Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für Amazon Comprehend Medical
Dieses Thema zeigt Beispiele für identitätsbasierte Richtlinien. Die Beispiele zeigen, wie ein Kontoadministrator Berechtigungsrichtlinien an IAM-Identitäten anhängen kann. Auf diese Weise können Benutzer, Gruppen und Rollen Amazon Comprehend Medical Medical-Aktionen ausführen.
Wichtig
Um mehr über Berechtigungen zu erfahren, empfehlen wir. Überblick über die Verwaltung von Zugriffsberechtigungen für Amazon Comprehend Medical Medical-Ressourcen
Diese Beispielrichtlinie ist erforderlich, um die Amazon Comprehend Medical Medical-Dokumentenanalyseaktionen verwenden zu können.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowDetectActions", "Effect": "Allow", "Action": [ "comprehendmedical:DetectEntitiesV2", "comprehendmedical:DetectEntities", "comprehendmedical:DetectPHI", "comprehendmedical:StartEntitiesDetectionV2Job", "comprehendmedical:ListEntitiesDetectionV2Jobs", "comprehendmedical:DescribeEntitiesDetectionV2Job", "comprehendmedical:StopEntitiesDetectionV2Job", "comprehendmedical:StartPHIDtectionJob", "comprehendmedical:ListPHIDetectionJobs", "comprehendmedical:DescribePHIDetectionJob", "comprehendmedical:StopPHIDetectionJob", "comprehendmedical:StartRxNormInferenceJob", "comprehendmedical:ListRxNormInferenceJobs", "comprehendmedical:DescribeRxNormInferenceJob", "comprehendmedical:StopRxNormInferenceJob", "comprehendmedical:StartICD10CMInferenceJob", "comprehendmedical:ListICD10CMInferenceJobs", "comprehendmedical:DescribeICD10CMInferenceJob", "comprehendmedical:StopICD10CMInferenceJob", "comprehendmedical:StartSNOMEDCTInferenceJob", "comprehendmedical:ListSNOMEDCTInferenceJobs", "comprehendmedical:DescribeSNOMEDCTInferenceJob", "comprehendmedical:StopSNOMEDCTInferenceJob", "comprehendmedical:InferRxNorm", "comprehendmedical:InferICD10CM", "comprehendmedical:InferSNOMEDCT", ], "Resource": "*" } ] }
Die Richtlinie enthält eine Erklärung, die die Genehmigung zur Verwendung der Aktionen DetectEntities und DetectPHI erteilt.
Die Richtlinie gibt nicht das Principal-Element an, da in einer identitätsbasierten Richtlinie nicht der Prinzipal angegeben wird, der die Berechtigung erhält. Wenn Sie einem Benutzer eine Richtlinie anfügen, ist der Benutzer automatisch der Prinzipal. Wenn Sie einer IAM-Rolle eine Richtlinie zuordnen, erhält der in der Vertrauensrichtlinie der Rolle angegebene Principal die entsprechende Genehmigung.
Alle Amazon Comprehend Medical API-Aktionen und die Ressourcen, für die sie gelten, finden Sie unter. Amazon Comprehend Medical API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen
Für die Verwendung der Amazon Comprehend Medical Medical-Konsole sind Berechtigungen erforderlich
Die Referenztabelle für Berechtigungen listet die Amazon Comprehend Medical API-Operationen auf und zeigt die erforderlichen Berechtigungen für jeden Vorgang. Weitere Informationen zu den API-Berechtigungen von Amazon Comprehend Medical finden Sie unter. Amazon Comprehend Medical API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen
Um die Amazon Comprehend Medical Medical-Konsole zu verwenden, gewähren Sie Berechtigungen für die in der folgenden Richtlinie aufgeführten Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "comprehendmedical.amazonaws.com" } } } ] }
Die Amazon Comprehend Medical Medical-Konsole benötigt diese Berechtigungen aus den folgenden Gründen:
-
iamBerechtigungen zum Auflisten der verfügbaren IAM-Rollen für Ihr Konto. -
s3Berechtigungen für den Zugriff auf die Amazon S3 S3-Buckets und Objekte, die die Daten enthalten.
Wenn Sie mit der Konsole einen asynchronen Batch-Job erstellen, können Sie auch eine IAM-Rolle für Ihren Job erstellen. Um eine IAM-Rolle mithilfe der Konsole zu erstellen, müssen Benutzern die hier aufgeführten zusätzlichen Berechtigungen zum Erstellen von IAM-Rollen und -Richtlinien sowie zum Anhängen von Richtlinien an Rollen erteilt werden.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Effect": "Allow", "Resource": "*" } ] }
Die Amazon Comprehend Medical Medical-Konsole benötigt diese Berechtigungen, um Rollen und Richtlinien zu erstellen und Rollen und Richtlinien anzuhängen. Die iam:PassRole Aktion ermöglicht es der Konsole, die Rolle an Amazon Comprehend Medical zu übergeben.
