Datenverschlüsselung - Amazon Transcribe
Verschlüsselung im RuhezustandVerschlüsselung während der ÜbertragungSchlüsselverwaltungAWS KMS-Verschlüsselungskontext

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung

Datenverschlüsselung bezieht sich auf den Schutz von Daten während der Übertragung und im Ruhezustand. Sie können Ihre Daten während der Übertragung zusätzlichAmazon S3 zu standardmäßiger Transport Layer Security (TLS) schützen, indem Sie verwaltete oderKMS keys gespeicherte Schlüssel verwenden.

Verschlüsselung im Ruhezustand

Amazon Transcribeverwendet denAmazon S3 Standardschlüssel (SSE-S3) für die serverseitige Verschlüsselung von Transkripten in IhremAmazon S3 Bucket.

Wenn Sie den StartTranscriptionJobVorgang verwenden, können Sie Ihren eigenen Vorgang angeben,KMS key um die Ausgabe eines Transkriptionsauftrags zu verschlüsseln.

Amazon Transcribe verwendet ein mit dem Standardschlüssel verschlüsseltes Amazon EBS-Volume.

Verschlüsselung während der Übertragung

Amazon Transcribe verwendet TLS 1.2 mit AWS-Zertifikaten, um Daten während der Übertragung zu verschlüsseln. Dies beinhaltet Streaming-Transkriptionen.

Schlüsselverwaltung

Amazon Transcribearbeitet mitKMS keys, um eine verbesserte Verschlüsselung für Ihre Daten bereitzustellen. MitAmazon S3 können Sie Ihre Eingabemedien verschlüsseln, wenn Sie einen Transkriptionsauftrag erstellen. Die Integration mitAWS KMS ermöglicht die Verschlüsselung der Ausgabe einer StartTranscriptionJobAnfrage.

Wenn Sie keinen angebenKMS key, wird die Ausgabe des Transkriptionsjobs mit demAmazon S3 Standardschlüssel (SSE-S3) verschlüsselt.

Weitere Informationen dazuAWS KMS finden Sie im AWS Key Management ServiceEntwicklerhandbuch.

Um die Ausgabe Ihres Transkriptionsauftrags zu verschlüsseln, können Sie wählen, ob Sie einenKMS key für denAWS-Konto, der die Anfrage stellt, oder einenKMS key von einem anderen verwendenAWS-Konto.

Wenn Sie keinen angebenKMS key, wird die Ausgabe des Transkriptionsjobs mit demAmazon S3 Standardschlüssel (SSE-S3) verschlüsselt.

Um die Ausgabeverschlüsselung zu aktivieren:

  1. Wählen Sie unter Output data (Ausgabedaten) die Option Encryption (Verschlüsselung).

    Screenshot des aktivierten Verschlüsselungsschalters und desKMS key ID-Dropdown-Menüs.

  2. Wählen Sie aus, ob derKMS key von demAWS-Konto stammt, den Sie gerade verwenden, oder von einem anderenAWS-Konto. Wenn Sie einen Schlüssel aus dem aktuellen verwenden möchtenAWS-Konto, wählen Sie den Schlüssel unter ID (KMS keySchlüssel-ID). Wenn Sie einen Schlüssel von einem anderen verwendenAWS-Konto, müssen Sie den ARN des Schlüssels eingeben. Um einen Schlüssel von einem anderen zu verwendenAWS-Konto, muss der Anrufer über diekms:Encrypt Berechtigungen für verfügenKMS key. Weitere Informationen finden Sie unter Erstellen einer Schlüsselrichtlinie.

Um die Ausgabeverschlüsselung mit der API zu verwenden, müssen Sie angeben, dass Sie denOutputEncryptionKMSKeyId Parameter der StartTranscriptionJobOperation StartCallAnalyticsJobStartMedicalTranscriptionJob, oderKMS key verwenden.

