Usando políticas (IAMpolíticas) baseadas em identidade para o Amazon Comprehend Medical - Amazon Comprehend Medical
Permissões necessárias para usar o console do Amazon Comprehend MedicalAWSpolíticas gerenciadas (predefinidas) para o Amazon Comprehend MedicalPermissões baseadas em funções necessárias para operações em loteExemplos de política gerenciada pelo cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas (IAMpolíticas) baseadas em identidade para o Amazon Comprehend Medical

Este tópico mostra exemplos de políticas com base em identidade. Os exemplos mostram como um administrador de conta pode anexar políticas de permissões às IAM identidades. Isso permite que usuários, grupos e funções realizem ações do Amazon Comprehend Medical.

Importante

Para entender as permissões, recomendamos Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Comprehend Medical.

Esse exemplo de política é necessário para usar as ações de análise de documentos do Amazon Comprehend Medical.

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowDetectActions",
      "Effect": "Allow",
      "Action": [
                "comprehendmedical:DetectEntitiesV2",
                "comprehendmedical:DetectEntities",
                "comprehendmedical:DetectPHI",
                
                "comprehendmedical:StartEntitiesDetectionV2Job",
                "comprehendmedical:ListEntitiesDetectionV2Jobs",
                "comprehendmedical:DescribeEntitiesDetectionV2Job",
                "comprehendmedical:StopEntitiesDetectionV2Job",

                "comprehendmedical:StartPHIDtectionJob",
                "comprehendmedical:ListPHIDetectionJobs",
                "comprehendmedical:DescribePHIDetectionJob",
                "comprehendmedical:StopPHIDetectionJob",
                
                "comprehendmedical:StartRxNormInferenceJob",
                "comprehendmedical:ListRxNormInferenceJobs",
                "comprehendmedical:DescribeRxNormInferenceJob",
                "comprehendmedical:StopRxNormInferenceJob",

                "comprehendmedical:StartICD10CMInferenceJob",
                "comprehendmedical:ListICD10CMInferenceJobs",
                "comprehendmedical:DescribeICD10CMInferenceJob",
                "comprehendmedical:StopICD10CMInferenceJob",
                
                "comprehendmedical:StartSNOMEDCTInferenceJob",
                "comprehendmedical:ListSNOMEDCTInferenceJobs",
                "comprehendmedical:DescribeSNOMEDCTInferenceJob",
                "comprehendmedical:StopSNOMEDCTInferenceJob",
                
                "comprehendmedical:InferRxNorm",
                "comprehendmedical:InferICD10CM",
                "comprehendmedical:InferSNOMEDCT",

             ],   
      "Resource": "*"
      }
   ]
}

A política tem uma instrução que concede permissão para usar as ações DetectEntities e DetectPHI.

A política não especifica o elemento Principal, porque não se especifica o principal que obtém as permissões em uma política baseada em identidade. Quando você anexar uma política a um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política a uma IAM função, o principal identificado na política de confiança da função obtém a permissão.

Para ver todas as API ações do Amazon Comprehend Medical e os recursos aos quais elas se aplicam, consulte. Amazon Comprehend Medical API Permissions: referência de ações, recursos e condições

Permissões necessárias para usar o console do Amazon Comprehend Medical

A tabela de referência de permissões lista as API operações do Amazon Comprehend Medical e mostra as permissões necessárias para cada operação. Para obter mais informações sobre as permissões do Amazon Comprehend MedicalAPI, consulte. Amazon Comprehend Medical API Permissions: referência de ações, recursos e condições

Para usar o console do Amazon Comprehend Medical, é necessário conceder permissões para as ações exibidas na política a seguir: 


{
  "Version": "2012-10-17",
  "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "iam:CreateRole",
            "iam:CreatePolicy",
            "iam:AttachRolePolicy"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iam:PassRole",
         "Resource": "*",
         "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
         }
      }
   ]
}

O console do Amazon Comprehend Medical precisa dessas permissões pelos seguintes motivos:

  • iampermissões para listar as IAM funções disponíveis para sua conta.

  • Permissões do s3 para acessar buckets e objetos do Amazon S3 que contêm os dados.