Von AWS verwaltete (vordefinierte) Richtlinien für Amazon Comprehend Medical
Durch die Bereitstellung von eigenständigen IAM-Richtlinien, die von AWS erstellt und administriert werden, deckt AWS viele häufige Anwendungsfälle ab. Diese von AWS verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter AWS-verwaltete Richtlinien im IAM Benutzerhandbuch.
Die folgende von AWS verwaltete Richtlinie, die Sie Benutzern in Ihrem Konto zuordnen können, ist spezifisch für Amazon Comprehend Medical.
-
ComprehendMedicalFullAccess— Gewährt vollen Zugriff auf die medizinischen Ressourcen von Amazon Comprehend. Beinhaltet die Erlaubnis, IAM-Rollen aufzulisten und abzurufen.
Sie müssen die folgenden zusätzlichen Richtlinien auf alle Benutzer anwenden, die Amazon Comprehend Medical verwenden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "comprehendmedical.amazonaws.com" } } } ] }
Sie können die Richtlinien für verwaltete Berechtigungen überprüfen, indem Sie sich bei der IAM-Konsole anmelden und dort nach bestimmten Richtlinien suchen.
Diese Richtlinien sind nur wirksam, wenn Sie AWS SDKs oder die AWS CLI verwenden.
Sie können auch Ihre eigenen IAM-Richtlinien erstellen, um Berechtigungen für Aktionen und Ressourcen von Amazon Comprehend Medical zu gewähren. Sie können diese benutzerdefinierten Richtlinien den IAM-Benutzern oder Gruppen zuordnen, für die sie erforderlich sind.
Rollenbasierte Berechtigungen sind für Batch-Operationen erforderlich
Um die asynchronen Vorgänge von Amazon Comprehend Medical zu verwenden, gewähren Sie Amazon Comprehend Medical Zugriff auf den Amazon S3 S3-Bucket, der Ihre Dokumentensammlung enthält. Erstellen Sie dazu in Ihrem Konto eine Datenzugriffsrolle, um dem Amazon Comprehend Medical Service Principal zu vertrauen. Weitere Informationen zum Erstellen einer Rolle finden Sie unter Creating a Role to Delegate Permissions to an AWS Service im AWS Identity and Access Management-Benutzerhandbuch.
Im Folgenden finden Sie die Vertrauensrichtlinie der Rolle.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "comprehendmedical.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Nachdem Sie die Rolle erstellt haben, erstellen Sie eine Zugriffsrichtlinie für sie. Die Richtlinie sollte Amazon S3 GetObject und ListBucket Berechtigungen für den Amazon S3 S3-Bucket gewähren, der Ihre Eingabedaten enthält. Außerdem gewährt es Ihrem Amazon PutObject S3-Ausgabedaten-Bucket Berechtigungen für Amazon S3.
Die folgende Beispiel-Zugriffsrichtlinie enthält diese Berechtigungen.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::input bucket/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::input bucket" ], "Effect": "Allow" }, { "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::output bucket/*" ], "Effect": "Allow" } ] }
Beispiele für vom Kunden verwaltete Richtlinien
In diesem Abschnitt finden Sie Beispielbenutzerrichtlinien, die Berechtigungen für verschiedene Amazon Comprehend Medical Medical-Aktionen gewähren. Diese Richtlinien sind nur wirksam, wenn Sie AWS SDKs oder die AWS CLI verwenden. Wenn Sie die Konsole verwenden, müssen Sie allen Amazon Comprehend Medical Medical-APIs Berechtigungen erteilen. Näheres hierzu finden Sie unter Für die Verwendung der Amazon Comprehend Medical Medical-Konsole sind Berechtigungen erforderlich.
Anmerkung
In allen Beispielen werden die Region „us-east-2“ und fiktive Konto-IDs verwendet.
Beispiele
Beispiel 1: Alle Amazon Comprehend Medical Medical-Aktionen zulassen
Nachdem Sie sich angemeldet haben AWS, richten Sie einen Administrator ein, der Ihr Konto verwaltet, einschließlich der Erstellung von Benutzern und der Verwaltung ihrer Berechtigungen.
Sie können wählen, ob Sie einen Benutzer erstellen möchten, der über Berechtigungen für alle Amazon Comprehend Comprehend-Aktionen verfügt. Stellen Sie sich diesen Benutzer als dienstspezifischen Administrator für die Arbeit mit Amazon Comprehend vor. Diesem Benutzer können Sie die folgende Berechtigungsrichtlinie zuweisen:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowAllComprehendMedicalActions", "Effect": "Allow", "Action": [ "comprehendmedical:*"], "Resource": "*" } ] }
Beispiel 2: Nur Aktionen zulassen DetectEntities
Die folgende Berechtigungsrichtlinie gewährt Benutzern Berechtigungen zur Erkennung von Entitäten in Amazon Comprehend Medical, jedoch nicht zur Erkennung von PHI-Vorgängen.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowDetectEntityActions", "Effect": "Allow", "Action": [ "comprehendedical:DetectEntities" ], "Resource": "*" ] } ] }
