageDetectionJobs",
"comprehend:ListEndpoints",
"comprehend:ListEntitiesDetectionJobs",
"comprehend:ListEntityRecognizers",
"comprehend:ListEntityRecognizerSummaries",
"comprehend:ListKeyPhrasesDetectionJobs",
"comprehend:ListPiiEntitiesDetectionJobs",
"comprehend:ListSentimentDetectionJobs",
"comprehend:ListTargetedSentimentDetectionJobs",
"comprehend:ListTagsForResource",
"comprehend:ListTopicsDetectionJobs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Amazon Comprehend: aggiornamenti alle AWS politiche gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Comprehend da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di Amazon [Comprehend](https://docs.aws.amazon.com/comprehend/latest/dg/doc-history.html).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly): aggiornamento a una policy esistente | Amazon Comprehend ora consente le `comprehend:ListTargetedSentimentDetectionJobs` azioni `comprehend:DescribeTargetedSentimentDetectionJob` e le azioni contenute nella policy ComprehendReadOnly | 30 marzo 2022 |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly): aggiornamento di una policy esistente | Amazon Comprehend ora consente l'`comprehend:DescribeResourcePolicy`azione prevista nella policy ComprehendReadOnly | 2 febbraio 2022 |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly): aggiornamento di una policy esistente | Amazon Comprehend ora consente le `ListEntityRecognizerSummaries` azioni `ListDocumentClassifierSummaries` e le azioni contenute nella policy ComprehendReadOnly | 21 settembre 2021 |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly): aggiornamento di una policy esistente | Amazon Comprehend ora consente l'ContainsPIIEntitiesazione prevista nella policy ComprehendReadOnly | 26 marzo 2021 |
| Amazon Comprehend ha iniziato a tracciare le modifiche | Amazon Comprehend ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. | 1° marzo 2021 |
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Comprehend
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon Comprehend e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Amazon Comprehend](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Comprehend](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Amazon Comprehend
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L'errore di esempio seguente si verifica quando l'utente `mateojackson` IAM prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `comprehend:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: comprehend:GetWidget on resource: my-example-widget
```
In questo caso, la policy deve essere aggiornata in modo che Mateo possa accedere alla risorsa `my-example-widget` mediante l'operazione `comprehend:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon Comprehend.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio anziché creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon Comprehend. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Comprehend
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon Comprehend supporta queste funzionalità, consulta. [Come funziona Amazon Comprehend con IAM](security_iam_service-with-iam.md)
+ Per sapere come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Registrazione delle chiamate API Amazon Comprehend con AWS CloudTrail
Amazon Comprehend è integrato con AWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o AWS servizio in Amazon Comprehend. CloudTrail acquisisce le chiamate API per Amazon Comprehend come eventi. Le chiamate acquisite includono chiamate dalla console Amazon Comprehend e chiamate in codice alle operazioni dell'API Amazon Comprehend. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per Amazon Comprehend. **Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi.** Utilizzando le informazioni raccolte da CloudTrail, puoi determinare la richiesta che è stata effettuata ad Amazon Comprehend, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Per ulteriori informazioni CloudTrail, incluso come configurarlo e abilitarlo, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Amazon Comprehend: informazioni in CloudTrail
CloudTrail è abilitato sul tuo account al Account AWS momento della creazione dell'account. **Quando si verifica un'attività di evento supportata in Amazon Comprehend, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi.** Puoi visualizzare, cercare e scaricare eventi recenti in. Account AWS Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi del tuo sito Account AWS, compresi gli eventi per Amazon Comprehend, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un percorso nella console, il percorso si applica a tutte le AWS regioni. Il percorso registra gli eventi di tutte le Regioni nella partizione AWS e distribuisce i file di log nel bucket Amazon S3 specificato. Inoltre, è possibile configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei CloudTrail log. Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Amazon Comprehend supporta la registrazione delle seguenti azioni come eventi nei CloudTrail file di registro:
+ [BatchDetectDominantLanguage](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectDominantLanguage.html)
+ [BatchDetectEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectEntities.html)
+ [BatchDetectKeyPhrases](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectKeyPhrases.html)
+ [BatchDetectSentiment](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectSentiment.html)
+ [BatchDetectSyntax](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectSyntax.html)
+ [ClassifyDocument](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ClassifyDocument.html)
+ [CreateDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateDocumentClassifier.html)
+ [CreateEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEndpoint.html)
+ [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html)
+ [DeleteDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DeleteDocumentClassifier.html)
+ [DeleteEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DeleteEndpoint.html)
+ [DeleteEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DeleteEntityRecognizer.html)
+ [DescribeDocumentClassificationJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeDocumentClassificationJob.html)
+ [DescribeDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeDocumentClassifier.html)
+ [DescribeDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeDominantLanguageDetectionJob.html)
+ [DescribeEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeEndpoint.html)
+ [DescribeEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeEntitiesDetectionJob.html)
+ [DescribeEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeEntityRecognizer.html)
+ [DescribeKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeKeyPhrasesDetectionJob.html)
+ [DescribePiiEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribePiiEntitiesDetectionJob.html)
+ [DescribeSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeSentimentDetectionJob.html)
+ [DescribeTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeTargetedSentimentDetectionJob.html)
+ [DescribeTopicsDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeTopicsDetectionJob.html)
+ [DetectDominantLanguage](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectDominantLanguage.html)
+ [DetectEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectEntities.html)
