Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon Comprehend Medical
Cette rubrique présente des exemples de politiques basées sur l'identité. Les exemples montrent comment un administrateur de compte peut associer des politiques d'autorisation aux identités IAM. Cela permet aux utilisateurs, aux groupes et aux rôles d'effectuer des actions Amazon Comprehend Medical.
Important
Pour comprendre les autorisations, nous vous recommandonsPrésentation de la gestion des autorisations d'accès aux ressources Amazon Comprehend Medical.
Cet exemple de politique est obligatoire pour utiliser les actions d'analyse de documents Amazon Comprehend Medical.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowDetectActions", "Effect": "Allow", "Action": [ "comprehendmedical:DetectEntitiesV2", "comprehendmedical:DetectEntities", "comprehendmedical:DetectPHI", "comprehendmedical:StartEntitiesDetectionV2Job", "comprehendmedical:ListEntitiesDetectionV2Jobs", "comprehendmedical:DescribeEntitiesDetectionV2Job", "comprehendmedical:StopEntitiesDetectionV2Job", "comprehendmedical:StartPHIDtectionJob", "comprehendmedical:ListPHIDetectionJobs", "comprehendmedical:DescribePHIDetectionJob", "comprehendmedical:StopPHIDetectionJob", "comprehendmedical:StartRxNormInferenceJob", "comprehendmedical:ListRxNormInferenceJobs", "comprehendmedical:DescribeRxNormInferenceJob", "comprehendmedical:StopRxNormInferenceJob", "comprehendmedical:StartICD10CMInferenceJob", "comprehendmedical:ListICD10CMInferenceJobs", "comprehendmedical:DescribeICD10CMInferenceJob", "comprehendmedical:StopICD10CMInferenceJob", "comprehendmedical:StartSNOMEDCTInferenceJob", "comprehendmedical:ListSNOMEDCTInferenceJobs", "comprehendmedical:DescribeSNOMEDCTInferenceJob", "comprehendmedical:StopSNOMEDCTInferenceJob", "comprehendmedical:InferRxNorm", "comprehendmedical:InferICD10CM", "comprehendmedical:InferSNOMEDCT", ], "Resource": "*" } ] }
La politique comporte une déclaration qui autorise l'utilisation des DetectPHI actions DetectEntities et.
La stratégie ne spécifie pas l'élément Principal, car vous ne spécifiez pas le mandataire qui obtient l'autorisation dans une stratégie basée sur une identité. Quand vous attachez une stratégie à un utilisateur, l'utilisateur est le mandataire implicite. Lorsque vous associez une politique à un rôle IAM, le principal identifié dans la politique de confiance du rôle obtient l'autorisation.
Pour voir toutes les actions de l'API Amazon Comprehend Medical et les ressources auxquelles elles s'appliquent, Autorisations relatives à l'API Amazon Comprehend Medical : référence aux actions, aux ressources et aux conditions consultez.
Autorisations requises pour utiliser la console Amazon Comprehend Medical
Le tableau de référence des autorisations répertorie les opérations de l'API Amazon Comprehend Medical et indique les autorisations requises pour chaque opération. Pour plus d'informations, sur les autorisations de l'API Amazon Comprehend Medical, Autorisations relatives à l'API Amazon Comprehend Medical : référence aux actions, aux ressources et aux conditions consultez.
Pour utiliser la console Amazon Comprehend Medical, accordez des autorisations pour les actions décrites dans la politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "comprehendmedical.amazonaws.com" } } } ] }
La console Amazon Comprehend Medical a besoin de ces autorisations pour les raisons suivantes :
-
iamautorisations permettant de répertorier les rôles IAM disponibles pour votre compte. -
s3autorisations d'accès aux compartiments et aux objets Amazon S3 contenant les données.
Lorsque vous créez une tâche par lots asynchrone à l'aide de la console, vous pouvez également créer un rôle IAM pour votre tâche. Pour créer un rôle IAM à l'aide de la console, les utilisateurs doivent disposer des autorisations supplémentaires indiquées ici pour créer des rôles et des politiques IAM et pour associer des politiques aux rôles.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Effect": "Allow", "Resource": "*" } ] }
La console Amazon Comprehend Medical a besoin de ces autorisations pour créer des rôles et des politiques et pour associer des rôles et des politiques. L'iam:PassRoleaction permet à la console de transmettre le rôle à Amazon Comprehend Medical.
