Amazon Textract での暗号化

データ暗号化とは、転送中および保管時にデータを保護することです。Amazon S3 マネージドキーを使用して、データを保護できます。AWS KMS key安静時、転送中の標準のトランスポート層セキュリティと並んで。

保管時の暗号化

Amazon Textract でデータを暗号化する主な方法は、サーバー側の暗号化です。Amazon S3 バケットから渡された入力ドキュメントは、Amazon S3 によって暗号化され、アクセスすると復号化されます。リクエストが認証され、お客様がアクセス許可を持っていれば、オブジェクトが暗号化されているかどうかに関係なく同じ方法でアクセスできます。例えば、署名付き URL を使用してオブジェクトを共有する場合、その署名付き URL は、オブジェクトが暗号化されているかどうかに関係なく同じように動作します。さらに、バケット内のオブジェクトをリスト化すると、ListAPI は、オブジェクトが暗号化されているかどうかに関係なく、すべてのオブジェクトのリストを返します。

Amazon Textract は、サーバー側での暗号化に 2 つの相互に排他的な方法を使用します。

Amazon S3 が管理するキーによるサーバー側の暗号化 (SSE-S3)

Amazon S3 が管理するキー (SSE-S3) によるサーバー側の暗号化 (SSE-S3) を使用すると、各オブジェクトは一意のキーで暗号化されます。さらにセキュリティを強化するために、このメソッドは、キー自体が、定期的に更新されるマスターキーで暗号化されます。Amazon S3 のサーバー側の暗号化では、最強のブロック暗号の一つである、256 ビットの高度暗号化規格 (AES−256) を使用してデータを暗号化します。詳細については、「Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

AWS Key Management Service (SSE-KMS) に保存されている KMS キーによるサーバー側の暗号化

AWS Key Management Service (SSE-KMS) に保存されている KMS キーによるサーバー側の暗号化は、SSE-S3 と似ていますが、このサービスを使用した場合はいくつかの追加の利点があり、追加の料金がかかります。Amazon S3 のオブジェクトへの不正アクセスに対する追加の保護を提供する KMS キーを使用するための個別の許可があります。また、SSE−KMS は、KMS キーがいつ誰によって使用されたかを示す監査証跡も提供します。さらに、KMS キーを作成および管理したり、AWS マネージドキーこれは、ユーザー、サービス、およびリージョンに固有です。詳細については、「」を参照してください。サーバー側の暗号化を使用したデータの保護AWS Key Management Service (SSE-KMS) に保存されている KMS キーを使用します。

転送時の暗号化

Amazon Textract は、転送中の Transport Layer Security (TLS) を使用して、サービスとエージェント間で送受信されるデータを暗号化します。さらに、Amazon Textract は VPC エンドポイントを使用して、Amazon Textract がドキュメントを処理するときに使用されるさまざまなマイクロサービス間でデータを送信します。