Menggunakan kebijakan (IAMkebijakan) Berbasis Identitas untuk Amazon Comprehend Medical

Topik ini menunjukkan contoh kebijakan berbasis identitas. Contoh menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke IAM identitas. Hal ini memungkinkan pengguna, grup, dan peran untuk melakukan tindakan Amazon Comprehend Medical.

penting

Untuk memahami izin, kami sarankanIkhtisar mengelola izin akses ke sumber daya Amazon Comprehend Medical.

Kebijakan contoh ini diperlukan untuk menggunakan tindakan analisis dokumen Amazon Comprehend Medical.

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowDetectActions",
      "Effect": "Allow",
      "Action": [
                "comprehendmedical:DetectEntitiesV2",
                "comprehendmedical:DetectEntities",
                "comprehendmedical:DetectPHI",
                
                "comprehendmedical:StartEntitiesDetectionV2Job",
                "comprehendmedical:ListEntitiesDetectionV2Jobs",
                "comprehendmedical:DescribeEntitiesDetectionV2Job",
                "comprehendmedical:StopEntitiesDetectionV2Job",

                "comprehendmedical:StartPHIDtectionJob",
                "comprehendmedical:ListPHIDetectionJobs",
                "comprehendmedical:DescribePHIDetectionJob",
                "comprehendmedical:StopPHIDetectionJob",
                
                "comprehendmedical:StartRxNormInferenceJob",
                "comprehendmedical:ListRxNormInferenceJobs",
                "comprehendmedical:DescribeRxNormInferenceJob",
                "comprehendmedical:StopRxNormInferenceJob",

                "comprehendmedical:StartICD10CMInferenceJob",
                "comprehendmedical:ListICD10CMInferenceJobs",
                "comprehendmedical:DescribeICD10CMInferenceJob",
                "comprehendmedical:StopICD10CMInferenceJob",
                
                "comprehendmedical:StartSNOMEDCTInferenceJob",
                "comprehendmedical:ListSNOMEDCTInferenceJobs",
                "comprehendmedical:DescribeSNOMEDCTInferenceJob",
                "comprehendmedical:StopSNOMEDCTInferenceJob",
                
                "comprehendmedical:InferRxNorm",
                "comprehendmedical:InferICD10CM",
                "comprehendmedical:InferSNOMEDCT",

             ],   
      "Resource": "*"
      }
   ]
}

Kebijakan memiliki satu pernyataan yang memberikan izin untuk menggunakan DetectEntities dan DetectPHI tindakan.

Kebijakan tidak menentukan Principal elemen karena Anda tidak menentukan prinsipal yang mendapatkan izin dalam kebijakan berbasis identitas. Saat Anda melampirkan kebijakan kepada pengguna, pengguna adalah penanggung jawab implisit. Saat Anda melampirkan kebijakan ke suatu IAM peran, kepala sekolah yang diidentifikasi dalam kebijakan kepercayaan peran tersebut mendapatkan izin.

Untuk melihat semua tindakan Amazon Comprehend API Medical dan sumber daya yang mereka terapkan, lihat. Amazon Comprehend API Medical Permissions: referensi tindakan, sumber daya, dan kondisi

Izin yang diperlukan untuk menggunakan konsol Amazon Comprehend Medical

Tabel referensi izin mencantumkan operasi Amazon API Comprehend Medical dan menunjukkan izin yang diperlukan untuk setiap operasi. Untuk informasi selengkapnya, tentang izin Amazon API Comprehend Medical, lihat. Amazon Comprehend API Medical Permissions: referensi tindakan, sumber daya, dan kondisi

Untuk menggunakan konsol Amazon Comprehend Medical, berikan izin untuk tindakan yang ditampilkan dalam kebijakan berikut.

{
  "Version": "2012-10-17",
  "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "iam:CreateRole",
            "iam:CreatePolicy",
            "iam:AttachRolePolicy"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iam:PassRole",
         "Resource": "*",
         "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
         }
      }
   ]
}
            

Konsol Amazon Comprehend Medical memerlukan izin ini karena alasan berikut:

• iamizin untuk mencantumkan IAM peran yang tersedia untuk akun Anda.

• s3izin untuk mengakses bucket Amazon S3 dan objek yang berisi data.