Ao criar um trabalho em lotes assíncrono usando o console, você também pode criar uma IAM função para seu trabalho. Para criar uma IAM função usando o console, os usuários devem receber as permissões adicionais mostradas aqui para criar IAM funções e políticas e para anexar políticas às funções.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

O console do Amazon Comprehend Medical precisa dessas permissões para criar funções e políticas e anexar funções e políticas. A ação iam:PassRole permite que o console passe a função para o Amazon Comprehend Medical.

AWSpolíticas gerenciadas (predefinidas) para o Amazon Comprehend Medical

AWSaborda muitos casos de uso comuns fornecendo IAM políticas autônomas que são criadas e administradas pelaAWS. Essas políticas AWS gerenciadas concedem as permissões necessárias para casos de uso comuns, para que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas AWS gerenciadas no Guia IAM do usuário.

A política AWS gerenciada a seguir, que você pode anexar aos usuários em sua conta, é específica do Amazon Comprehend Medical.

  • ComprehendMedicalFullAccess— Concede acesso total aos recursos do Amazon Comprehend Medical. Inclui permissão para listar e obter IAM funções.

Você deve aplicar a seguinte política adicional a qualquer usuário que utilize o Amazon Comprehend Medical:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "comprehendmedical.amazonaws.com"
                }
            }
        }
    ]
}

Você pode revisar as políticas de permissões gerenciadas fazendo login no IAM console e pesquisando políticas específicas nele.

Essas políticas funcionam quando você está usando AWS SDKs ou AWS CLI o.

Você também pode criar suas próprias IAM políticas para permitir permissões para ações e recursos do Amazon Comprehend Medical. Você pode anexar essas políticas personalizadas aos IAM usuários ou grupos que precisam delas.

Permissões baseadas em funções necessárias para operações em lote

Para usar as operações assíncronas do Amazon Comprehend Medical, conceda ao Amazon Comprehend Medical acesso ao bucket do Amazon S3 que contém sua coleção de documentos. Para isso, crie uma função de acesso a dados em sua conta para confiar na entidade principal de serviço do Amazon Comprehend Medical. Para obter mais informações sobre a criação de uma função, consulte Criação de uma função para delegar permissões a um AWS serviço no Guia do usuário do AWS Identity and Access Management.

Veja a seguir a política de confiança da função.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "comprehendmedical.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Depois de criar a função, crie uma política de acesso para ela. A política deve conceder ao Amazon S3 as permissões GetObject e ListBucket ao bucket do Amazon S3 que contém seus dados de entrada. Ela também concede permissões a PutObject do Amazon S3 ao seu bucket de dados de saída do Amazon S3.

O exemplo de política de acesso a seguir contém essas permissões.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::input bucket"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::output bucket/*"
            ],
            "Effect": "Allow"
        }
    ]
}

Exemplos de política gerenciada pelo cliente

Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do Amazon Comprehend Medical. Essas políticas funcionam quando você está usando AWS SDKs ou AWS CLI o. Ao usar o console, você deve conceder permissões a todo o Amazon Comprehend Medical. APIs Isso é discutido em Permissões necessárias para usar o console do Amazon Comprehend Medical.

nota

Todos os exemplos usam a região us-east-2 e contêm uma conta fictícia. IDs

Exemplos

Exemplo 1: permitir todas as ações do Amazon Comprehend Medical

Depois de se inscrever AWS, você cria um administrador para gerenciar sua conta, incluindo a criação de usuários e o gerenciamento de suas permissões.

Você pode escolher criar um usuário que tenha permissões para todas as ações do Amazon Comprehend. Pense nesse usuário como um administrador específico do serviço para trabalhar com o Amazon Comprehend. Você pode anexar a política de permissões a seguir para este usuário.

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowAllComprehendMedicalActions",
      "Effect": "Allow",
      "Action": [
         "comprehendmedical:*"],
      "Resource": "*"
      }
   ]
}

Exemplo 2: Permitir somente DetectEntities ações

A política de permissões a seguir concede permissões ao usuário para detectar entidades no Amazon Comprehend Medical, mas não para detectar operações. PHI

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "AllowDetectEntityActions",
      "Effect": "Allow",
      "Action": [
                "comprehendedical:DetectEntities"
             ],   
            "Resource": "*"
            ]
        }
    ]
}