翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Comprehend Medical での Identity-Based ポリシー (IAM ポリシー) の使用

このトピックでは、アイデンティティベースのポリシーの例を示します。この例では、アカウント管理者がアクセス許可ポリシーを IAM ID にアタッチする方法を示しています。これにより、ユーザー、グループ、およびロールが Amazon Comprehend Medical アクションを実行できるようになります。

このポリシー例は、Amazon Comprehend Medical ドキュメント分析アクションを使用するために必要です。

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowDetectActions",
      "Effect": "Allow",
      "Action": [
                "comprehendmedical:DetectEntitiesV2",
                "comprehendmedical:DetectEntities",
                "comprehendmedical:DetectPHI",
                
                "comprehendmedical:StartEntitiesDetectionV2Job",
                "comprehendmedical:ListEntitiesDetectionV2Jobs",
                "comprehendmedical:DescribeEntitiesDetectionV2Job",
                "comprehendmedical:StopEntitiesDetectionV2Job",

                "comprehendmedical:StartPHIDtectionJob",
                "comprehendmedical:ListPHIDetectionJobs",
                "comprehendmedical:DescribePHIDetectionJob",
                "comprehendmedical:StopPHIDetectionJob",
                
                "comprehendmedical:StartRxNormInferenceJob",
                "comprehendmedical:ListRxNormInferenceJobs",
                "comprehendmedical:DescribeRxNormInferenceJob",
                "comprehendmedical:StopRxNormInferenceJob",

                "comprehendmedical:StartICD10CMInferenceJob",
                "comprehendmedical:ListICD10CMInferenceJobs",
                "comprehendmedical:DescribeICD10CMInferenceJob",
                "comprehendmedical:StopICD10CMInferenceJob",
                
                "comprehendmedical:StartSNOMEDCTInferenceJob",
                "comprehendmedical:ListSNOMEDCTInferenceJobs",
                "comprehendmedical:DescribeSNOMEDCTInferenceJob",
                "comprehendmedical:StopSNOMEDCTInferenceJob",
                
                "comprehendmedical:InferRxNorm",
                "comprehendmedical:InferICD10CM",
                "comprehendmedical:InferSNOMEDCT",

             ],   
      "Resource": "*"
      }
   ]
}

このポリシーには、DetectEntities アクションおよび DetectPHI アクションを使用するためのアクセス許可を付与するステートメントが 1 つあります。

アイデンティティベースのポリシーでアクセス権限を得るプリンシパルを指定していないため、ポリシーでは Principal エレメントを指定していません。ユーザーにポリシーをアタッチすると、そのユーザーが暗黙のプリンシパルになります。ポリシーを IAM ロールにアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルがアクセス許可を取得します。

Amazon Comprehend Medical API のすべてのアクションとそれらが適用されるリソースを確認するには、「」を参照してくださいAmazon Comprehend Medical API アクセス許可: アクション、リソース、条件リファレンス。

Amazon Comprehend Medical コンソールを使用するために必要なアクセス許可

アクセス許可リファレンステーブルには、Amazon Comprehend Medical API オペレーションが一覧表示され、各オペレーションに必要なアクセス許可が表示されます。Amazon Comprehend Medical API のアクセス許可の詳細については、「」を参照してくださいAmazon Comprehend Medical API アクセス許可: アクション、リソース、条件リファレンス。

Amazon Comprehend Medical コンソールを使用するには、次のポリシーに示されているアクションのアクセス許可を付与する必要があります。

{
  "Version": "2012-10-17",
  "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "iam:CreateRole",
            "iam:CreatePolicy",
            "iam:AttachRolePolicy"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iam:PassRole",
         "Resource": "*",
         "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
         }
      }
   ]
}
            

Amazon Comprehend Medical コンソールには、以下の理由でこれらのアクセス許可が必要になります。

コンソールを使用して非同期バッチジョブを作成する場合、ジョブの IAM ロールを作成することもできます。コンソールを使用して IAM ロールを作成するには、IAM ロールとポリシーを作成し、ロールにポリシーをアタッチするために、ここに示す追加のアクセス許可をユーザーに付与する必要があります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
            

