As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no Amazon Comprehend
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) do descreve isso como a segurança *da* nuvem e a segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam ao Amazon Comprehend, [AWS consulte Serviços em Escopo por Programa de Conformidade Serviços em Escopo por de Conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Amazon Comprehend. Os tópicos a seguir mostram como configurar o Amazon Comprehend para atender aos seus objetivos de segurança e compatibilidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos do Amazon Comprehend.
**Topics**
+ [Proteção de dados no Amazon Comprehend](comp-data-protection.md)
+ [Identity and Access Management (Gerenciamento de identidade e acesso) para o Amazon Comprehend](security-iam.md)
+ [Registro de chamadas da API Amazon Comprehend com AWS CloudTrail](logging-using-cloudtrail.md)
+ [Validação de conformidade para o Amazon Comprehend](comp-compliance.md)
+ [Resiliência no Amazon Comprehend](comp-disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura no Amazon Comprehend](comp-infrastructure-security.md)
# Proteção de dados no Amazon Comprehend
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no Amazon Comprehend. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Amazon Comprehend ou Serviços da AWS outro usando o console, a API AWS CLI ou. AWS SDKs Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
**Topics**
+ [Criptografia do KMS no Amazon Comprehend](kms-in-comprehend.md)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md)
+ [Trabalhos de proteção usando uma nuvem privada virtual da Amazon](usingVPC.md)
+ [Amazon Comprehend e endpoints da VPC de interface (AWS PrivateLink)](vpc-interface-endpoints.md)
# Criptografia do KMS no Amazon Comprehend
O Amazon Comprehend trabalha AWS Key Management Service com AWS KMS() para fornecer criptografia aprimorada para seus dados. O Amazon S3 já permite que você criptografe seus documentos de entrada ao criar uma análise de texto, modelagem de tópicos ou trabalho personalizado do Amazon Comprehend. A integração com AWS KMS permite criptografar os dados no volume de armazenamento das tarefas Start\$1 e Create\$1, além de criptografar os resultados de saída das tarefas Start\$1 usando sua própria chave KMS.
Para o Console de gerenciamento da AWS, o Amazon Comprehend criptografa modelos personalizados com sua própria chave KMS. Para o AWS CLI, o Amazon Comprehend pode criptografar modelos personalizados usando sua própria chave KMS ou uma chave gerenciada pelo cliente (CMK) fornecida.
**Criptografia KMS usando o Console de gerenciamento da AWS**
Há duas opções de criptografia disponíveis ao usar o console:
+ Criptografia de volumes
+ Criptografia do resultado de saída
**Para habilitar a criptografia de volume**
1. Em **Configurações do trabalho**, escolha a opção **Criptografia do trabalho**.
![\[Criptografia do KMS Job no Console de gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/comprehend/latest/dg/images/kms-1.png)
1. Escolha se a chave gerenciada pelo cliente (CMK) KMS é da conta que você está usando no momento ou de uma conta diferente. Se desejar usar uma chave da conta atual, escolha a alias da chave de **ID da chave KMS**. Se estiver usando uma chave de uma conta diferente, você deverá inserir o ARN da chave.
**Para habilitar a criptografia de resultado de saída**
1. Em **Configurações de saída**, escolha a opção **Criptografia**.
![\[Criptografia do resultado da saída KMS no Console de gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/comprehend/latest/dg/images/kms-2.png)
1. Escolha se a chave gerenciada pelo cliente (CMK) é da conta que você está usando no momento ou de uma conta diferente. Se desejar usar uma chave da conta atual, escolha a chave de **ID da chave KMS**. Se estiver usando uma chave de uma conta diferente, você deverá inserir o ARN da chave.
Se você já tiver configurado a criptografia usando SSE-KMS nos documentos de entrada do S3, isso poderá fornecer segurança adicional. No entanto, se você fizer isso, o perfil do IAM usado deverá ter a permissão `kms:Decrypt` para a chave do KMS com a qual os documentos de entrada são criptografados. Para obter mais informações, consulte [Permissões necessárias para usar a criptografia KMS](security_iam_id-based-policy-examples.md#auth-kms-permissions).
**Criptografia do KMS com operações de API**
Todas as operações de API `Start*` e `Create*` do Amazon Comprehend são compatíveis com documentos de entrada criptografados do KMS. As operações de API `Describe*` e `List*` retornam o `KmsKeyId` no `OutputDataConfig` se o trabalho original tiver recebido `KmsKeyId` como entrada. Caso contrário, esse parâmetro não será retornado.
Isso pode ser visto no seguinte exemplo de AWS CLI usando a [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)operação:
```
aws comprehend start-entities-detection-job \
--region region \
--data-access-role-arn "data access role arn" \
--entity-recognizer-arn "entity recognizer arn" \
--input-data-config "S3Uri=s3://Bucket Name/Bucket Path" \
--job-name job name \
--language-code en \
--output-data-config "KmsKeyId=Output S3 KMS key ID" "S3Uri=s3://Bucket Name/Bucket Path/" \
--volumekmskeyid "Volume KMS key ID"
```
**nota**
Este exemplo é formatado para Unix, Linux e macOS. Para Windows, substitua o caractere de continuação Unix de barra invertida (\$1) no final de cada linha por um circunflexo (^).
**Criptografia de chave gerenciada pelo cliente (CMK) com operações de API**
Operações de API de modelo personalizado do Amazon Comprehend,,, `CreateEndpoint` e `CreateEntityRecognizer``CreateDocumentClassifier`, oferecem suporte à criptografia usando chaves gerenciadas pelo cliente por meio do. AWS CLI
É necessário usar uma política do IAM para permitir que uma entidade principal use ou gerencie chaves gerenciadas pelo cliente. Essas chaves são especificadas no elemento `Resource` da instrução de política. Como prática recomendada, limite as chaves gerenciadas pelo cliente somente àquelas que as entidades principais devem usar em sua declaração de política.
O exemplo de AWS CLI a seguir cria um reconhecedor de entidade personalizado com criptografia de modelo usando a operação: [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html)
```
aws comprehend create-entity-recognizer \
--recognizer-name name \
--data-access-role-arn data access role arn \
--language-code en \
--model-kms-key-id Model KMS Key ID \
--input-data-config file:///path/input-data-config.json
```
**nota**
Este exemplo é formatado para Unix, Linux e macOS. Para Windows, substitua o caractere de continuação Unix de barra invertida (\$1) no final de cada linha por um circunflexo (^).