Saat membuat pekerjaan batch asinkron menggunakan konsol, Anda juga dapat membuat IAM peran untuk pekerjaan Anda. Untuk membuat IAM peran menggunakan konsol, pengguna harus diberikan izin tambahan yang ditampilkan di sini untuk membuat IAM peran dan kebijakan, serta melampirkan kebijakan ke peran.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
            

Konsol Amazon Comprehend Medical memerlukan izin ini untuk membuat peran dan kebijakan serta melampirkan peran dan kebijakan. iam:PassRoleTindakan ini memungkinkan konsol untuk meneruskan peran ke Amazon Comprehend Medical.

AWSkebijakan terkelola (standar) untuk Amazon Comprehend Medical

AWSmengatasi banyak kasus penggunaan umum dengan menyediakan IAM kebijakan mandiri yang dibuat dan dikelola olehAWS. Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari keharusan menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat Kebijakan AWS Terkelola di Panduan IAM Pengguna.

Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk Amazon Comprehend Medical.

• ComprehendMedicalFullAccess— Memberikan akses penuh ke sumber daya Amazon Comprehend Medical. Termasuk izin untuk membuat daftar dan mendapatkan IAM peran.

Anda harus menerapkan kebijakan tambahan berikut untuk setiap pengguna yang menggunakan Amazon Comprehend Medical:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
            }
        }
    ]
}
            

Anda dapat meninjau kebijakan izin terkelola dengan masuk ke IAM konsol dan mencari kebijakan tertentu di sana.

Kebijakan ini berfungsi saat Anda menggunakan AWS SDKs atau AWSCLI.

Anda juga dapat membuat IAM kebijakan sendiri untuk mengizinkan izin untuk tindakan dan sumber daya Amazon Comprehend Medical. Anda dapat melampirkan kebijakan khusus ini ke IAM pengguna atau grup yang memerlukannya.

Izin berbasis peran diperlukan untuk operasi batch

Untuk menggunakan operasi asinkron Amazon Comprehend Medical, berikan Amazon Comprehend Medical akses ke bucket Amazon S3 yang berisi koleksi dokumen Anda. Lakukan ini dengan membuat peran akses data di akun Anda untuk mempercayai kepala layanan Amazon Comprehend Medical. Untuk informasi selengkapnya tentang membuat peran, lihat Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di Panduan Pengguna AWS Identity and Access Management.

Berikut ini adalah kebijakan kepercayaan peran.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "comprehendmedical.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Setelah Anda membuat peran, buat kebijakan akses untuk peran tersebut. Kebijakan tersebut harus memberikan Amazon S3 GetObject dan ListBucket izin ke bucket Amazon S3 yang berisi data input Anda. Ini juga memberikan izin untuk Amazon S3 ke bucket data PutObject keluaran Amazon S3 Anda.

Contoh kebijakan akses berikut berisi izin tersebut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::output bucket/*"
            ],
            "Effect": "Allow"
        }
    ]
}
            

Contoh kebijakan yang dikelola pelanggan

Di bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai tindakan Amazon Comprehend Medical. Kebijakan ini berfungsi saat Anda menggunakan AWS SDKs atau AWSCLI. Saat Anda menggunakan konsol, Anda harus memberikan izin ke semua Amazon Comprehend Medical. APIs Ini dibahas dalamIzin yang diperlukan untuk menggunakan konsol Amazon Comprehend Medical.

catatan

Semua contoh menggunakan Wilayah us-east-2 dan berisi akun fiktif. IDs

Contoh

Contoh 1: Izinkan semua tindakan Amazon Comprehend Medical

Setelah mendaftar AWS, Anda membuat administrator untuk mengelola akun Anda, termasuk membuat pengguna dan mengelola izin mereka.

Anda dapat memilih untuk membuat pengguna yang memiliki izin untuk semua tindakan Amazon Comprehend. Pikirkan pengguna ini sebagai administrator khusus layanan untuk bekerja dengan Amazon Comprehend. Anda dapat melampirkan kebijakan izin berikut ke pengguna ini.

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowAllComprehendMedicalActions",
      "Effect": "Allow",
      "Action": [
         "comprehendmedical:*"],
      "Resource": "*"
      }
   ]
}

Contoh 2: Izinkan hanya DetectEntities tindakan

Kebijakan izin berikut memberikan izin pengguna untuk mendeteksi entitas di Amazon Comprehend Medical, tetapi tidak untuk mendeteksi operasi. PHI

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowDetectEntityActions",
      "Effect": "Allow",
      "Action": [
                "comprehendedical:DetectEntities"
             ],   
            "Resource": "*"
            ]
        }
    ]
}