数据加密 - Amazon Transcribe
静态加密传输中加密密钥管理AWS KMS 加密上下文

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

数据加密

数据加密是指保护静态数据和传输中的数据。 KMS keys 在传输过程中,您可以使用 Amazon S3托管密钥或静态密钥以及标准传输层安全 (TLS) 来保护数据。

静态加密

Amazon Transcribe 使用默认 Amazon S3 密钥 (SSE-S3) 对存储在存储桶中的 Amazon S3 笔录进行服务器端加密。

使用该StartTranscriptionJob操作时,您可以指定自己的操作 KMS key 来加密转录作业的输出。

Amazon Transcribe 使用使用默认密钥加密的 Amazon EBS 卷。

传输中加密

Amazon Transcribe 使用带有 AWS 证书的 TLS 1.2 对传输中的数据进行加密。这包括流式转录。

密钥管理

Amazon Transcribe 与配合使用 KMS keys ,为您的数据提供增强的加密。使用 Amazon S3,您可以在创建转录作业时对输入媒体进行加密。与集成 AWS KMS 允许对StartTranscriptionJob请求的输出进行加密。

如果未指定 KMS key,则使用默认 Amazon S3 密钥 (SSE-S3) 对转录作业的输出进行加密。

有关的更多信息 AWS KMS,请参阅《AWS Key Management Service 开发人员指南》

要对转录作业的输出进行加密,您可以选择使用 KMS key 用于发出请求的 AWS 账户 ,还是使用 KMS key 来自其他 AWS 账户请求的。

如果未指定 KMS key,则使用默认 Amazon S3 密钥 (SSE-S3) 对转录作业的输出进行加密。

启用输出加密:

  1. 输出数据下,选择加密

    已启用的加密开关和 KMS key ID 下拉菜单的屏幕截图。

  2. 选择 KMS key 是来自 AWS 账户 你当前使用的,还是来自其他的 AWS 账户。如果要使用当前密钥 AWS 账户,请从 KMS key ID 中选择密钥。如果您使用的是其他密钥 AWS 账户,则必须输入该密钥的 ARN。要使用其他密钥 AWS 账户,调用者必须拥有对的kms:Encrypt权限 KMS key。有关更多信息,请参阅创建密钥策略

要在 API 中使用输出加密,必须 KMS key 使用StartCallAnalyticsJobStartMedicalTranscriptionJob、或StartTranscriptionJob操作的OutputEncryptionKMSKeyId参数来指定您的。

如果使用位于当前的密钥 AWS 账户,则可以通过以下四种 KMS key 方式之一来指定您的:

  1. 使用 KMS key 身份证本身。例如,1234abcd-12ab-34cd-56ef-1234567890ab

  2. 使用别名作为 KMS key ID。例如,alias/ExampleAlias

  3. 使用亚马逊资源名称 (ARN) 作为 ID。 KMS key 例如,arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab

  4. 使用 ARN 作为别名。 KMS key 例如,arn:aws:kms:region:account-ID:alias/ExampleAlias

如果使用与当前密钥 AWS 账户 不同的密钥 AWS 账户,则可以通过以下两种 KMS key 方式之一来指定:

  1. 使用 ARN 作为身份证。 KMS key 例如,arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab

  2. 使用 ARN 作为别名。 KMS key 例如,arn:aws:kms:region:account-ID:alias/ExampleAlias

请注意,发出请求的实体必须拥有使用指定 KMS key的权限。

AWS KMS 加密上下文

AWS KMS 加密上下文是纯文本、非秘密密钥:值对的映射。此地图表示其他经过身份验证的数据,称为加密上下文对,它们为您的数据提供了额外的安全层。 Amazon Transcribe 需要对称加密密钥才能将转录输出加密到客户指定的 Amazon S3 存储桶中。要了解更多信息,请参阅 AWS KMS中的非对称密钥

创建加密上下文对时,请勿包含敏感信息。加密上下文不是秘密的——它在你的 CloudTrail 日志中以纯文本形式可见(因此你可以用它来识别和分类你的加密操作)。

加密上下文对可以包含特殊字符,如下划线 (_)、短划线 (-)、斜杠(/\)和冒号 (:)。

提示

将加密上下文对中的值与正在加密的数据关联会很有用。尽管此操作并非必需,但我们建议您使用与加密内容相关的非敏感元数据,例如文件名、标头值或未加密的数据库字段。

要通过 API 使用输出加密,请设置 StartTranscriptionJob 操作的 KMSEncryptionContext 参数。为了为输出加密操作提供加密上下文,OutputEncryptionKMSKeyId 参数必须引用对称的 KMS key ID。

您可以将AWS KMS 条件密钥与 IAM 策略配合使用, KMS key 根据加密操作请求中使用的加密上下文来控制对称加密的访问权限。有关加密上下文策略的示例,请参阅 AWS KMS 加密上下文策略

使用加密上下文是可选操作,但建议使用。有关更多信息,请参阅加密上下文