# Prevenção contra o ataque do “substituto confuso” em todos os serviços
“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos o uso das chaves de contexto de condição global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) em políticas de recursos para limitar as permissões que o Amazon Comprehend concede a outro serviço no recurso para o recurso. Se você utilizar ambas as chaves de contexto de condição global, o valor `aws:SourceAccount` e a conta `aws:SourceArn` no valor deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.
A maneira mais eficaz de se proteger do problema ‘confused deputy’ é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:servicename::123456789012:*`
## Como usar a conta de origem
O exemplo a seguir mostra como usar a chave global de contexto de condição `aws:SourceAccount` no Amazon Comprehend.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount":"111122223333"
}
}
}
}
```
------
## Política de confiança para endpoints de modelos criptografados
Você precisa criar uma política de confiança para criar ou atualizar um endpoint para um modelo criptografado. Defina o valor `aws:SourceAccount` para o ID da conta. Se você usar a condição `ArnEquals`, defina o valor `aws:SourceArn` como o ARN do endpoint.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:comprehend:us-west-2:111122223333:document-classifier-endpoint/endpoint-name"
}
}
}
]
}
```
------
## Criar modelo personalizado
Você precisa criar uma política de confiança para criar um modelo personalizado. Defina o valor `aws:SourceAccount` para o ID da sua conta. Se você usar a condição `ArnEquals`, defina o valor `aws:SourceArn` como o ARN da versão do modelo personalizado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/smallest-classifier-test/version/version-name"
}
}
}
]
}
```
------
# Trabalhos de proteção usando uma nuvem privada virtual da Amazon
O Amazon Comprehend usa uma variedade de medidas de segurança para garantir a segurança de seus dados com nossos contêineres de trabalho, onde eles são armazenados enquanto são usados pelo Amazon Comprehend. No entanto, os contêineres de trabalho acessam AWS recursos, como os buckets do Amazon S3, onde você armazena dados e artefatos de modelo, pela Internet.
Para controlar o acesso aos seus dados, recomendamos a criação de uma *nuvem privada virtual* (VPC) e a sua configuração para que os dados e os contêineres não sejam acessíveis pela internet. Para obter informações sobre como criar e configurar uma VPC, consulte [Conceitos básicos da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html) no *Guia do usuário da Amazon VPC*. Usando uma VPC ajuda a proteger seus dados, pois é possível configurá-la para não se conectar à internet. Usar uma VPC também permite monitorar todo o tráfego de rede de entrada e saída de seus contêineres de trabalho, com os logs de fluxo da VPC. Para obter mais informações, consulte [Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) no *Guia do usuário do Amazon Virtual Private Cloud*.
Especifique a configuração de sua VPC ao criar um trabalho. Basta especificar as sub-redes e grupos de segurança. Quando você especifica as sub-redes e os grupos de segurança, o Amazon Comprehend *cria interfaces de rede elásticas* ENIs () associadas aos seus grupos de segurança em uma das sub-redes. ENIs permita que nossos contêineres de trabalho se conectem aos recursos em sua VPC. Para obter informações sobre isso ENIs, consulte [Elastic Network Interfaces](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) no Guia do *usuário da Amazon VPC*.
**nota**
Para trabalhos, você pode configurar apenas sub-redes com uma VPC de locação padrão em que sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte [Instâncias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) no Guia do usuário do *Amazon EC2*.
## Configurar um trabalho para acesso ao Amazon VPC
Para especificar sub-redes e grupos de segurança na VPC, use o parâmetro da solicitação `VpcConfig` da API aplicável ou forneça essas informações ao criar um trabalho no console do Amazon Comprehend. O Amazon Comprehend usa essas informações para ENIs criá-las e anexá-las aos nossos contêineres de trabalho. Eles ENIs fornecem aos nossos contêineres de trabalho uma conexão de rede em sua VPC que não está conectada à Internet.
O seguinte APIs contém o parâmetro de `VpcConfig` solicitação:
+ `Create*` APIs: ` [CreateDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateDocumentClassifier.html)`, ` [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html) `
+ `Start*` APIs: ` [StartDocumentClassificationJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDocumentClassificationJob.html)`, ` [StartDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDominantLanguageDetectionJob.html)`, ` [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)`, ` [StartKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartKeyPhrasesDetectionJob.html)`, ` [StartSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartSentimentDetectionJob.html)`, ` [StartTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTargetedSentimentDetectionJob.html)`, ` [StartTopicsDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTopicsDetectionJob.html)`
Veja a seguir um exemplo do VpcConfig parâmetro que você inclui na sua chamada de API:
```
"VpcConfig": {
"SecurityGroupIds": [
" sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
]
}
```
Para configurar uma VPC a partir do console do Amazon Comprehend, escolha os detalhes de configuração na seção opcional **Configurações da VPC** ao criar o trabalho.
![\[Seção de VPC opcional em Criar um trabalho de análise\]](http://docs.aws.amazon.com/pt_br/comprehend/latest/dg/images/vpc-image-10.png)
## Configurar a VPC para trabalhos do Amazon Comprehend
Ao configurar a VPC para os seus trabalhos de treinamento do Amazon Comprehend, use as diretrizes a seguir. Para obter informações sobre como configurar uma VPC, consulte [Trabalho com VPCs e sub-redes no](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html) Guia do usuário da Amazon *VPC*.
**Garanta que as sub-redes tenham endereços IP suficientes**
Suas sub-redes da VPC devem ter pelo menos dois endereços IP privados para cada instância em um trabalho. Para obter mais informações, consulte [Dimensionamento de VPC e sub-rede no](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) Guia do usuário IPv4 da Amazon *VPC*.
**Crie um endpoint da VPC do Amazon S3 **
Se você configurar sua VPC para que os contêineres de trabalho não tenham acesso à internet, eles não poderão se conectar aos buckets do Amazon S3 que contêm os dados, a menos que você crie um endpoint da VPC que permita o acesso. Ao criar um VPC endpoint, você permite que os contêineres de trabalho acessem seus dados durante os trabalhos de treinamento e análise.
