本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資料加密
資料加密是指無需保護傳輸中和靜態資料。在傳輸過程中,您可以使用Amazon S3託管密鑰或KMS keys靜態密鑰以及標準傳輸層安全性(TLS)來保護您的數據。
靜態加密
Amazon Transcribe使用預設Amazon S3金鑰 (SSE-S3) 來進行Amazon S3儲存貯體中的成績單的伺服器端加密。
使用此StartTranscriptionJob
作業時,您可以指定自己的項目KMS key來加密轉錄工作的輸出。
Amazon Transcribe 使用透過預設金鑰加密的 Amazon EBS 磁碟區。
傳輸中加密
Amazon Transcribe 將 TLS 1.2 與 AWS 憑證搭配使用,以加密傳輸中的資料。這包括流轉錄。
金鑰管理
Amazon Transcribe與一起KMS keys為您的資料提供增強的加密。使用Amazon S3,您可以在建立轉錄工作時加密輸入媒體。與集成AWS KMS允許對StartTranscriptionJob
請求的輸出進行加密。
如果未指定KMS key,轉錄工作的輸出會使用預設Amazon S3金鑰加密 (SSE-S3)。
如需詳細資訊AWS KMS,請參閱AWS Key Management Service開發人員指南。
若要加密轉錄工作的輸出,您可以選擇使用正在提KMS key出要求的輸KMS key出,或使用另一個AWS 帳戶。AWS 帳戶
如果未指定KMS key,轉錄工作的輸出會使用預設Amazon S3金鑰加密 (SSE-S3)。
若要啟用輸出加密:
-
在 Output data (輸出資料) 下方,選擇 Encryption (加密)。
-
選擇KMS key是否來自AWS 帳戶您目前正在使用的或來自不同的AWS 帳戶。如果要使用當前密鑰AWS 帳戶,請從 KMS keyID 中選擇密鑰。如果您使用不同的金鑰AWS 帳戶,您必須輸入金鑰的 ARN。若要使用不同的金鑰AWS 帳戶,呼叫
kms:Encrypt
者必須具有KMS key. 如需詳細資訊,請參閱建立金鑰原則。
若要搭配 API 使用輸出加密,您必須KMS key使用StartCallAnalyticsJob
StartMedicalTranscriptionJob
、或StartTranscriptionJob
作業的OutputEncryptionKMSKeyId
參數來指定。
如果使用位於目前的金鑰AWS 帳戶,您可以使用下列四種方式KMS key之一來指定您的金鑰:
-
使用KMS key ID 本身。例如:
1234abcd-12ab-34cd-56ef-1234567890ab
。 -
使用別名作為KMS key ID。例如:
alias/ExampleAlias
。 -
使用 Amazon Resource Name (ARN)。KMS key例如:
arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab
。 -
使用 ARN 作為KMS key別名。例如:
arn:aws:kms:region:account-ID:alias/ExampleAlias
。
如果使用與目前不同AWS 帳戶的金鑰AWS 帳戶,您可以使用以下兩種方式KMS key之一來指定您的金鑰:
-
使用 ARN 作為KMS key識別碼。例如:
arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab
。 -
使用 ARN 作為KMS key別名。例如:
arn:aws:kms:region:account-ID:alias/ExampleAlias
。
請注意,提出請求的實體必須得到許可才能使用指定的KMS key。
AWS KMS 加密內容
AWS KMS加密上下文是純文本,非秘密鍵:值對的映射。此對映代表其他已驗證的資料 (稱為加密內容配對),可為您的資料提供額外的安全層。 Amazon Transcribe需要對稱加密金鑰,才能將轉錄輸出加密到客戶指定的Amazon S3儲存貯體中。若要進一步,請參閱無對稱金鑰,請參閱AWS KMS。
建立加密內容配對時,請勿包含敏感資訊。加密內容不會保密 — 在CloudTrail記錄檔中會以純文字顯示 (因此您可以使用它來識別和分類您的加密作業)。
您的加密內容配對可以包含特殊字元,例如底線 (_
-
)、破折號 ()、斜線 (/
,\
) 和冒號 (:
)。
提示
將加密內容配對中的值與要加密的資料相關聯會很有用。雖然不是必要的,但我們建議您使用與加密內容相關的非敏感中繼資料,例如檔案名稱、標頭值或未加密的資料庫欄位。
若要搭配 API 使用輸出加密,請在StartTranscriptionJob
作業中設定KMSEncryptionContext
參數。為了提供輸出加密作業的加密內容,OutputEncryptionKMSKeyId
參數必須參照對稱KMS key ID。
您可以將AWS KMS條件金鑰與IAM原則搭配使用,KMS key根據密碼編譯作業要求中使用的加密內容來控制對稱加密的存取。如需加密內容原則的範例,請參閱AWS KMS加密內容政策。
使用加密內容是選用操作,但建議您採用。如需,請參閱加密內容。