Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
Crittografia dei dati a riposo per AWS HealthScribe - Amazon Transcribe
Specificazione di una chiave gestita dal cliente per AWS HealthScribeAWS KMS contesto di crittografiaMonitoraggio delle chiavi di crittografia per AWS HealthScribe

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati a riposo per AWS HealthScribe

PDFRSS

Per impostazione predefinita, AWS HealthScribe fornisce la crittografia inattiva per proteggere i dati sensibili dei clienti utilizzando chiavi AWS HealthScribe gestite AWS Key Management Service (AWS KMS). La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Inoltre, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia. Quando crei un processo di AWS HealthScribe trascrizione o avvii uno stream, puoi specificare una chiave gestita dal cliente. Ciò aggiunge un secondo livello di crittografia.

  • AWS HealthScribe AWS KMS chiavi gestite: AWS HealthScribe utilizza le chiavi AWS HealthScribe managed AWS Key Management Service (AWS KMS) per impostazione predefinita per crittografare automaticamente i file intermedi. Non è possibile disabilitare questo livello di crittografia o scegliere un tipo di crittografia alternativo. Non puoi visualizzare, gestire o utilizzare le chiavi o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati.

  • Chiavi gestite dal cliente: AWS HealthScribe supporta l'uso di una chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire per aggiungere un secondo livello di crittografia rispetto alla crittografia esistente di proprietà di AWS. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:

    • Stabilire e mantenere le policy delle chiavi

    • Stabilire e mantenere IAM politiche e sovvenzioni

    • Abilitare e disabilitare le policy delle chiavi

    • Ruotare i materiali crittografici delle chiavi

    • Aggiungere tag

    • Creare alias delle chiavi

    • Pianificare l’eliminazione delle chiavi

    Per ulteriori informazioni, consulta Customer Managed Key nella Guida per gli AWS Key Management Service sviluppatori.

Nota

AWS HealthScribe abilita automaticamente la crittografia dei dati AWS archiviati utilizzando chiavi di proprietà per proteggere gratuitamente i dati di identificazione personale. Tuttavia, l'utilizzo di una chiave gestita dal cliente comporta dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS Key Management Service.

Per ulteriori informazioni su AWS KMS, consulta Cos'è AWS Key Management Service.

Argomenti

Specificazione di una chiave gestita dal cliente per AWS HealthScribe

È possibile specificare una chiave gestita dal cliente come crittografia di secondo livello per i lavori di trascrizione o lo streaming.

AWS KMS contesto di crittografia

AWS KMS il contesto di crittografia è una mappa di coppie chiave:valore in testo semplice e non segrete. Questa mappa rappresenta dati autenticati aggiuntivi, noti come coppie di contesti di crittografia, che forniscono un ulteriore livello di sicurezza per i dati. AWS HealthScribe richiede una chiave di crittografia simmetrica per crittografare l' AWS HealthScribe output in un bucket specificato dal cliente. Amazon S3 Per ulteriori informazioni, consulta Chiavi asimmetriche in AWS KMS.

Quando crei le tue coppie di contesti di crittografia, non includere informazioni sensibili. Il contesto di crittografia non è segreto: è visibile in testo semplice all'interno dei CloudTrail log (quindi è possibile utilizzarlo per identificare e classificare le operazioni crittografiche). La coppia di contesti di crittografia può includere caratteri speciali, ad esempio caratteri di sottolineatura (_), trattini (-), barre (/, \) e due punti (:).

Suggerimento

Può essere utile mettere in relazione i valori della coppia di contesti di crittografia con i dati da crittografare. Sebbene non sia obbligatorio, ti consigliamo di utilizzare metadati non sensibili relativi ai contenuti crittografati, come nomi di file, valori di intestazione o campi di database non crittografati.

Per utilizzare la crittografia di output con l'API, imposta il parametro KMSEncryptionContext nell'operazione. StartMedicalScribeJob Per fornire un contesto di crittografia per l'operazione di crittografia dell'output, il parametro OutputEncryptionKMSKeyId deve fare riferimento a un ID di AWS KMS chiave simmetrica.