Ao criar o VPC endpoint, configure estes valores:
+ Selecione a categoria de serviço como **AWS Serviços**
+ Especifique o serviço como `com.amazonaws.region.s3`
+ Selecione **Gateway** como o tipo de VPC Endpoint
Se você estiver usando CloudFormation para criar o VPC endpoint, siga a documentação. [CloudFormation VPCEndpoint](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) O exemplo a seguir mostra a **VPCEndpoint**configuração em um CloudFormation modelo.
```
VpcEndpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
PolicyDocument:
Version: '2012-10-17 '
Statement:
- Action:
- s3:GetObject
- s3:PutObject
- s3:ListBucket
- s3:GetBucketLocation
- s3:DeleteObject
- s3:ListMultipartUploadParts
- s3:AbortMultipartUpload
Effect: Allow
Resource:
- "*"
Principal: "*"
RouteTableIds:
- Ref: RouteTable
ServiceName:
Fn::Join:
- ''
- - com.amazonaws.
- Ref: AWS::Region
- ".s3"
VpcId:
Ref: VPC
```
Recomendamos que você também crie uma política personalizada para que apenas solicitações da sua VPC acessem os buckets do S3. Para obter mais informações, consulte [Endpoints para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) no *Manual do usuário da Amazon VPC*.
A política a seguir permite acesso aos buckets do S3. Edite essa política para que esse acesso seja permitido somente para os recursos de que seu trabalho precisa.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:DeleteObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "*"
}
]
}
```
------
Use as configurações de DNS padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) resolva. Se você não usar as configurações de DNS padrão, certifique-se de que as URLs que você usa para especificar os locais dos dados em seus trabalhos sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte [Roteamento para endpoints de gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html#vpc-endpoints-routing) no *Guia do usuário da Amazon VPC*.
A política de endpoint padrão permite que os usuários instalem pacotes dos repositórios do Amazon Linux e do Amazon Linux 2 em nosso contêiner de trabalhos. Se você não deseja que os usuários instalem pacotes, crie uma política de endpoint personalizada que negue explicitamente o acesso a esses repositórios. O Comprehend em si não precisa de nenhum desses pacotes, portanto, não haverá nenhum impacto na funcionalidade. Veja a seguir um exemplo de política que nega acesso somente a esses repositórios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
**Permissões para a `DataAccessRole`**
Quando você usa uma VPC com trabalho de análise, a `DataAccessRole` usado para as operações `Create*` e `Start*` também deve ter permissões para a VPC a partir da qual os documentos de entrada e o bucket de saída são acessados.
A política a seguir fornece o acesso necessário à `DataAccessRole` usada para nas operações `Create*` e `Start*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
```
------
**Configuração do grupo de segurança da VPC**
Com os trabalhos distribuídos, é necessário permitir a comunicação entre os diferentes contêineres de trabalho no mesmo trabalho. Para fazer isso, configure uma regra para seu grupo de segurança que permita conexões de entrada entre membros do mesmo grupo de segurança. Para obter informações, consulte [Regras de grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) no *Guia do usuário da Amazon VPC*.
**Conecte-se a recursos fora de sua VPC**
Se você configurar a VPC para que não tenha acesso à internet, os trabalhos que a utilizam não terão acesso a recursos externos. Se os seus trabalhos precisarem acessar recursos fora da VPC, conceda o acesso com uma das seguintes opções:
+ Se seu trabalho precisar acessar um AWS serviço que ofereça suporte a endpoints VPC de interface, crie um endpoint para se conectar a esse serviço. Para obter uma lista dos serviços compatíveis com endpoints de interface, consulte [Endpoint de VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) no *Guia do usuário da Amazon VPC*. *Para obter informações sobre a criação de uma interface VPC endpoint, consulte Interface [VPC Endpoints () no Guia do usuário AWS PrivateLink da](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) Amazon VPC.*
+ Se seu trabalho precisar acessar um AWS serviço que não ofereça suporte a endpoints VPC de interface ou a um recurso externo AWS, crie um gateway NAT e configure seus grupos de segurança para permitir conexões de saída. Para obter informações sobre como configurar um gateway NAT para sua VPC, consulte [Cenário 2: VPC com sub-redes pública e privada (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) no *Guia do usuário da Amazon VPC*.
# Amazon Comprehend e endpoints da VPC de interface (AWS PrivateLink)
É possível estabelecer uma conexão privada entre a VPC e o Amazon Comprehend criando um *endpoint da VPC de interface*. Os endpoints de interface são alimentados por [AWS PrivateLink](https://aws.amazon.com/privatelink)uma tecnologia que permite acessar o Amazon APIs Comprehend de forma privada sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão Direct Connect. AWS As instâncias na sua VPC não precisam de endereços IP públicos para se comunicar com o Amazon Comprehend. APIs O tráfego de rede entre a VPC e o Amazon Comprehend não sai da rede da Amazon.
Cada endpoint de interface é representado por uma ou mais [interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) em suas sub-redes.
Para obter mais informações, consulte [Endpoints da VPC da interface (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) no *Manual do Usuário do Amazon VPC*.
## Considerações sobre endpoints da VPC do Amazon Comprehend
Antes de configurar um endpoint da VPC de interface para o Amazon Comprehend, revise as [Propriedades e limitações do endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) no *Guia do usuário do Amazon VPC*.
Os endpoints do Amazon Comprehend não estão disponíveis em todas as zonas de disponibilidade de uma região. Ao criar o endpoint, use o comando a seguir para listar as zonas de disponibilidade.
```
aws ec2 describe-vpc-endpoint-services \
--service-names com.amazonaws.us-west-2.comprehend
```
O Amazon Comprehend é compatível com chamadas para todas as ações de API da VPC.
## Criar um endpoint da VPC de interface para o Amazon Comprehend
Você pode criar um VPC endpoint para o serviço Amazon Comprehend usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) no *Guia do usuário da Amazon VPC*.
Crie um endpoint da VPC para o Amazon Comprehend usando o seguinte nome de serviço:
+ com.amazonaws. *region*.compreender
Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para o Amazon Comprehend usando seu nome DNS padrão para a região, por exemplo, `comprehend.us-east-1.amazonaws.com`.
Para mais informações, consulte [Acessar um serviço por um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) no *Guia do usuário da Amazon VPC*.
## Criar uma política de endpoint da VPC para o Amazon Comprehend
É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso ao Amazon Comprehend. Essa política especifica as seguintes informações:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para mais informações, consulte [Controlar o acesso a serviços com VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.
