Criptografia de dados - Amazon Transcribe
Criptografia em repousoCriptografia em trânsitoGerenciamento de chavesContexto de criptografia do AWS KMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de dados

Criptografia de dados se refere à proteção de dados em trânsito e em repouso. Você pode proteger seus dados usando chavesAmazon S3 gerenciadas ouKMS keys em repouso, junto com o Transport Layer Security (TLS) padrão durante o transporte.

Criptografia em repouso

Amazon Transcribeusa aAmazon S3 chave padrão (SSE-S3) para criptografia no lado do servidor das transcrições colocadas em seuAmazon S3 bucket.

Ao usar a StartTranscriptionJoboperação, você pode especificar a sua própriaKMS key para criptografar a saída de um trabalho de transcrição.

O Amazon Transcribe usa um volume do Amazon EBS criptografado com a chave padrão.

Criptografia em trânsito

O Amazon Transcribe usa TLS 1.2 com certificados da AWS para criptografar dados em trânsito. Isso inclui transcrições em streaming.

Gerenciamento de chaves

Amazon Transcribetrabalha comKMS keys para fornecer criptografia aprimorada para seus dados. ComAmazon S3, você pode criptografar sua mídia de entrada ao criar um trabalho de transcrição. A integração comAWS KMS permite a criptografia da saída de uma StartTranscriptionJobsolicitação.

Se você não especificar aKMS key, a saída da tarefa de transcrição será criptografada com aAmazon S3 chave padrão (SSE-S3).

Para obter mais informaçõesAWS KMS, consulte o Guia doAWS Key Management Service desenvolvedor.

Para criptografar a saída do seu trabalho de transcrição, você pode escolher entre usar umKMS key para quem está fazendo a solicitação ou umKMS key de outroConta da AWS.Conta da AWS

Se você não especificar aKMS key, a saída da tarefa de transcrição será criptografada com aAmazon S3 chave padrão (SSE-S3).

Para ativar a criptografia de saída:

  1. Em Output data (Dados de saída), escolha Encryption (Criptografia).

    Captura de tela do botão de criptografia habilitado eKMS key do menu suspenso de ID.

  2. Escolha seKMS key é doConta da AWS que você está usando atualmente ou de um diferenteConta da AWS. Se você quiser usar uma chave da atualConta da AWS, escolha a chave do KMS keyID. Se você estiver usando uma chave de outraConta da AWS, deverá inserir o ARN da chave. Para usar uma chave de outraConta da AWS, o chamador deve terkms:Encrypt permissões paraKMS key o. Consulte Criação de uma política chave para obter mais informações.

Para usar a criptografia de saída com a API, você deve especificar oKMS key uso doOutputEncryptionKMSKeyId parâmetro da StartTranscriptionJoboperação StartCallAnalyticsJobStartMedicalTranscriptionJob, ou.

Se estiver usando uma chave localizada na atualConta da AWS, você pode especificar suaKMS key de uma das quatro maneiras:

  1. Use oKMS key ID em si. Por exemplo, 1234abcd-12ab-34cd-56ef-1234567890ab.

  2. Use um alias para oKMS key ID. Por exemplo, alias/ExampleAlias.

  3. Use o nome do recurso da Amazon (ARN) para aKMS key ID. Por exemplo, arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  4. Use o ARN para oKMS key alias. Por exemplo, arn:aws:kms:region:account-ID:alias/ExampleAlias.

Se estiver usando uma chave localizada em umaConta da AWS posição diferente da atualConta da AWS, você pode especificar suaKMS key de duas maneiras:

  1. Use o ARN para oKMS key ID. Por exemplo, arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  2. Use o ARN para oKMS key alias. Por exemplo, arn:aws:kms:region:account-ID:alias/ExampleAlias.

Observe que a entidade que está fazendo a solicitação deve ter permissão para usar o especificadoKMS key.

Contexto de criptografia do AWS KMS

AWS KMSo contexto de criptografia é um mapa de pares chave:valor não secretos e em texto simples. Esse mapa representa dados autenticados adicionais, conhecidos como pares de contexto de criptografia, que fornecem uma camada adicional de segurança para seus dados. Amazon Transcribeexige uma chave de criptografia simétrica para criptografar a saída da transcrição em umAmazon S3 bucket especificado pelo cliente. Para saber mais, consulte Chaves assimétricas emAWS KMS.

Ao criar seus pares de contexto de criptografia, não inclua informações confidenciais. O contexto de criptografia não é secreto — é visível em texto simples em seusCloudTrail Logs do, para você possa usá-lo para identificar e categorizar suas operações de criptografia.

Seu par de contexto de criptografia pode incluir caracteres especiais, como sublinhados (_), traços (-), barras (/,\) e dois pontos (:).

dica

Pode ser útil relacionar os valores em seu par de contexto de criptografia aos dados que estão sendo criptografados. Embora não seja obrigatório, recomendamos que você use metadados não confidenciais relacionados ao seu conteúdo criptografado, como nomes de arquivos, valores de cabeçalho ou campos de banco de dados não criptografados.

Para usar a criptografia de saída com a API, defina oKMSEncryptionContext parâmetro na StartTranscriptionJoboperação. Para fornecer contexto de criptografia para a operação de criptografia de saída, oOutputEncryptionKMSKeyId parâmetro deve fazer referência a umaKMS key ID simétrica.

É possível usar chaves deAWS KMS condição comIAM políticas para controlar o acesso a uma criptografia simétricaKMS key com base no contexto de criptografia usado na solicitação de uma operação criptográfica. Para ver um exemplo de política de contexto de criptografia, consulteAWS KMSpolítica de contexto de criptografia.

Usar o contexto de criptografia é opcional, mas recomendado. Para obter mais informações, consulte Contexto de criptografia.