Per lo streaming, si specificano le coppie chiave-valore per «KmsEncryptionContextMedicalScribeEncryptionSettingsin the». MedicalScribeConfigurationEvent

È possibile utilizzare chiavi AWS KMS condizionali con IAM policy per controllare l'accesso a una AWS KMS chiave di crittografia simmetrica basata sul contesto di crittografia utilizzato nella richiesta di un'operazione crittografica. Per un esempio di policy del contesto di crittografia, consulta Policy del contesto di crittografia AWS KMS.

Utilizzare un contesto di crittografia è opzionale, ma consigliato. Per ulteriori informazioni, consulta Contesto di crittografia.

AWS HealthScribe contesto di crittografia

AWS HealthScribe utilizza lo stesso contesto di crittografia in tutte le operazioni AWS Key Management Service crittografiche. Il contesto di crittografia è una mappa di String to String che può essere personalizzata in base a qualsiasi cosa desideri.

"encryptionContext": {
   "ECKey": "ECValue"
   ...
}

Per gli AWS HealthScribe stream, quello che segue è il contesto di crittografia generato dal servizio predefinito. Applica questo contesto a qualsiasi contesto di crittografia fornito dall'utente.

"encryptionContext": {
  "aws:<region>:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
}

Per i lavori di AWS HealthScribe trascrizione, quello che segue è il contesto di crittografia generato dal servizio predefinito. Applica questo contesto a qualsiasi contesto di crittografia fornito dall'utente.

"encryptionContext": {
  "aws:<region>:transcribe:medical-scribe:job-name": "<job-name>",
  "aws:<region>:transcribe:medical-scribe:start-time-epoch-ms": "<job-start-time>"
}

Se non si fornisce alcun contesto di crittografia, per tutte le operazioni AWS KMS crittografiche verrà utilizzato solo il contesto di crittografia generato dal servizio.

Monitoraggio AWS HealthScribe con contesto di crittografia

Quando si utilizza una chiave simmetrica gestita dal cliente per crittografare i dati inattivi AWS HealthScribe, è possibile utilizzare il contesto di crittografia anche nei registri e nei registri di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia viene visualizzato anche nei log generati da or Logs. AWS CloudTrail CloudWatch

Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente

È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come condizioni per controllare l'accesso alla chiave simmetrica gestita dal cliente.

Di seguito sono riportati alcuni esempi di istruzioni delle policy delle chiavi per concedere l'accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. La condizione di questa dichiarazione politica richiede che gli utilizzi delle chiavi KMS abbiano un vincolo di contesto di crittografia che specifica il contesto di crittografia. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid":"Allow access to the ResourceAccessRole for StartMedicalScribeStream",
            "Effect":"Allow",
            "Principal":{
                "AWS": "arn:aws:iam::123456789012:role/ResourceAccessRole"
            },
            "Action":[
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource":"arn:aws:kms:us-west-2:123456789012:key/Key_ID",
            "Condition": {
                "StringEquals": {
                    // below is the service generated encryption context example
                    "kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id":"1234abcd-12ab-34cd-56ef-123456SAMPLE",
                    // plus any encryption context that you specify in the request
                    "kms:EncryptionContext:${ECKey}": "${ECValue}"
                }
            }
        },
        {
            "Sid":"Allow access to the ResourceAccessRole for DescribeKey",
            "Effect":"Allow",
            "Principal":{
                "AWS": "arn:aws:iam::123456789012:role/ResourceAccessRole"
            },
            "Action": "kms:DescribeKey",
            "Resource":"arn:aws:kms:us-west-2:123456789012:key/Key_ID"
        }
}

Monitoraggio delle chiavi di crittografia per AWS HealthScribe

Quando utilizzi una chiave gestita AWS Key Management Service dal cliente con AWS HealthScribe, puoi utilizzare AWS CloudTrail or CloudWatch log per tenere traccia delle richieste AWS HealthScribe inviate a AWS KMS.

