データ暗号化 - Amazon Transcribe
保管中の暗号化転送中の暗号化キーの管理AWS KMS の暗号化コンテキスト

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データ暗号化

データ暗号化とは、転送中と不使用時のいずれもデータの保護を指します。転送中は、Amazon S3KMS keysマネージドキーまたは保管中のデータを、標準のトランスポート層セキュリティ (TLS) と併用して保護できます。

保管中の暗号化

Amazon Transcribeは、Amazon S3Amazon S3バケットに配置された文字起こし内容のサーバー側の暗号化にデフォルトキー (SSE-S3) を使用します。

操作を使用するときは、KMS key独自のStartTranscriptionJob操作を指定して、文字起こしジョブからの出力を暗号化できます。

Amazon Transcribe では、デフォルトキーで暗号化された Amazon EBS ボリュームが使用されます。

転送中の暗号化

Amazon Transcribe は、TLS 1.2 を AWS 証明書で使用して、転送中のデータを暗号化します。ストリーミングの文字起こしも対象になります。

キーの管理

Amazon TranscribeによりKMS keys、データの暗号化を強化できます。を使用するとAmazon S3、文字起こしジョブを作成する際に、入力メディアを暗号化できます。AWS KMSとの統合により、StartTranscriptionJobリクエストからの出力を暗号化できます。

を指定しない場合KMS key、Amazon S3文字起こしジョブの出力はデフォルトキー (SSE-S3) で暗号化されます。

AWS KMS の詳細については、AWS Key Management Service デベロッパーガイド を参照してください。

文字起こしジョブの出力を暗号化するには、KMS keyAWS アカウントリクエストを行う側の「」を使用するか、別のユーザーの「」を使用するかを選択できますAWS アカウント。KMS key

を指定しない場合KMS key、Amazon S3文字起こしジョブの出力はデフォルトキー (SSE-S3) で暗号化されます。

出力暗号化を有効にするには:

  1. [Output data (出力データ)] で、[Encryption (暗号化)] を選択します。

    有効になっている暗号化切り替えとKMS key ID ドロップダウンメニューのスクリーンショット。

  2. KMS keyAWS アカウント現在使用しているものか、別のものかを選択しますAWS アカウント。現在のキーを使用する場合はAWS アカウント、KMS keyID からキーを選択します。別のキーを使用する場合はAWS アカウント、キーの ARN を入力する必要があります。別のキーを使用するにはAWS アカウント、kms:Encrypt呼び出し元がに対する権限を持っている必要がありますKMS key。詳細については、「キーポリシーの作成」を参照してください。

API で出力暗号化を使用するには、、StartCallAnalyticsJobStartMedicalTranscriptionJob、KMS keyOutputEncryptionKMSKeyIdStartTranscriptionJobまたはオペレーションのパラメータを使用してを指定する必要があります。

現在のキーを使用する場合はAWS アカウント、次の 4KMS key つの方法のいずれかでキーを指定できます。

  1. KMS keyID 自体を使用してください。例えば、1234abcd-12ab-34cd-56ef-1234567890ab

  2. KMS keyID にはエイリアスを使用してください。例えば、alias/ExampleAlias

  3. KMS keyID には Amazon リソースネーム (ARN) を使用してください。例えば、arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab

  4. KMS keyエイリアスには ARN を使用してください。例えば、arn:aws:kms:region:account-ID:alias/ExampleAlias

AWS アカウント現在のキーとは異なるキーを使用する場合はAWS アカウント、次の 2KMS key つの方法のいずれかでキーを指定できます。

  1. KMS keyID には ARN を使用してください。例えば、arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab

  2. KMS keyエイリアスには ARN を使用してください。例えば、arn:aws:kms:region:account-ID:alias/ExampleAlias

リクエストを行うエンティティには、指定したを使用するためのアクセス許可が必要であることに注意してくださいKMS key。

AWS KMS の暗号化コンテキスト

AWS KMS 暗号化コンテキストは、プレーンテキスト、非シークレットキー: 値ペアのマップです。このマップは、暗号化コンテキストペアと呼ばれる追加の認証データを表し、データのセキュリティレイヤーを追加できます。 Amazon Transcribeお客様指定のAmazon S3バケットに文字起こし出力を暗号化するための対称暗号化キーが必要です。詳細については、の「非対称キー」を参照してくださいAWS KMS。

暗号化コンテキストペアを作成するときは、機密情報を含めないでください。暗号化コンテキストは秘密ではありません。CloudTrailログ内でプレーンテキストで見ることができます (したがって、暗号化操作を特定し分類するために使用することができます)。

暗号化コンテキストのキーと値には、アンダースコア (_)、ダッシュ ()、スラッシュ (,-)、コロン (/\:) などの特殊文字を含めることができます。

ヒント

暗号化コンテキストペアの値を暗号化されるデータに関連付けると便利です。必須ではありませんが、ファイル名、ヘッダー値、暗号化されていないデータベースフィールドなど、暗号化されたコンテンツに関連する機密性のないメタデータを使用することをお勧めします。

API による出力暗号化を使用するには、KMSEncryptionContext パラメータを StartTranscriptionJob オペレーションに設定します。出力暗号化操作に暗号化コンテキストを提供するために、OutputEncryptionKMSKeyIdパラメータは対称型KMS key ID を参照する必要があります。

IAMポリシーでAWS KMS条件キーを使用すると、KMS key暗号化操作のリクエストで使用された暗号化コンテキストに基づいて、対称暗号化へのアクセスを制御できます。暗号化コンテキストポリシーの例については、を参照してくださいAWS KMS暗号化コンテキストポリシー

暗号化コンテキストの使用は任意ですが、推奨されています。暗号化コンテキストの詳細については、「Encription context」を参照してください。