Amazon Comprehend Medical でのアイデンティティベースのポリシー (IAM ポリシー) の使用 - Amazon Comprehend Medical
Amazon Comprehend Medical コンソールを使用するために必要なアクセス許可Amazon Comprehend Medical の AWS 管理 (事前定義) ポリシーバッチ操作に必要なロールベースのアクセス許可カスタマーマネージドポリシーの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Comprehend Medical でのアイデンティティベースのポリシー (IAM ポリシー) の使用

このトピックでは、アイデンティティベースのポリシーの例を示します。例を使用して、アカウント管理者が IAM アイデンティティにアクセス許可ポリシーをアタッチする方法を示します。これにより、ユーザー、グループ、およびロールが Amazon Comprehend Medical アクションを実行できるようになります。

重要

アクセス許可を理解するには、「Amazon Comprehend Medical リソースに対するアクセス許可の管理の概要」をお勧めします。

このポリシー例は、Amazon Comprehend Medical ドキュメント分析アクションを使用するために必要です。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDetectActions",
            "Effect": "Allow",
            "Action": [
                "comprehendmedical:DetectEntitiesV2",
                "comprehendmedical:DetectPHI",
                "comprehendmedical:StartEntitiesDetectionV2Job",
                "comprehendmedical:ListEntitiesDetectionV2Jobs",
                "comprehendmedical:DescribeEntitiesDetectionV2Job",
                "comprehendmedical:StopEntitiesDetectionV2Job",
                "comprehendmedical:StartPHIDetectionJob",
                "comprehendmedical:ListPHIDetectionJobs",
                "comprehendmedical:DescribePHIDetectionJob",
                "comprehendmedical:StopPHIDetectionJob",
                "comprehendmedical:StartRxNormInferenceJob",
                "comprehendmedical:ListRxNormInferenceJobs",
                "comprehendmedical:DescribeRxNormInferenceJob",
                "comprehendmedical:StopRxNormInferenceJob",
                "comprehendmedical:StartICD10CMInferenceJob",
                "comprehendmedical:ListICD10CMInferenceJobs",
                "comprehendmedical:DescribeICD10CMInferenceJob",
                "comprehendmedical:StopICD10CMInferenceJob",
                "comprehendmedical:StartSNOMEDCTInferenceJob",
                "comprehendmedical:ListSNOMEDCTInferenceJobs",
                "comprehendmedical:DescribeSNOMEDCTInferenceJob",
                "comprehendmedical:StopSNOMEDCTInferenceJob",
                "comprehendmedical:InferRxNorm",
                "comprehendmedical:InferICD10CM",
                "comprehendmedical:InferSNOMEDCT"
            ],
            "Resource": "*"
        }
    ]
}

このポリシーには、DetectEntities アクションおよび DetectPHI アクションを使用するためのアクセス許可を付与するステートメントが 1 つあります。

アイデンティティベースのポリシーでアクセス権限を得るプリンシパルを指定していないため、ポリシーでは Principal エレメントを指定していません。ユーザーにポリシーをアタッチすると、そのユーザーが暗黙のプリンシパルになります。IAM ロールにポリシーをアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルがアクセス許可を得ることになります。

すべての Amazon Comprehend Medical API アクションとそれらが適用されるリソースを確認するには、「Amazon Comprehend Medical API のアクセス許可: アクション、リソース、条件のリファレンス」を参照してください。

Amazon Comprehend Medical コンソールを使用するために必要なアクセス許可

アクセス許可のリファレンス表では、Amazon Comprehend Medical API オペレーションとそれらの各オペレーションに必要なアクセス許可を示しています。Amazon Comprehend Medical API のアクセス許可の詳細については、「Amazon Comprehend Medical API のアクセス許可: アクション、リソース、条件のリファレンス」を参照してください。

Amazon Comprehend Medical コンソールを使用するには、次のポリシーに示されているアクションのアクセス許可を付与する必要があります。

JSON

{
  "Version": "2012-10-17",
  "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "iam:CreateRole",
            "iam:CreatePolicy",
            "iam:AttachRolePolicy"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iam:PassRole",
         "Resource": "*",
         "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
         }
      }
   ]
}

Amazon Comprehend Medical コンソールには、以下の理由でこれらのアクセス許可が必要になります。

  • アカウントで使用可能な IAM ロールをリストするための iam アクセス許可。

  • データが含まれる Amazon S3 バケットおよびオブジェクトにアクセスするための s3 アクセス許可。

コンソールを使用して非同期バッチジョブを作成する場合、ジョブに IAM ロールを作成することもできます。コンソールを使用して IAM ロールを作成するには、IAM ロールとポリシーを作成してロールにポリシーをアタッチするために、ここに示されている追加のアクセス許可をユーザーに付与する必要があります。