**Exemplo: política de endpoint da VPC para ações do Amazon Comprehend**
Veja a seguir um exemplo de política de endpoint para o Amazon Comprehend. Quando anexada a um endpoint, essa política concede acesso à ação `DetectEntities` do Amazon Comprehend para todas as entidades principais em todos os recursos.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"comprehend:DetectEntities"
],
"Resource":"*"
}
]
}
```
# Identity and Access Management (Gerenciamento de identidade e acesso) para o Amazon Comprehend
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (ter permissões) para utilizar os recursos do Amazon Comprehend. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon Comprehend funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para o Amazon Comprehend](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para o Amazon Comprehend](security-iam-awsmanpol.md)
+ [Solução de problemas de identidade e acesso do Amazon Comprehend](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso do Amazon Comprehend](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon Comprehend funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para o Amazon Comprehend](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon Comprehend funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Amazon Comprehend, saiba quais atributos do IAM estão disponíveis para uso com o Amazon Comprehend.
**Atributos do IAM possíveis de usar com o Amazon Comprehend**
| Recurso do IAM | Suporte do Amazon Comprehend |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em atributos](#security_iam_service-with-iam-resource-based-policies) | Sim |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Parcial |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Não |
Para ter uma visão de alto nível de como o Amazon Comprehend AWS e outros serviços funcionam com a maioria dos recursos do IAM [AWS , consulte os serviços que funcionam](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) com o IAM *no* Guia do usuário do IAM.
## Políticas baseadas em identidade do Amazon Comprehend
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para o Amazon Comprehend
Para ver exemplos de políticas baseadas em identidade do Amazon Comprehend, consulte [Exemplos de políticas baseadas em identidade para o Amazon Comprehend](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos no Amazon Comprehend
**Compatível com políticas baseadas em recursos:** sim
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
O serviço Amazon Comprehend é compatível com apenas um tipo de política baseada em recurso (uma *política de modelo personalizado*), anexada a um modelo personalizado. Essa política define outras contas que podem usar o modelo personalizado.
Para saber como anexar uma política baseada em recursos a um modelo personalizado, consulte [Políticas baseadas em recursos para modelos personalizados](custom-copy-sharing.md#custom-copy-sharing-example-policy).
## Ações de políticas para o Amazon Comprehend
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista das ações do Amazon Comprehend, consulte [Ações definidas pelo Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-actions-as-permissions) na *Referência de autorização do serviço*.
As ações de políticas no Amazon Comprehend usam o seguinte prefixo antes da ação:
```
comprehend
```
Para especificar várias ações em uma única instrução, separe-as com vírgulas.
```
"Action": [
"comprehend:DetectSentiment",
"comprehend:ClassifyDocument"
]
```
Você também pode especificar várias ações usando caracteres-curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "comprehend:Describe*"
```
Não use curingas para especificar todas as ações de um serviço. Use as melhores práticas de concessão de privilégio mínimo ao especificar as permissões usadas em uma política.
Para ver exemplos de políticas baseadas em identidade do Amazon Comprehend, consulte [Exemplos de políticas baseadas em identidade para o Amazon Comprehend](security_iam_id-based-policy-examples.md).
## Recursos de políticas para o Amazon Comprehend
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
*Para ver uma lista dos tipos de recursos do Amazon Comprehend e ARNs seus, [consulte Recursos definidos pelo Amazon Comprehend na Referência de autorização de serviço](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-resources-for-iam-policies).* Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pelo Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-actions-as-permissions).
## Chaves de condição de políticas do Amazon Comprehend
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de condição do Amazon Comprehend, consulte [Chaves de condição do Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-policy-keys) na *Referência de autorização do serviço*. Para saber com quais ações e recursos é possível usar a chave de condição, consulte [Ações definidas pelo Amazon Comprehend](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html#amazoncomprehend-actions-as-permissions).
Para ver exemplos de políticas baseadas em identidade do Amazon Comprehend, consulte [Exemplos de políticas baseadas em identidade para o Amazon Comprehend](security_iam_id-based-policy-examples.md).
## ACLs no Amazon Comprehend
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com o Amazon Comprehend
**Compatível com ABAC (tags em políticas):** parcial
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
Para ter mais informações sobre recursos de marcação do Amazon Comprehend, consulte [Marcando seus Recursos](tagging.md).
## Utilizar credenciais temporárias com o Amazon Comprehend
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Encaminhar sessões de acesso do Amazon Comprehend
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Perfis de serviço do Amazon Comprehend
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
A alteração das permissões de um perfil de serviço pode interromper a funcionalidade do Amazon Comprehend. Edite perfis de serviço somente quando o Amazon Comprehend der orientação para isso.
Para usar as operações assíncronas do Amazon Comprehend, você deve conceder a ele o acesso ao bucket do Amazon S3 contendo sua coleção de documentos. Você faz isso criando um perfil de acesso a dados em sua conta com uma política de confiança para confiar na entidade principal do serviço do Amazon Comprehend.
Para ver um exemplo de política, consulte [Permissões baseadas em perfis necessárias para operações assíncronas](security_iam_id-based-policy-examples.md#auth-role-permissions)
## Funções vinculadas ao serviço para o Amazon Comprehend
**Compatível com perfis vinculados ao serviço:** Não
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade para o Amazon Comprehend
Por padrão, usuários e perfis não têm permissão para criar nem modificar recursos do Amazon Comprehend. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
*Para obter detalhes sobre ações e tipos de recursos definidos pelo Amazon Comprehend, incluindo o formato de cada um ARNs dos tipos de recursos, [consulte Ações, recursos e chaves de condição para o Amazon Comprehend na Referência de Autorização de Serviço](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html).*
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizar o console do Amazon Comprehend](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Permissões necessárias para executar ações de análise de documentos](#security-iam-based-policy-perform-cmp-actions)
+ [Permissões necessárias para usar a criptografia KMS](#auth-kms-permissions)
+ [AWS políticas gerenciadas (predefinidas) para o Amazon Comprehend](#access-policy-aws-managed-policies)
+ [Permissões baseadas em perfis necessárias para operações assíncronas](#auth-role-permissions)
+ [Conceder permissões a todas as ações do Amazon Comprehend](#custom-policy-all-all-actions)
+ [Permissões para ações de modelagem de tópicos](#custom-policy-allow-topic-modeling)
+ [Permissões necessárias para uma tarefa de análise assíncrona personalizada](#tagging-resources)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Comprehend em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e passe para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Utilizar o console do Amazon Comprehend
Para acessar o console da Amazon Comprehend, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos do Amazon Comprehend em seu. Conta da AWS Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para obter permissões mínimas do console Amazon Comprehend, você pode anexar `ComprehendReadOnly` AWS a política gerenciada às entidades. Para saber mais, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
Para usar o console do Amazon Comprehend, também é necessário conceder permissões para as ações exibidas na política a seguir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:ListRoles",
"iam:GetRole",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
O console do Amazon Comprehend precisa dessas permissões adicionais pelas seguintes razões:
+ Permissões do `iam` para listar os perfis do IAM disponíveis para sua conta.
