資料加密 - Amazon Transcribe
靜態加密傳輸中加密金鑰管理AWS KMS 加密內容

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

資料加密

資料加密是指無需保護傳輸中和靜態資料。在傳輸過程中,您可以使用Amazon S3託管密鑰或KMS keys靜態密鑰以及標準傳輸層安全性(TLS)來保護您的數據。

靜態加密

Amazon Transcribe使用預設Amazon S3金鑰 (SSE-S3) 來進行Amazon S3儲存貯體中的成績單的伺服器端加密。

使用此StartTranscriptionJob作業時,您可以指定自己的項目KMS key來加密轉錄工作的輸出。

Amazon Transcribe 使用透過預設金鑰加密的 Amazon EBS 磁碟區。

傳輸中加密

Amazon Transcribe 將 TLS 1.2 與 AWS 憑證搭配使用,以加密傳輸中的資料。這包括流轉錄。

金鑰管理

Amazon Transcribe與一起KMS keys為您的資料提供增強的加密。使用Amazon S3,您可以在建立轉錄工作時加密輸入媒體。與集成AWS KMS允許對StartTranscriptionJob請求的輸出進行加密。

如果未指定KMS key,轉錄工作的輸出會使用預設Amazon S3金鑰加密 (SSE-S3)。

如需詳細資訊AWS KMS,請參閱AWS Key Management Service開發人員指南

若要加密轉錄工作的輸出,您可以選擇使用正在提KMS key出要求的輸KMS key出,或使用另一個AWS 帳戶。AWS 帳戶

如果未指定KMS key,轉錄工作的輸出會使用預設Amazon S3金鑰加密 (SSE-S3)。

若要啟用輸出加密:

  1. Output data (輸出資料) 下方,選擇 Encryption (加密)

    啟用加密切換和KMS key ID 下拉菜單的屏幕截圖。

  2. 選擇KMS key是否來自AWS 帳戶您目前正在使用的或來自不同的AWS 帳戶。如果要使用當前密鑰AWS 帳戶,請從 KMS keyID 中選擇密鑰。如果您使用不同的金鑰AWS 帳戶,您必須輸入金鑰的 ARN。若要使用不同的金鑰AWS 帳戶,呼叫kms:Encrypt者必須具有KMS key. 如需詳細資訊,請參閱建立金鑰原則

若要搭配 API 使用輸出加密,您必須KMS key使用StartCallAnalyticsJobStartMedicalTranscriptionJob、或StartTranscriptionJob作業的OutputEncryptionKMSKeyId參數來指定。

如果使用位於目前的金鑰AWS 帳戶,您可以使用下列四種方式KMS key之一來指定您的金鑰:

  1. 使用KMS key ID 本身。例如:1234abcd-12ab-34cd-56ef-1234567890ab

  2. 使用別名作為KMS key ID。例如:alias/ExampleAlias

  3. 使用 Amazon Resource Name (ARN)。KMS key例如:arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab

  4. 使用 ARN 作為KMS key別名。例如:arn:aws:kms:region:account-ID:alias/ExampleAlias

如果使用與目前不同AWS 帳戶的金鑰AWS 帳戶,您可以使用以下兩種方式KMS key之一來指定您的金鑰:

  1. 使用 ARN 作為KMS key識別碼。例如:arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab

  2. 使用 ARN 作為KMS key別名。例如:arn:aws:kms:region:account-ID:alias/ExampleAlias

請注意,提出請求的實體必須得到許可才能使用指定的KMS key。

AWS KMS 加密內容

AWS KMS加密上下文是純文本,非秘密鍵:值對的映射。此對映代表其他已驗證的資料 (稱為加密內容配對),可為您的資料提供額外的安全層。 Amazon Transcribe需要對稱加密金鑰,才能將轉錄輸出加密到客戶指定的Amazon S3儲存貯體中。若要進一步,請參閱無對稱金鑰,請參閱AWS KMS。

建立加密內容配對時,請勿包含敏感資訊。加密內容不會保密 — 在CloudTrail記錄檔中會以純文字顯示 (因此您可以使用它來識別和分類您的加密作業)。

您的加密內容配對可以包含特殊字元,例如底線 (_-)、破折號 ()、斜線 (/,\) 和冒號 (:)。

提示

將加密內容配對中的值與要加密的資料相關聯會很有用。雖然不是必要的,但我們建議您使用與加密內容相關的非敏感中繼資料,例如檔案名稱、標頭值或未加密的資料庫欄位。

若要搭配 API 使用輸出加密,請在StartTranscriptionJob作業中設定KMSEncryptionContext參數。為了提供輸出加密作業的加密內容,OutputEncryptionKMSKeyId參數必須參照對稱KMS key ID。

您可以將AWS KMS條件金鑰與IAM原則搭配使用,KMS key根據密碼編譯作業要求中使用的加密內容來控制對稱加密的存取。如需加密內容原則的範例,請參閱AWS KMS加密內容政策

使用加密內容是選用操作,但建議您採用。如需,請參閱加密內容