本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
数据加密
数据加密指在传输中的数据和静态中的数据保护。KMS keys在传输过程中,您可以使用Amazon S3托管密钥或静态密钥以及标准传输层安全 (TLS) 来保护数据。
静态加密
Amazon Transcribe使用默认Amazon S3密钥 (SSE-S3) 对Amazon S3存储段中的记录进行服务器端加密。
使用该StartTranscriptionJob
操作时,您可以指定自己的操作KMS key来加密转录作业的输出。
Amazon Transcribe 使用已采用默认密钥加密的 Amazon EBS 卷。
传输中加密
Amazon Transcribe 使用 TLS 1.2 和 AWS 证书加密传输中的数据。这包括流媒体转录。
密钥管理
Amazon Transcribe可KMS keys为您的数据提供增强的加密。使用Amazon S3,您可以在创建转录任务时对输入媒体进行加密。与的集成AWS KMS允许对StartTranscriptionJob
请求的输出进行加密。
如果您未指定KMS key,则转录作业的输出将使用默认Amazon S3密钥 (SSE-S3) 进行加密。
有关更多信息AWS KMS,请参阅《AWS Key Management Service开发者指南》。
要对转录任务的输出进行加密,可以选择KMS key对发出请求的使用 aAWS 账户,也可以选择使用KMS key来自另一个请求的AWS 账户。
如果您未指定KMS key,则转录作业的输出将使用默认Amazon S3密钥 (SSE-S3) 进行加密。
要启用输出加密,请执行以下操作:
-
在输出数据下,选择加密。
-
选择KMS key是来自AWS 账户你当前正在使用的,还是来自不同的AWS 账户。如果您想使用其他密钥AWS 账户,请从 KMS keyID 中选择密钥。如果您使用的是其他密钥AWS 账户,则必须输入密钥的 ARN。要使用其他密钥AWS 账户,调用者必须具有
kms:Encrypt
访问的权限KMS key。有关更多信息,请参阅创建密钥策略。
要在 API 中使用输出加密,必须KMS key使用StartCallAnalyticsJob
StartMedicalTranscriptionJob
、或StartTranscriptionJob
操作的OutputEncryptionKMSKeyId
参数指定您的。
如果使用位于当前密钥AWS 账户,则可以通过以下四种KMS key方式之一指定您的密钥:
-
使用KMS key ID 本身。例如,
1234abcd-12ab-34cd-56ef-1234567890ab
。 -
使用别名作为KMS key ID。例如,
alias/ExampleAlias
。 -
使用 Amazon 资源名称(ARNKMS key)。例如,
arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab
。 -
使用 ARN 作为KMS key别名。例如,
arn:aws:kms:region:account-ID:alias/ExampleAlias
。
如果使用的密钥与当前密钥AWS 账户不同AWS 账户,则可以通过以下两种KMS key方式之一指定您的密钥:
-
使用 ARN 作为KMS key ID。例如,
arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab
。 -
使用 ARN 作为KMS key别名。例如,
arn:aws:kms:region:account-ID:alias/ExampleAlias
。
请注意,发出请求的实体必须拥有使用指定密钥的权限KMS key。
AWS KMS 加密上下文
AWS KMS加密上下文是纯文本、非密钥:值对的映射。此地图表示其他经过身份验证的数据,称为加密上下文对,可为您的数据提供额外的安全保护。 Amazon Transcribe需要对称加密密钥才能将转录输出加密到客户指定的Amazon S3存储桶中。要了解更多信息,请参阅中的非对称密钥AWS KMS。
创建加密上下文对时,请勿包含敏感信息。加密上下文不是秘密的,它在CloudTrail日志中以纯文本形式可见(因此您可以使用它来识别和分类您的加密操作)。
您的加密上下文对可以包含特殊字符,例如下划线 (_
)、短划线 (-
)、斜杠 (/
,\
) 和冒号 (:
)。
提示
将加密上下文对中的值与正在加密的数据关联起来可能很有用。尽管不是必需的,但我们建议您使用与加密内容相关的非敏感元数据,例如文件名、标题值或未加密的数据库字段。
要在 API 中使用输出加密,请在StartTranscriptionJob
操作中设置KMSEncryptionContext
参数。为了为输出加密操作提供加密上下文,OutputEncryptionKMSKeyId
参数必须引用对称KMS key ID。
您可以使用AWS KMS条件密钥和IAM策略,KMS key根据加密操作请求中使用的加密上下文控制对对称加密的访问权限。有关加密上下文策略的示例,请参见AWS KMS加密上下文策略。
使用加密上下文是可选的,但我们建议您这样做。有关更多信息,请参阅加密上下文。