+ Permissões do `s3` para acessar os buckets e objetos do Amazon S3 contendo os dados para modelagem de tópicos.
Ao criar uma tarefa em lote assíncrono ou uma tarefa de modelagem de tópicos usando o console, você tem a opção de fazer com que o console crie um perfil do IAM para sua tarefa. Para criar um perfil do IAM, os usuários devem receber as seguintes permissões adicionais para criar políticas e perfis do IAM e anexar políticas aos perfis:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Action":
[
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
O console do Amazon Comprehend precisa dessas permissões adicionais pelas seguintes razões:
+ Permissões do `iam` para criar e anexar perfis e políticas. A ação `iam:PassRole` permite que o console passe o perfil para o Amazon Comprehend.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Permissões necessárias para executar ações de análise de documentos
O exemplo de política a seguir concede permissões para usar as ações de análise de documentos do Amazon Comprehend:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowDetectActions",
"Effect": "Allow",
"Action": [
"comprehend:DetectEntities",
"comprehend:DetectKeyPhrases",
"comprehend:DetectDominantLanguage",
"comprehend:DetectSentiment",
"comprehend:DetectTargetedSentiment",
"comprehend:DetectSyntax",
"textract:DetectDocumentText",
"textract:AnalyzeDocument"
],
"Resource": "*"
}
]
}
```
------
A política tem uma instrução que concede permissão para usar as ações `DetectEntities`, `DetectKeyPhrases`, `DetectDominantLanguage`, `DetectTargetedSentiment`, `DetectSentiment`, e `DetectSyntax`. A declaração de política também concede permissões para usar dois métodos da API Amazon Textract. O Amazon Comprehend chama esses métodos para extrair texto de arquivos de imagem e documentos PDF digitalizados. É possível remover essas permissões para usuários que nunca executam inferência personalizada para esses tipos de arquivos de entrada.
Um usuário com essa política não conseguiria realizar ações em lote ou ações assíncronas em sua conta.
A política não especifica o elemento `Principal`, porque não se especifica o principal que obtém as permissões em uma política baseada em identidade. Quando você anexar uma política a um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissões a um perfil do IAM, o principal identificado na política de confiança do perfil obtém as permissões.
Para obter uma tabela que mostra todas as ações da API do Amazon Comprehend e os recursos aos quais elas se aplicam, consulte [Ações, recursos e chaves de condição do Amazon Comprehend](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazoncomprehend.html) na *Referência de autorização de serviço*.
## Permissões necessárias para usar a criptografia KMS
Para usar totalmente o Amazon Key Management Service (KMS) para criptografia de dados e tarefas em uma tarefa assíncrona, é preciso conceder permissões para as ações mostradas na seguinte política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:CreateGrant"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:Decrypt",
"kms:GenerateDatakey"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
Ao criar uma tarefa assíncrona com o Amazon Comprehend, você usa dados de entrada armazenados no Amazon S3. Com o S3, você tem a opção de criptografar seus dados armazenados, os quais são criptografados pelo S3, não pelo Amazon Comprehend. Podemos descriptografar e ler esses dados de entrada criptografados se você fornecer ao `kms:Decrypt` permissão para a chave com a qual os dados de entrada originais foram criptografados para o perfil de acesso a dados usada pela tarefa do Amazon Comprehend.
Você também tem a opção de usar chaves gerenciadas pelo cliente (CMK) do KMS para criptografar os resultados de saída no S3, bem como o volume de armazenamento usado durante o processamento da tarefa. Ao fazer isso, é possível usar a mesma chave KMS para os dois tipos de criptografia, mas não é necessário. Campos separados estão disponíveis ao criar a tarefa a fim de especificar as chaves para criptografia de saída e criptografia de volume, e você pode até mesmo usar uma chave KMS de uma conta diferente.
Ao usar a criptografia KMS, é necessária a permissão `kms:CreateGrant` para criptografia de volume e a permissão de `kms:GenerateDataKey` para criptografia de dados de saída. Para ler entradas criptografadas (como quando os dados de entrada já estão criptografados pelo Amazon S3), é necessária a permissão `kms:Decrypt`. O perfil do IAM precisa conceder essas permissões conforme necessário. No entanto, se a chave for de uma conta diferente da que está sendo usada atualmente, a política de chave do KMS para essa chave também deve conceder essas permissões ao perfil de acesso a dados da tarefa.
## AWS políticas gerenciadas (predefinidas) para o Amazon Comprehend
AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. Essas políticas AWS gerenciadas concedem as permissões necessárias para casos de uso comuns, para que você possa evitar a necessidade de investigar quais permissões são necessárias. Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
As seguintes políticas AWS gerenciadas, que você pode anexar aos usuários em sua conta, são específicas do Amazon Comprehend:
+ **ComprehendFullAccess**— Concede acesso total aos recursos do Amazon Comprehend, incluindo a execução de trabalhos de modelagem de tópicos. Inclui permissão para listar e obter perfis do IAM.
+ **ComprehendReadOnly**— Concede permissão para executar todas as ações do Amazon Comprehend`StartEntitiesDetectionJob`, `StartDominantLanguageDetectionJob` exceto,,, `StartKeyPhrasesDetectionJob``StartSentimentDetectionJob`, e. `StartTargetedSentimentDetectionJob` `StartTopicsDetectionJob`
É preciso aplicar a seguinte política adicional a qualquer usuário que usará o Amazon Comprehend:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
É possível revisar essas políticas de permissões gerenciadas fazendo login no console do IAM e pesquisando políticas específicas.
Essas políticas funcionam quando você está usando AWS SDKs ou a AWS CLI.
Você também pode criar suas próprias políticas do IAM personalizadas a fim de dar permissões para ações e recursos do Amazon Comprehend. Você pode anexar essas políticas personalizadas a usuários, perfis ou grupos que exijam essas permissões.