Amazon Comprehend Medical コンソールでは、ロールとポリシーを作成してロールとポリシーをアタッチするには、これらのアクセス許可が必要です。iam:PassRole アクションによって、コンソールで Amazon Comprehend Medical にロールを渡すことができます。

Amazon Comprehend Medical のAWS管理 (事前定義) ポリシー

AWS は、IAM によって作成および管理されるスタンドアロンの AWS ポリシーを提供することで、多くの一般的なユースケースに対応します。これらの AWS マネージドポリシーは、一般的なユースケースに必要なアクセス許可を付与するため、必要なアクセス許可を調査する必要がなくなります。詳細については、AWS ユーザーガイドの「Word マネージドポリシー」を参照してください。 IAM

アカウントのユーザーにアタッチできる次の AWS 管理ポリシーは、Amazon Comprehend Medical に固有のものです。

Amazon Comprehend Medical を使用するユーザーには、次の追加ポリシーを適用する必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
            }
        }
    ]
}
            

IAM コンソールにサインインし、そこで特定のポリシーを検索することで、管理アクセス許可ポリシーを確認できます。

これらのポリシーは、AWS SDKs AWS を使用している場合に機能しますCLI。

また、独自の IAM ポリシーを作成して、Amazon Comprehend Medical のアクションとリソースのアクセス許可を許可することもできます。これらのカスタムポリシーは、それらを必要とする IAM ユーザーまたはグループにアタッチできます。

バッチ操作に必要なロールベースのアクセス許可

Amazon Comprehend Medical 非同期オペレーションを使用するには、Amazon Comprehend Medical にドキュメントコレクションが含まれる Amazon S3 バケットへのアクセス許可を付与します。これを行うには、Amazon Comprehend Medical サービスプリンシパルを信頼するように、アカウントにデータアクセスロールを作成します。ロールの作成の詳細については、AWS Identity and Access Management ユーザーガイド」の「アクセス許可を Word Service に委任するロールの作成」を参照してください。 AWS

以下に示しているのは、ロールの信頼ポリシーです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "comprehendmedical.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

ロールを作成したら、そのロールのアクセスポリシーを作成します。ポリシーによって、入力データが含まれる Amazon S3 バケットへの Amazon S3 GetObject アクセス許可および ListBucket アクセス許可を付与する必要があります。また、Amazon S3 出力データバケットへの Amazon S3 PutObject のアクセス許可も付与します。

次のアクセスポリシー例には、これらのアクセス許可が含まれています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::output bucket/*"
            ],
            "Effect": "Allow"
        }
    ]
}
            

カスタマーマネージドポリシーの例

このセクションでは、さまざまな Amazon Comprehend Medical アクションのアクセス許可を付与するユーザーポリシー例を示しています。これらのポリシーは、AWS SDKs AWS を使用している場合に機能しますCLI。コンソールを使用する場合は、すべての Amazon Comprehend Medical APIs にアクセス許可を付与する必要があります。これについては、「Amazon Comprehend Medical コンソールを使用するために必要なアクセス許可」を参照してください。

例

例 1: すべての Amazon Comprehend Medical アクションを許可する

にサインアップしたら AWS、ユーザーの作成やアクセス許可の管理など、アカウントを管理する管理者を作成します。

すべての Amazon Comprehend アクションのアクセス許可を持つユーザーを作成できます。このユーザーは、Amazon Comprehend を使用するためのサービス固有の管理者と考えてください。このユーザーに以下のアクセス権限をアタッチできます。

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowAllComprehendMedicalActions",
      "Effect": "Allow",
      "Action": [
         "comprehendmedical:*"],
      "Resource": "*"
      }
   ]
}

例 2: DetectEntities アクションのみを許可する

次のアクセス許可ポリシーは、Amazon Comprehend Medical 内のエンティティを検出するアクセス許可をユーザーに付与しますが、PHI オペレーションを検出するアクセス許可は付与しません。

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowDetectEntityActions",
      "Effect": "Allow",
      "Action": [
                "comprehendedical:DetectEntities"
             ],   
            "Resource": "*"
            ]
        }
    ]
}