+ [DetectKeyPhrases](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectKeyPhrases.html)
+ [DetectPiiEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectPiiEntities.html)
+ [DetectSentiment](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectSentiment.html)
+ [DetectSyntax](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectSyntax.html)
+ [ListDocumentClassificationJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListDocumentClassificationJobs.html)
+ [ListDocumentClassifiers](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListDocumentClassifiers.html)
+ [ListDominantLanguageDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListDominantLanguageDetectionJobs.html)
+ [ListEndpoints](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListEndpoints.html)
+ [ListEntitiesDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListEntitiesDetectionJobs.html)
+ [ListEntityRecognizers](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListEntityRecognizers.html)
+ [ListKeyPhrasesDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListKeyPhrasesDetectionJobs.html)
+ [ListPiiEntitiesDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListPiiEntitiesDetectionJobs.html)
+ [ListSentimentDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListSentimentDetectionJobs.html)
+ [ListTargetedSentimentDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListTargetedSentimentDetectionJobs.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListTagsForResource.html)
+ [ListTopicsDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListTopicsDetectionJobs.html)
+ [StartDocumentClassificationJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDocumentClassificationJob.html)
+ [StartDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDominantLanguageDetectionJob.html)
+ [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)
+ [StartKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartKeyPhrasesDetectionJob.html)
+ [StartPiiEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartPiiEntitiesDetectionJob.html)
+ [StartSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartSentimentDetectionJob.html)
+ [StartTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTargetedSentimentDetectionJob.html)
+ [StartTopicsDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTopicsDetectionJob.html)
+ [StopDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopDominantLanguageDetectionJob.html)
+ [StopEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopEntitiesDetectionJob.html)
+ [StopKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopKeyPhrasesDetectionJob.html)
+ [StopPiiEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopPiiEntitiesDetectionJob.html)
+ [StopSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopSentimentDetectionJob.html)
+ [StopTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopTargetedSentimentDetectionJob.html)
+ [StopTrainingDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopTrainingDocumentClassifier.html)
+ [StopTrainingEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopTrainingEntityRecognizer.html)
+ [TagResource](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_TagResource.html)
+ [UntagResource](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_UntagResource.html)
+ [UpdateEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_UpdateEndpoint.html)
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con le credenziali dell'utente root.
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Esempio: voci dei file di log di Amazon Comprehend
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`ClassifyDocument`azione.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AROAICFHPEXAMPLE",
"arn": "arn:aws:iam::12345678910:user/myadmin2",
"accountId": "12345678910",
"accessKeyId": "ASIA3VZEXAMPLE",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-10-19T14:22:09Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-10-19T17:31:20Z",
"eventSource": "comprehend.amazonaws.com",
"eventName": "ClassifyDocument",
"awsRegion": "us-east-2",
"sourceIPAddress": "3.21.185.237",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/115.0",
"requestParameters": null,
"responseElements": null,
"requestID": "fd916e66-caac-46c9-a1fc-81a0ef33e61b",
"eventID": "535ca22b-b3a3-4c13-b2c5-bf51ab082794",
"readOnly": false,
"resources": [
{
"accountId": "12345678910",
"type": "AWS::Comprehend::DocumentClassifierEndpoint",
"ARN": "arn:aws:comprehend:us-east-2:12345678910:document-classifier-endpoint/endpointExample"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "12345678910"
}
```
# Convalida della conformità per Amazon Comprehend
I revisori di terze parti valutano la sicurezza e la conformità di Amazon Comprehend nell'ambito di AWS diversi programmi di conformità. Questi includono PCI, FedRAMP, HIPAA e altri. Puoi scaricare report di audit di terze parti utilizzando. AWS Artifact Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
La tua responsabilità di conformità quando usi Amazon Comprehend è determinata dalla sensibilità dei tuoi dati, dagli obiettivi di conformità della tua azienda e dalle leggi e dai regolamenti applicabili. AWS fornisce le seguenti risorse per contribuire alla conformità:
+ [Guide introduttive su sicurezza e conformità](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): queste guide all'implementazione illustrano considerazioni sull'architettura e forniscono passaggi per implementare ambienti di base incentrati sulla sicurezza e la conformità. AWS
+ [Whitepaper sull'architettura per la sicurezza e la conformità HIPAA: questo white paper](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) descrive in che modo le aziende possono utilizzare per creare applicazioni conformi allo standard HIPAA. AWS
+ [AWS Risorse per la conformità](https://aws.amazon.com/compliance/resources/): questa raccolta di cartelle di lavoro e guide potrebbe riguardare il settore e la località in cui operi.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Questo AWS servizio valuta la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Questo AWS servizio offre una visione completa dello stato di sicurezza dell'utente e consente AWS di verificare la conformità agli standard e alle best practice del settore della sicurezza.
Per un elenco dei AWS servizi che rientrano nell'ambito di specifici programmi di conformità, consulta la sezione [AWS Servizi rientranti nell'ambito del programma di conformità](https://aws.amazon.com/compliance/services-in-scope/). Per informazioni generali, consulta [Programmi di conformità di AWS](https://aws.amazon.com/compliance/programs/).
# Resilienza in Amazon Comprehend
L'infrastruttura AWS globale è costruita attorno a Regione AWS s e alle zone di disponibilità. Regione AWS Le s forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
[Per ulteriori informazioni su Regione AWS s e sulle zone di disponibilità, consulta Global Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Sicurezza dell'infrastruttura in Amazon Comprehend
In quanto servizio gestito, Amazon Comprehend è protetto dalla sicurezza della rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizza chiamate API AWS pubblicate per accedere ad Amazon Comprehend attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa, è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare le credenziali di sicurezza temporanee per sottoscrivere le richieste.