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Amazon Comprehend Medical コンソールでは、ロールとポリシーを作成してロールとポリシーをアタッチするには、これらのアクセス許可が必要です。iam:PassRole アクションによって、コンソールで Amazon Comprehend Medical にロールを渡すことができます。

Amazon Comprehend Medical の AWS 管理 (事前定義) ポリシー

AWS は、AWS によって作成され管理されるスタンドアロンの IAM ポリシーが提供する多くの一般的ユースケースに対応します。これらの AWS 管理ポリシーは、一般的ユースケースに必要なアクセス許可を付与することで、どのアクセス許可が必要なのかをユーザーが調査する必要をなくすことができます。詳細については、「IAM ユーザーガイド」「AWS マネージドポリシー」 を参照してください。

アカウントのユーザーにアタッチ可能な以下の AWS 管理ポリシーは、Amazon Comprehend Medical に固有のものです。

  • ComprehendMedicalFullAccess — Amazon Comprehend Medical リソースへのフルアクセスを付与します。IAM ロールをリストおよび取得するアクセス許可が含まれます。

Amazon Comprehend Medical を使用するユーザーには、次の追加ポリシーを適用する必要があります。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
            }
        }
    ]
}

IAM コンソールにサインインし、特定のポリシーを検索することで、管理アクセス許可ポリシーを確認できます。

これらのポリシーは、AWS SDK または AWS CLI を使用しているときに機能します。

独自の IAM ポリシーを作成して、Amazon Comprehend Medical のアクションとリソースのためのアクセス許可を付与することもできます。これらのカスタムポリシーを、これらのポリシーを必要とする IAM ユーザーまたはグループにアタッチできます。

バッチ操作に必要なロールベースのアクセス許可

Amazon Comprehend Medical 非同期オペレーションを使用するには、Amazon Comprehend Medical にドキュメントコレクションが含まれる Amazon S3 バケットへのアクセス許可を付与します。これを行うには、Amazon Comprehend Medical サービスプリンシパルを信頼するように、アカウントにデータアクセスロールを作成します。ロールの作成について詳しくは、AWS Identity and Access Management ユーザーガイドの「AWS のサービスにアクセス許可を委任するロールの作成」を参照してください。

以下に示しているのは、ロールの信頼ポリシーです。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "comprehendmedical.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

ロールを作成したら、そのロールのアクセスポリシーを作成します。ポリシーによって、入力データが含まれる Amazon S3 バケットへの Amazon S3 GetObject アクセス許可および ListBucket アクセス許可を付与する必要があります。また、Amazon S3 出力データバケットへの Amazon S3 PutObject のアクセス許可も付与します。

次のアクセスポリシー例には、これらのアクセス許可が含まれています。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::output bucket/*"
            ],
            "Effect": "Allow"
        }
    ]
}

カスタマーマネージドポリシーの例

このセクションでは、さまざまな Amazon Comprehend Medical アクションのアクセス許可を付与するユーザーポリシー例を示しています。これらのポリシーは、AWS SDK または AWS CLI を使用しているときに機能します。コンソールを使用している場合、すべての Amazon Comprehend Medical API にアクセス許可を付与する必要があります。これについては、「Amazon Comprehend Medical コンソールを使用するために必要なアクセス許可」を参照してください。

注記

すべての例で、us-east-2 リージョンを使用し、架空のアカウント ID を含めています。

例 1: すべての Amazon Comprehend Medical アクションを許可する

にサインアップしたら AWS、ユーザーの作成やアクセス許可の管理など、アカウントを管理する管理者を作成します。

すべての Amazon Comprehend アクションのアクセス許可を持つユーザーを作成できます。このユーザーは、Amazon Comprehend を使用するためのサービス固有の管理者と考えてください。このユーザーに以下のアクセス権限をアタッチできます。

JSON
{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowAllComprehendMedicalActions",
      "Effect": "Allow",
      "Action": [
         "comprehendmedical:*"],
      "Resource": "*"
      }
   ]
}

例 2: DetectEntities アクションのみを許可する

次のアクセス許可ポリシーでは、Amazon Comprehend Medical でエンティティを検出するためのアクセス許可がユーザーに付与されますが、PHI オペレーションを検出するためのアクセス許可は付与されません。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDetectEntityActions",
            "Effect": "Allow",
            "Action": [
                "comprehendmedical:DetectEntitiesV2"
            ],
            "Resource": "*"
        }
    ]
}