Politiques gérées (prédéfinies) par AWS pour Amazon Comprehend Medical
AWS est approprié pour de nombreux cas d'utilisation courants et fournit des stratégies IAM autonomes qui sont créées et administrées par AWS. Ces stratégies gérées AWS octroient les autorisations requises dans les cas d'utilisation courants pour que vous évitiez d'avoir à réfléchir aux autorisations qui sont requises. Pour de plus amples informations, veuillez consulter Stratégies gérées par AWS dans le Guide de l'utilisateur IAM.
La politique gérée par AWS suivante, que vous pouvez associer aux utilisateurs de votre compte, est spécifique à Amazon Comprehend Medical.
-
ComprehendMedicalFullAccess— Accorde un accès complet aux ressources d'Amazon Comprehend Medical. Inclut l'autorisation de répertorier et d'obtenir des rôles IAM.
Vous devez appliquer la politique supplémentaire suivante à tout utilisateur utilisant Amazon Comprehend Medical :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "comprehendmedical.amazonaws.com" } } } ] }
Vous pouvez consulter les politiques d'autorisations gérées en vous connectant à la console IAM et en y recherchant des politiques spécifiques.
Ces stratégies fonctionnent lorsque vous utilisez les kits SDK AWS ou l'AWS CLI.
Vous pouvez également créer vos propres politiques IAM afin d'autoriser les actions et les ressources d'Amazon Comprehend Medical. Vous pouvez attacher ces politiques personnalisées aux utilisateurs ou groupes IAM qui les nécessitent.
Autorisations basées sur les rôles requises pour les opérations par lots
Pour utiliser les opérations asynchrones d'Amazon Comprehend Medical, accordez à Amazon Comprehend Medical l'accès au compartiment Amazon S3 qui contient votre collection de documents. Pour ce faire, créez un rôle d'accès aux données dans votre compte afin de faire confiance au responsable du service Amazon Comprehend Medical. Pour plus d'informations sur la création d'un rôle, consultez Creating a Role to Delegate Permissions to an AWS Service dans le guide de l'utilisateur d'AWS Identity and Access Management.
Voici la politique de confiance du rôle.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "comprehendmedical.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Après avoir créé le rôle, créez une politique d'accès pour celui-ci. La politique doit accorder à Amazon S3 GetObject et ListBucket des autorisations au compartiment Amazon S3 qui contient vos données d'entrée. Il accorde également des autorisations pour Amazon S3 PutObject à votre compartiment de données de sortie Amazon S3.
L'exemple de politique d'accès suivant contient ces autorisations.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::input bucket/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::input bucket" ], "Effect": "Allow" }, { "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::output bucket/*" ], "Effect": "Allow" } ] }
Exemples de politiques gérées par le client
Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions Amazon Comprehend Medical. Ces stratégies fonctionnent lorsque vous utilisez les kits SDK AWS ou l'AWS CLI. Lorsque vous utilisez la console, vous devez accorder des autorisations à toutes les API Amazon Comprehend Medical. Cela est indiqué dans Autorisations requises pour utiliser la console Amazon Comprehend Medical.
Note
Tous les exemples utilisent la région us-east-2 et contiennent des ID de comptes fictifs.
Exemples
Exemple 1 : Autoriser toutes les actions d'Amazon Comprehend Medical
Une fois inscrit AWS, vous créez un administrateur chargé de gérer votre compte, notamment de créer des utilisateurs et de gérer leurs autorisations.
Vous pouvez choisir de créer un utilisateur autorisé à effectuer toutes les actions Amazon Comprehend. Considérez cet utilisateur comme un administrateur spécifique au service qui travaille avec Amazon Comprehend. Vous pouvez alors lier la stratégie d'autorisations suivante à cet utilisateur.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowAllComprehendMedicalActions", "Effect": "Allow", "Action": [ "comprehendmedical:*"], "Resource": "*" } ] }
Exemple 2 : Autoriser uniquement DetectEntities les actions
La politique d'autorisation suivante autorise les utilisateurs à détecter des entités dans Amazon Comprehend Medical, mais pas à détecter les opérations PHI.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowDetectEntityActions", "Effect": "Allow", "Action": [ "comprehendedical:DetectEntities" ], "Resource": "*" ] } ] }