Gli esempi seguenti sono gli eventi CloudTrail Encrypt e Decrypt che puoi utilizzare per monitorare l' AWS HealthScribe utilizzo della chiave gestita dal cliente.

Encrypt

{
   "eventVersion":"1.09",
   "userIdentity":{
      "type":"AssumedRole",
      "principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
      "arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
      "accountId":"123456789012",
      "accessKeyId":"AKIAIOSFODNN7EXAMPLE3",
      "sessionContext":{
         "sessionIssuer":{
            "type":"Role",
            "principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
            "arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
            "accountId":"123456789012",
            "userName":"Admin"
         },
         "attributes":{
            "creationDate":"2024-08-16T01:10:05Z",
            "mfaAuthenticated":"false"
         }
      },
      "invokedBy":"transcribe.streaming.amazonaws.com"
   },
   "eventTime":"2024-08-16T01:10:05Z",
   "eventSource":"kms.amazonaws.com",
   "eventName":"Encrypt",
   "awsRegion":"us-east-1",
   "sourceIPAddress":"transcribe.streaming.amazonaws.com",
   "userAgent":"transcribe.streaming.amazonaws.com",
   "requestParameters":{
      "encryptionContext":{
         "aws:us-east-1:transcribe:medical-scribe:session-id":"1234abcd-12ab-34cd-56ef-123456SAMPLE"
      },
      "encryptionAlgorithm":"SYMMETRIC_DEFAULT",
      "keyId":"1234abcd-12ab-34cd-56ef-1234567890ab"
   },
   "responseElements":null,
   "requestID":"cbe0ac33-8cca-49e5-9bb5-dc2b8dfcb389",
   "eventID":"1b9fedde-aa96-48cc-9dd9-a2cce2964b3c",
   "readOnly":true,
   "resources":[
      {
         "accountId":"123456789012",
         "type":"AWS::KMS::Key",
         "ARN":"arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
      }
   ],
   "eventType":"AwsApiCall",
   "managementEvent":true,
   "recipientAccountId":"123456789012",
   "eventCategory":"Management"
}

Decrypt

{
   "eventVersion":"1.09",
   "userIdentity":{
      "type":"AssumedRole",
      "principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
      "arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
      "accountId":"123456789012",
      "accessKeyId":"AKIAIOSFODNN7EXAMPLE3",
      "sessionContext":{
         "sessionIssuer":{
            "type":"Role",
            "principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
            "arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
            "accountId":"123456789012",
            "userName":"Admin"
         },
         "attributes":{
            "creationDate":"2024-08-16T20:47:04Z",
            "mfaAuthenticated":"false"
         }
      },
      "invokedBy":"transcribe.streaming.amazonaws.com"
   },
   "eventTime":"2024-08-16T20:47:04Z",
   "eventSource":"kms.amazonaws.com",
   "eventName":"Decrypt",
   "awsRegion":"us-east-1",
   "sourceIPAddress":"transcribe.streaming.amazonaws.com",
   "userAgent":"transcribe.streaming.amazonaws.com",
   "requestParameters":{
      "keyId":"mrk-de27f019178f4fbf86512ab03ba860be",
      "encryptionAlgorithm":"SYMMETRIC_DEFAULT",
      "encryptionContext":{
         "aws:us-east-1:transcribe:medical-scribe:session-id":"1234abcd-12ab-34cd-56ef-123456SAMPLE"
      }
   },
   "responseElements":null,
   "requestID":"8b7fb865-48be-4e03-ac3d-e7bee3ba30a1",
   "eventID":"68b7a263-d410-4701-9e2b-20c196628966",
   "readOnly":true,
   "resources":[
      {
         "accountId":"123456789012",
         "type":"AWS::KMS::Key",
         "ARN":"arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
      }
   ],
   "eventType":"AwsApiCall",
   "managementEvent":true,
   "recipientAccountId":"123456789012",
   "eventCategory":"Management"
}

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.