数据加密 - Amazon Transcribe
静态加密传输中加密密钥管理AWS KMS 加密上下文

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

数据加密

数据加密指在传输中的数据和静态中的数据保护。KMS keys在传输过程中,您可以使用Amazon S3托管密钥或静态密钥以及标准传输层安全 (TLS) 来保护数据。

静态加密

Amazon Transcribe使用默认Amazon S3密钥 (SSE-S3) 对Amazon S3存储段中的记录进行服务器端加密。

使用该StartTranscriptionJob操作时,您可以指定自己的操作KMS key来加密转录作业的输出。

Amazon Transcribe 使用已采用默认密钥加密的 Amazon EBS 卷。

传输中加密

Amazon Transcribe 使用 TLS 1.2 和 AWS 证书加密传输中的数据。这包括流媒体转录。

密钥管理

Amazon Transcribe可KMS keys为您的数据提供增强的加密。使用Amazon S3,您可以在创建转录任务时对输入媒体进行加密。与的集成AWS KMS允许对StartTranscriptionJob请求的输出进行加密。

如果您未指定KMS key,则转录作业的输出将使用默认Amazon S3密钥 (SSE-S3) 进行加密。

有关更多信息AWS KMS,请参阅《AWS Key Management Service开发者指南》

要对转录任务的输出进行加密,可以选择KMS key对发出请求的使用 aAWS 账户,也可以选择使用KMS key来自另一个请求的AWS 账户。

如果您未指定KMS key,则转录作业的输出将使用默认Amazon S3密钥 (SSE-S3) 进行加密。

要启用输出加密,请执行以下操作:

  1. 输出数据下,选择加密

    启用加密开关和KMS key ID 下拉菜单的屏幕截图。

  2. 选择KMS key是来自AWS 账户你当前正在使用的,还是来自不同的AWS 账户。如果您想使用其他密钥AWS 账户,请从 KMS keyID 中选择密钥。如果您使用的是其他密钥AWS 账户,则必须输入密钥的 ARN。要使用其他密钥AWS 账户,调用者必须具有kms:Encrypt访问的权限KMS key。有关更多信息,请参阅创建密钥策略

要在 API 中使用输出加密,必须KMS key使用StartCallAnalyticsJobStartMedicalTranscriptionJob、或StartTranscriptionJob操作的OutputEncryptionKMSKeyId参数指定您的。

如果使用位于当前密钥AWS 账户,则可以通过以下四种KMS key方式之一指定您的密钥:

  1. 使用KMS key ID 本身。例如,1234abcd-12ab-34cd-56ef-1234567890ab

  2. 使用别名作为KMS key ID。例如,alias/ExampleAlias

  3. 使用 Amazon 资源名称(ARNKMS key)。例如,arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab

  4. 使用 ARN 作为KMS key别名。例如,arn:aws:kms:region:account-ID:alias/ExampleAlias

如果使用的密钥与当前密钥AWS 账户不同AWS 账户,则可以通过以下两种KMS key方式之一指定您的密钥:

  1. 使用 ARN 作为KMS key ID。例如,arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab

  2. 使用 ARN 作为KMS key别名。例如,arn:aws:kms:region:account-ID:alias/ExampleAlias

请注意,发出请求的实体必须拥有使用指定密钥的权限KMS key。

AWS KMS 加密上下文

AWS KMS加密上下文是纯文本、非密钥:值对的映射。此地图表示其他经过身份验证的数据,称为加密上下文对,可为您的数据提供额外的安全保护。 Amazon Transcribe需要对称加密密钥才能将转录输出加密到客户指定的Amazon S3存储桶中。要了解更多信息,请参阅中的非对称密钥AWS KMS

创建加密上下文对时,请勿包含敏感信息。加密上下文不是秘密的,它在CloudTrail日志中以纯文本形式可见(因此您可以使用它来识别和分类您的加密操作)。

您的加密上下文对可以包含特殊字符,例如下划线 (_)、短划线 (-)、斜杠 (/,\) 和冒号 (:)。

提示

将加密上下文对中的值与正在加密的数据关联起来可能很有用。尽管不是必需的,但我们建议您使用与加密内容相关的非敏感元数据,例如文件名、标题值或未加密的数据库字段。

要在 API 中使用输出加密,请在StartTranscriptionJob操作中设置KMSEncryptionContext参数。为了为输出加密操作提供加密上下文,OutputEncryptionKMSKeyId参数必须引用对称KMS key ID。

您可以使用AWS KMS条件密钥和IAM策略,KMS key根据加密操作请求中使用的加密上下文控制对对称加密的访问权限。有关加密上下文策略的示例,请参见AWS KMS加密上下文策略

使用加密上下文是可选的,但我们建议您这样做。有关更多信息,请参阅加密上下文