## Permissões baseadas em perfis necessárias para operações assíncronas
Para usar as operações assíncronas do Amazon Comprehend, você deve conceder a ele o acesso ao bucket do Amazon S3 contendo sua coleção de documentos. Você faz isso criando um perfil de acesso a dados em sua conta com uma política de confiança para confiar na entidade principal do serviço do Amazon Comprehend. Para mais informações sobre como criar um perfil, consulte [Criar um perfil para delegar permissões a um produto da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do Identity and Access Management da AWS *.
O exemplo a seguir mostra um exemplo de política de confiança para o perfil criado. Para ajudar na [prevenção do problema “confused deputy”](cross-service-confused-deputy-prevention.md), você restringe o escopo da permissão usando uma ou mais chaves de contexto de condição global. Defina o valor `aws:SourceAccount` para o ID da sua conta. Se você usar a condição `ArnEquals`, defina o valor `aws:SourceArn` como o ARN da tarefa. Use um curinga para o número da tarefa no ARN, porque o Amazon Comprehend gera esse número como parte da criação de tarefas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:comprehend:us-west-2:111122223333:pii-entities-detection-job/*"
}
}
}
]
}
```
------
Depois de criar o perfil, crie uma política de acesso para esse perfil. Isso deve conceder ao Amazon S3 as permissões `GetObject` e `ListBucket` para o bucket do Amazon S3 contendo seus dados de entrada, e a permissão de`PutObject` do Amazon S3 para o bucket de dados de saída do Amazon S3.
## Conceder permissões a todas as ações do Amazon Comprehend
Depois de se inscrever AWS, você cria um usuário administrador para gerenciar sua conta, incluindo a criação de usuários e o gerenciamento de suas permissões.
Você pode optar por criar um usuário que tem permissões para todas as ações do Amazon Comprehend (pense nesse usuário como um administrador específico do serviço) para trabalhar com o Amazon Comprehend. Você pode anexar a política de permissões a seguir para este usuário.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "AllowAllComprehendActions",
"Effect": "Allow",
"Action":
[
"comprehend:*",
"iam:ListRoles",
"iam:GetRole",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDatakey"
],
"Resource": "*"
},
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
Essas permissões podem ser modificadas com relação à criptografia das seguintes maneiras:
+ Para permitir que o Amazon Comprehend analise documentos armazenados em um bucket S3 criptografado, o perfil do IAM deve ter a permissão para `kms:Decrypt`.
+ Para permitir que o Amazon Comprehend criptografe documentos armazenados em um volume de armazenamento anexado à instância de computação que processa a tarefa de análise, o perfil do IAM deve ter a permissão para `kms:CreateGrant`.
+ Para permitir que o Amazon Comprehend criptografe os resultados de saída em seu bucket do S3, o perfil do IAM deve ter a permissão para `kms:GenerateDataKey`.
## Permissões para ações de modelagem de tópicos
A política a seguir concede permissões ao usuário para realizar as operações de modelagem de tópicos do Amazon Comprehend.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTopicModelingActions",
"Effect": "Allow",
"Action": [
"comprehend:DescribeTopicsDetectionJob",
"comprehend:ListTopicsDetectionJobs",
"comprehend:StartTopicsDetectionJob"
],
"Resource": "*"
}
]
}
```
------
## Permissões necessárias para uma tarefa de análise assíncrona personalizada
**Importante**
Se você tiver uma política do IAM que restringe o acesso ao modelo, não conseguirá concluir uma tarefa de inferência com um modelo personalizado. Sua política do IAM deve ser atualizada para ter um recurso curinga para uma tarefa personalizada de análise assíncrona.
Se você estiver usando o [StartDocumentClassificationJob ](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartDocumentClassificationJob.html)e [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartEntitiesDetectionJob.html) APIs, precisará atualizar sua política do IAM, a menos que esteja usando curingas como recursos no momento. Se você estiver [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartEntitiesDetectionJob.html)usando um modelo pré-treinado, isso não afetará você e você não precisará fazer nenhuma alteração.
O exemplo de política a seguir contém uma referência **desatualizada**.
```
{
"Action": [
"comprehend:StartDocumentClassificationJob",
"comprehend:StartEntitiesDetectionJob",
],
"Resource": [
"arn:aws:comprehend:us-east-1:123456789012:document-classifier/myClassifier",
"arn:aws:comprehend:us-east-1:123456789012:entity-recognizer/myRecognizer"
],
"Effect": "Allow"
}
```
Essa é a política **atualizada** que você precisa usar para executar e. StartDocumentClassificationJob StartEntitiesDetectionJob
```
{
"Action": [
"comprehend:StartDocumentClassificationJob",
"comprehend:StartEntitiesDetectionJob",
],
"Resource": [
"arn:aws:comprehend:us-east-1:123456789012:document-classifier/myClassifier",
"arn:aws:comprehend:us-east-1:123456789012:document-classification-job/*",
"arn:aws:comprehend:us-east-1:123456789012:entity-recognizer/myRecognizer",
"arn:aws:comprehend:us-east-1:123456789012:entities-detection-job/*"
],
"Effect": "Allow"
}
```
# AWS políticas gerenciadas para o Amazon Comprehend
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política **ReadOnlyAccess** AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## AWS política gerenciada: ComprehendFullAccess
Essa política concede acesso total aos recursos do Amazon Comprehend, incluindo a execução de tarefas de modelagem de tópicos. Essa política também concede permissões de listagem e obtenção para buckets do Amazon S3 e perfis do IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"comprehend:*",
"iam:GetRole",
"iam:ListRoles",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: ComprehendReadOnly
Essa política concede permissões de acesso somente para leitura para executar todas as ações do Amazon Comprehend, **exceto** as seguintes:
+ `StartDominantLanguageDetectionJob`
+ `StartEntitiesDetectionJob`
+ `StartKeyPhrasesDetectionJob`
+ `StartSentimentDetectionJob`
+ `StartTargetedSentimentDetectionJob`
+ `StartTopicsDetectionJob`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectKeyPhrases",
"comprehend:BatchDetectSentiment",
"comprehend:BatchDetectSyntax",
"comprehend:ClassifyDocument",
"comprehend:ContainsPiiEntities",
"comprehend:DescribeDocumentClassificationJob",
"comprehend:DescribeDocumentClassifier",
"comprehend:DescribeDominantLanguageDetectionJob",
"comprehend:DescribeEndpoint",
"comprehend:DescribeEntitiesDetectionJob",
"comprehend:DescribeEntityRecognizer",
"comprehend:DescribeKeyPhrasesDetectionJob",
"comprehend:DescribePiiEntitiesDetectionJob",
"comprehend:DescribeResourcePolicy",
"comprehend:DescribeSentimentDetectionJob",
"comprehend:DescribeTargetedSentimentDetectionJob",
"comprehend:DescribeTopicsDetectionJob",
"comprehend:DetectDominantLanguage",
"comprehend:DetectEntities",
"comprehend:DetectKeyPhrases",
"comprehend:DetectPiiEntities",
"comprehend:DetectSentiment",
"comprehend:DetectSyntax",
"comprehend:ListDocumentClassificationJobs",
"comprehend:ListDocumentClassifiers",
"comprehend:ListDocumentClassifierSummaries",
"comprehend:ListDominantLanguageDetectionJobs",
"comprehend:ListEndpoints",
"comprehend:ListEntitiesDetectionJobs",
"comprehend:ListEntityRecognizers",
"comprehend:ListEntityRecognizerSummaries",
"comprehend:ListKeyPhrasesDetectionJobs",
"comprehend:ListPiiEntitiesDetectionJobs",