Wenn Sie einen Schlüssel verwenden, der sich im Strom befindetAWS-Konto, können Sie IhrenKMS key auf eine von vier Arten angeben:

  1. Verwenden Sie dieKMS key ID selbst. Zum Beispiel 1234abcd-12ab-34cd-56ef-1234567890ab.

  2. Verwenden Sie einen Alias für dieKMS key ID. Zum Beispiel alias/ExampleAlias.

  3. Verwenden Sie den Amazon-Ressourcennamen (ARN) für dieKMS key ID. Zum Beispiel arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  4. Verwenden Sie den ARN für denKMS key Alias. Zum Beispiel arn:aws:kms:region:account-ID:alias/ExampleAlias.

Wenn Sie einen Schlüssel verwenden, der sich an einem anderenAWS-Konto als dem aktuellen befindetAWS-Konto, können Sie IhrenKMS key auf zwei Arten angeben:

  1. Verwenden Sie den ARN für dieKMS key ID. Zum Beispiel arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  2. Verwenden Sie den ARN für denKMS key Alias. Zum Beispiel arn:aws:kms:region:account-ID:alias/ExampleAlias.

Beachten Sie, dass die Entität, die die Anfrage stellt, die Berechtigung haben muss, den ausgewählten zu verwendenKMS key.

AWS KMS-Verschlüsselungskontext

AWS KMSDer Verschlüsselungskontext ist eine Abbildung von nicht geheimen Schlüssel/Wert-Paaren im Klartext. Diese Karte stellt zusätzliche authentifizierte Daten dar, sogenannte Verschlüsselungskontextpaare, die eine zusätzliche Sicherheitsebene für Ihre Daten bieten. Amazon Transcribeerfordert einen symmetrischen Verschlüsselungsschlüssel, um die Transkriptionsausgabe in einen vom Kunden angegebenenAmazon S3 Bucket zu verschlüsseln. Weitere Informationen finden Sie unter Asymmetrische Schlüssel unterAWS KMS.

Geben Sie bei der Erstellung Ihrer Verschlüsselungskontextpaare keine vertraulichen Informationen an. Der Verschlüsselungskontext ist nicht geheim — er ist in IhrenCloudTrail Protokollen im Klartext sichtbar (sodass Sie ihn verwenden können, um Ihre kryptografischen Operationen zu identifizieren und zu kategorisieren).

Ihr Verschlüsselungskontextpaar kann Sonderzeichen wie Unterstriche (_), Bindestriche (-), Schrägstriche (/,\) und Doppelpunkte (:) enthalten.

Tipp

Es kann nützlich sein, die Werte in Ihrem Verschlüsselungskontextpaar den zu verschlüsselnden Daten zuzuordnen. Obwohl dies nicht erforderlich ist, empfehlen wir Ihnen, nicht sensible Metadaten zu verwenden, die sich auf Ihren verschlüsselten Inhalt beziehen, z. B. Dateinamen, Header-Werte oder unverschlüsselte Datenbankfelder.

Um die Ausgabeverschlüsselung mit der API zu verwenden, legen Sie denKMSEncryptionContext Parameter in der StartTranscriptionJobOperation fest. Um den Verschlüsselungskontext für den Ausgabeverschlüsselungsvorgang bereitzustellen, muss derOutputEncryptionKMSKeyId Parameter auf eine symmetrischeKMS key ID verweisen.

Sie können Bedingungsschlüssel mitIAM Richtlinien verwendenAWS KMS, um den Zugriff auf eine symmetrische Verschlüsselung auf derKMS key Grundlage des Verschlüsselungskontextes zu steuern, der in der Anforderung für einen kryptografischen Vorgang verwendet wurde. Ein Beispiel für eine Richtlinie für den Verschlüsselungskontext finden Sie unterAWS KMS Richtlinie für den Verschlüsselungskontext.

Die Verwendung des Verschlüsselungskontextes ist zwar optional, wird aber empfohlen. Weitere Informationen finden Sie unter Verschlüsselungskontext.