Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création d'une clé gérée par le client
<a name="health-scribe-encryption-customer"></a>

 Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console, ou le AWS KMS APIs. Pour créer une clé symétrique gérée par le client, suivez les étapes de [création d'une clé symétrique gérée par le client](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le guide du AWS Key Management Service développeur. 

Les stratégies de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez [la section Gestion de l'accès aux clés gérées par le client](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) dans le Guide du AWS Key Management Service développeur. 

## AWS KMS politiques clés pour AWS HealthScribe
<a name="health-scribe-key-policies"></a>

 Si vous utilisez une clé dans le même compte que le IAM rôle que vous avez indiqué dans votre demande [StartMedicalScribeJob](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_StartMedicalScribeJob.html)ou `DataAccessRole` `ResourceAccessRole` dans votre [StartMedicalScribeStream](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_streaming_StartMedicalScribeStream.html)demande, vous n'avez pas besoin de mettre à jour la politique relative aux clés. Pour utiliser votre clé gérée par le client dans un autre compte que le vôtre DataAccessRole (pour les tâches de transcription) ou ResourceAccessRole (pour le streaming), vous devez faire confiance au rôle correspondant dans la politique clé pour les actions suivantes :
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_Encrypt.html) : autorise le chiffrement à l’aide de la CMK.
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) : autorise le déchiffrement à l’aide de la CMK.
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_DescribeKey.html)— Fournit les informations clés gérées par le client pour AWS HealthScribe permettre de valider la clé

Voici un exemple de politique clé que vous pouvez utiliser pour accorder à vos comptes multiples ResourceAccessRole l'autorisation d'utiliser votre clé gérée par le client pour le AWS HealthScribe streaming. Pour utiliser cette politique pour les tâches de transcription, mettez `Principal` à jour le pour utiliser l' DataAccessRole ARN et supprimez ou modifiez le contexte de chiffrement.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {  
         "Sid": "AllowAccessForKeyAdministrators", 
         "Effect": "Allow", 
         "Principal": {
            "AWS": "arn:aws:iam::111122223333:root" 
         }, 
         "Action": [
           "kms:*" 
         ], 
         "Resource": "*"
      },
      {
         "Sid": "AllowAccessToResourceAccessRoleForMedicalScribe",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
         },
         "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:GenerateDataKey*"
         ],
         "Resource": "*",
         "Condition": {
            "StringEquals": {
                "kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
            }
         }
      },
      {
         "Sid": "AllowAccessToResourceAccessRoleForDescribeKey",
         "Effect": "Allow",
         "Principal": {
             "AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
         },
         "Action": "kms:DescribeKey",
         "Resource": "*"
     }
   ]
}
```

------

## Autorisations de politique IAM pour les rôles d'accès
<a name="health-scribe-key-data-access-role"></a>

 La politique IAM associée à votre compte DataAccessRole ou ResourceAccessRole doit accorder les autorisations nécessaires pour effectuer les AWS KMS actions nécessaires, que la clé et le rôle gérés par le client se trouvent dans le même compte ou dans des comptes différents. En outre, la politique de confiance du rôle doit accorder AWS HealthScribe l'autorisation d'assumer le rôle.

L'exemple de politique IAM suivant montre comment accorder des ResourceAccessRole autorisations pour le AWS HealthScribe streaming. Pour utiliser cette politique pour les tâches de transcription, remplacez `transcribe.streaming.amazonaws.com` par le contexte `transcribe.amazonaws.com` de chiffrement, supprimez-le ou modifiez-le.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "transcribe.streaming.amazonaws.com",
                    "kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "transcribe.streaming.amazonaws.com"
                }
            }
        }
    ]
}
```

------

Voici un exemple de politique de confiance pour ResourceAccessRole. Pour DataAccessRole, remplacez `transcribe.streaming.amazonaws.com` par`transcribe.amazonaws.com`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "transcribe.streaming.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*"
                }
            }
        }
    ]
}
```

------

 Pour plus d'informations sur la [spécification des autorisations dans une politique ou la](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#overview-policy-elements) [résolution des problèmes d'accès par clé](https://docs.aws.amazon.com//kms/latest/developerguide/policy-evaluation.html#example-no-iam), consultez le guide du AWS Key Management Service développeur.