"comprehend:ListSentimentDetectionJobs",
"comprehend:ListTargetedSentimentDetectionJobs",
"comprehend:ListTagsForResource",
"comprehend:ListTopicsDetectionJobs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Atualizações do Amazon Comprehend para políticas gerenciadas AWS
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Comprehend desde que esse serviço começou a monitorar essas mudanças. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico de documentos](https://docs.aws.amazon.com/comprehend/latest/dg/doc-history.html) do Amazon Comprehend.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly): atualizar para uma política existente | O Amazon Comprehend agora permite as ações `comprehend:ListTargetedSentimentDetectionJobs` e ações `comprehend:DescribeTargetedSentimentDetectionJob` na política ComprehendReadOnly | 30 de março de 2022 |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly) – atualização para uma política existente | O Amazon Comprehend agora permite a ação `comprehend:DescribeResourcePolicy` na política ComprehendReadOnly | 02 de fevereiro de 2022 |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly) – atualização para uma política existente | O Amazon Comprehend agora permite as ações `ListEntityRecognizerSummaries` e ações `ListDocumentClassifierSummaries` na política ComprehendReadOnly | 21 de setembro de 2021 |
| [ComprehendReadOnly](#security-iam-awsmanpol-ComprehendReadOnly) – atualização para uma política existente | O Amazon Comprehend agora permite a ação ContainsPIIEntities na política ComprehendReadOnly | 26 de março de 2021 |
| O Amazon Comprehend começou a monitorar alterações | O Amazon Comprehend começou a monitorar as mudanças em suas políticas gerenciadas AWS . | 1.º de março de 2021 |
# Solução de problemas de identidade e acesso do Amazon Comprehend
Use as seguintes informações para ajudar você a diagnosticar e corrigir problemas comuns que podem ser encontrados ao trabalhar com o Amazon Comprehend e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação no Amazon Comprehend](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas de fora da minha acessem meus Conta da AWS recursos do Amazon Comprehend](#security_iam_troubleshoot-cross-account-access)
## Não tenho autorização para executar uma ação no Amazon Comprehend
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, é preciso atualizar suas políticas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para exibir detalhes sobre um recurso do `my-example-widget` fictício, mas não tem as permissões fictícias do `comprehend:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: comprehend:GetWidget on resource: my-example-widget
```
Nesse caso, a política de Mateo deve ser atualizada para permitir que ele tenha acesso ao recurso `my-example-widget` usando a ação `comprehend:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Caso receba uma mensagem de erro informando que você não tem autorização para executar a ação `iam:PassRole`, as políticas deverão ser atualizadas para permitir que você passe um perfil para o Amazon Comprehend.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro exemplificado a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta usar o console para executar uma ação no Amazon Comprehend. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas de fora da minha acessem meus Conta da AWS recursos do Amazon Comprehend
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Amazon Comprehend é compatível com esses atributos, consulte [Como o Amazon Comprehend funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Registro de chamadas da API Amazon Comprehend com AWS CloudTrail
O Amazon Comprehend é integrado AWS CloudTrail com, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Amazon Comprehend. CloudTrail captura chamadas de API para o Amazon Comprehend como eventos. As chamadas capturadas incluem as chamadas do console do Amazon Comprehend e as chamadas de código para as operações da API do Amazon Comprehend. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para o Amazon Comprehend. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao Amazon Comprehend, o endereço IP a partir do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais CloudTrail, inclusive como configurá-lo e ativá-lo, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Amazon Comprehend informações em CloudTrail
CloudTrail é ativado no seu Conta da AWS quando você cria a conta. **Quando uma atividade de evento suportada ocorre no Amazon Comprehend, essa atividade é registrada em CloudTrail um evento junto com AWS outros eventos de serviço no histórico de eventos.** Você pode visualizar, pesquisar e baixar eventos recentes no seu Conta da AWS. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para obter um registro contínuo dos eventos em sua empresa Conta da AWS, incluindo eventos do Amazon Comprehend, crie uma trilha. Uma *trilha* permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, a trilha se aplica a todas as AWS regiões. A trilha registra eventos de todas as regiões na partição da AWS e entrega os arquivos de log no bucket do Amazon S3 que você especifica. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para saber mais, consulte:
+ [Visão geral da criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail serviços e integrações suportados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [Recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
O Amazon Comprehend suporta o registro das seguintes ações como eventos CloudTrail em arquivos de log:
+ [BatchDetectDominantLanguage](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectDominantLanguage.html)
+ [BatchDetectEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectEntities.html)
+ [BatchDetectKeyPhrases](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectKeyPhrases.html)
+ [BatchDetectSentiment](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectSentiment.html)
+ [BatchDetectSyntax](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_BatchDetectSyntax.html)
+ [ClassifyDocument](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ClassifyDocument.html)
+ [CreateDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateDocumentClassifier.html)
+ [CreateEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEndpoint.html)
+ [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html)
+ [DeleteDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DeleteDocumentClassifier.html)
+ [DeleteEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DeleteEndpoint.html)
+ [DeleteEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DeleteEntityRecognizer.html)
+ [DescribeDocumentClassificationJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeDocumentClassificationJob.html)
+ [DescribeDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeDocumentClassifier.html)
+ [DescribeDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeDominantLanguageDetectionJob.html)
+ [DescribeEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeEndpoint.html)
+ [DescribeEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeEntitiesDetectionJob.html)
+ [DescribeEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeEntityRecognizer.html)
+ [DescribeKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeKeyPhrasesDetectionJob.html)
+ [DescribePiiEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribePiiEntitiesDetectionJob.html)
+ [DescribeSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeSentimentDetectionJob.html)
+ [DescribeTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeTargetedSentimentDetectionJob.html)
+ [DescribeTopicsDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DescribeTopicsDetectionJob.html)
+ [DetectDominantLanguage](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectDominantLanguage.html)
+ [DetectEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectEntities.html)
+ [DetectKeyPhrases](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectKeyPhrases.html)
+ [DetectPiiEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectPiiEntities.html)
+ [DetectSentiment](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectSentiment.html)
+ [DetectSyntax](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectSyntax.html)
+ [ListDocumentClassificationJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListDocumentClassificationJobs.html)
+ [ListDocumentClassifiers](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListDocumentClassifiers.html)
+ [ListDominantLanguageDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListDominantLanguageDetectionJobs.html)
+ [ListEndpoints](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListEndpoints.html)
+ [ListEntitiesDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListEntitiesDetectionJobs.html)
+ [ListEntityRecognizers](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListEntityRecognizers.html)
+ [ListKeyPhrasesDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListKeyPhrasesDetectionJobs.html)
+ [ListPiiEntitiesDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListPiiEntitiesDetectionJobs.html)
+ [ListSentimentDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListSentimentDetectionJobs.html)
+ [ListTargetedSentimentDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListTargetedSentimentDetectionJobs.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListTagsForResource.html)
+ [ListTopicsDetectionJobs](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ListTopicsDetectionJobs.html)
+ [StartDocumentClassificationJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDocumentClassificationJob.html)
+ [StartDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDominantLanguageDetectionJob.html)
+ [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)
+ [StartKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartKeyPhrasesDetectionJob.html)
+ [StartPiiEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartPiiEntitiesDetectionJob.html)
+ [StartSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartSentimentDetectionJob.html)
+ [StartTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTargetedSentimentDetectionJob.html)
+ [StartTopicsDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTopicsDetectionJob.html)
+ [StopDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopDominantLanguageDetectionJob.html)
+ [StopEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopEntitiesDetectionJob.html)
+ [StopKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopKeyPhrasesDetectionJob.html)
+ [StopPiiEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopPiiEntitiesDetectionJob.html)
+ [StopSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopSentimentDetectionJob.html)
+ [StopTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopTargetedSentimentDetectionJob.html)
+ [StopTrainingDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopTrainingDocumentClassifier.html)
+ [StopTrainingEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StopTrainingEntityRecognizer.html)
+ [TagResource](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_TagResource.html)
+ [UntagResource](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_UntagResource.html)
+ [UpdateEndpoint](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_UpdateEndpoint.html)
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário raiz.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Exemplo: entradas de arquivo de log do Amazon Comprehend
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `ClassifyDocument` ação.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AROAICFHPEXAMPLE",
"arn": "arn:aws:iam::12345678910:user/myadmin2",
"accountId": "12345678910",
"accessKeyId": "ASIA3VZEXAMPLE",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-10-19T14:22:09Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-10-19T17:31:20Z",
"eventSource": "comprehend.amazonaws.com",
"eventName": "ClassifyDocument",
"awsRegion": "us-east-2",
"sourceIPAddress": "3.21.185.237",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/115.0",
"requestParameters": null,
"responseElements": null,
"requestID": "fd916e66-caac-46c9-a1fc-81a0ef33e61b",
"eventID": "535ca22b-b3a3-4c13-b2c5-bf51ab082794",
"readOnly": false,
"resources": [
{
"accountId": "12345678910",
"type": "AWS::Comprehend::DocumentClassifierEndpoint",
"ARN": "arn:aws:comprehend:us-east-2:12345678910:document-classifier-endpoint/endpointExample"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "12345678910"
}
```
# Validação de conformidade para o Amazon Comprehend
Os auditores externos avaliam a segurança e a conformidade do Amazon Comprehend como parte de vários programas de conformidade da AWS . Isso inclui PCI, FedRAMP, HIPAA e outros. Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixando relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Sua responsabilidade relativa à compatibilidade quando for usado o Amazon Comprehend é determinada pela confidencialidade dos seus dados, pelos objetivos de compatibilidade da sua empresa e pelas leis e regulamentos aplicáveis. A AWS fornece os seguintes recursos para ajudar com a compatibilidade:
+ [Guias de início rápido sobre segurança e conformidade](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — Esses guias de implantação discutem considerações arquitetônicas e fornecem etapas para a implantação de ambientes básicos focados em segurança e conformidade em. AWS
+ Documento técnico [sobre arquitetura para segurança e conformidade com a HIPAA — Este whitepaper](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) descreve como as empresas podem usar para criar aplicativos compatíveis com a HIPAA. AWS
+ [AWS Recursos de conformidade](https://aws.amazon.com/compliance/resources/) — Essa coleção de pastas de trabalho e guias pode ser aplicada ao seu setor e local.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Esse AWS serviço avalia se suas configurações de recursos estão em conformidade com as práticas internas, as diretrizes e os regulamentos do setor.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Esse AWS serviço fornece uma visão abrangente do seu estado de segurança interno, AWS que ajuda você a verificar sua conformidade com os padrões e as melhores práticas do setor de segurança.
Para obter uma lista de AWS serviços no escopo de programas de conformidade específicos, consulte [AWS Serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/). Para obter informações gerais, consulte [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/).
# Resiliência no Amazon Comprehend
A infraestrutura AWS global é construída em torno de Região da AWS s e zonas de disponibilidade. Região da AWS s fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre Região da AWS s e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Segurança da infraestrutura no Amazon Comprehend
Como um serviço gerenciado, o Amazon Comprehend é protegido pela AWS segurança de rede global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar o Amazon Comprehend pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou você pode usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.