Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement des données au repos pour AWS HealthScribe
Par défaut, AWS HealthScribe fournit un chiffrement au repos pour protéger les données sensibles des clients à l'aide de clés AWS HealthScribe managed AWS Key Management Service (AWS KMS). Le chiffrement des données au repos par défaut permet de réduire les frais opérationnels et la complexité liés à la protection des données sensibles. Il vous permet également de créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement. Lorsque vous créez une tâche de AWS HealthScribe transcription ou que vous démarrez un flux, vous pouvez spécifier une clé gérée par le client. Cela ajoute une deuxième couche de chiffrement.
+ **AWS HealthScribe AWS KMS clés gérées** : AWS HealthScribe utilise les clés AWS HealthScribe managed AWS Key Management Service (AWS KMS) par défaut pour chiffrer automatiquement les fichiers intermédiaires. Vous ne pouvez pas désactiver cette couche de chiffrement ni choisir un autre type de chiffrement. Vous ne pouvez pas afficher, gérer ou utiliser les clés, ni auditer leur utilisation. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données.
+ **Clés gérées par le client** : AWS HealthScribe prend en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez pour ajouter une deuxième couche de chiffrement par rapport au chiffrement existant détenu par AWS. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :
+ Établissement et gestion des stratégies de clé
+ Établir et maintenir IAM des politiques et des subventions
+ Activation et désactivation des stratégies de clé
+ Rotation des matériaux de chiffrement de clé
+ Ajout de balises
+ Création d’alias de clé
+ Planification des clés pour la suppression
Pour plus d'informations, consultez la section [clé gérée par le client](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#customer-cmk) dans le guide du AWS Key Management Service développeur.
**Note**
AWS HealthScribe active automatiquement le chiffrement au repos à l'aide de clés AWS détenues par des utilisateurs afin de protéger gratuitement les données personnelles identifiables. Toutefois, AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS Key Management Service](https://aws.amazon.com//kms/pricing/).
Pour plus d'informations sur AWS KMS, voir [Qu'est-ce que AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
**Topics**
+ [Création d'une clé gérée par le client](health-scribe-encryption-customer.md)
+ [Spécification d'une clé gérée par le client pour AWS HealthScribe](#health-scribe-encryption-managed)
+ [AWS KMS contexte de chiffrement](#health-scribe-encryption-context)
+ [Surveillance de vos clés de chiffrement pour AWS HealthScribe](#hscribe-monitoring-keys)
# Création d'une clé gérée par le client
Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console, ou le AWS KMS APIs. Pour créer une clé symétrique gérée par le client, suivez les étapes de [création d'une clé symétrique gérée par le client](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le guide du AWS Key Management Service développeur.
Les stratégies de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez [la section Gestion de l'accès aux clés gérées par le client](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) dans le Guide du AWS Key Management Service développeur.
## AWS KMS politiques clés pour AWS HealthScribe
Si vous utilisez une clé dans le même compte que le IAM rôle que vous avez indiqué dans votre demande [StartMedicalScribeJob](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_StartMedicalScribeJob.html)ou `DataAccessRole` `ResourceAccessRole` dans votre [StartMedicalScribeStream](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_streaming_StartMedicalScribeStream.html)demande, vous n'avez pas besoin de mettre à jour la politique relative aux clés. Pour utiliser votre clé gérée par le client dans un autre compte que le vôtre DataAccessRole (pour les tâches de transcription) ou ResourceAccessRole (pour le streaming), vous devez faire confiance au rôle correspondant dans la politique clé pour les actions suivantes :
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_Encrypt.html) : autorise le chiffrement à l’aide de la CMK.
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) : autorise le déchiffrement à l’aide de la CMK.
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_DescribeKey.html)— Fournit les informations clés gérées par le client pour AWS HealthScribe permettre de valider la clé
Voici un exemple de politique clé que vous pouvez utiliser pour accorder à vos comptes multiples ResourceAccessRole l'autorisation d'utiliser votre clé gérée par le client pour le AWS HealthScribe streaming. Pour utiliser cette politique pour les tâches de transcription, mettez `Principal` à jour le pour utiliser l' DataAccessRole ARN et supprimez ou modifiez le contexte de chiffrement.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "AllowAccessForKeyAdministrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:*"
],
"Resource": "*"
},
{
"Sid": "AllowAccessToResourceAccessRoleForMedicalScribe",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
}
},
{
"Sid": "AllowAccessToResourceAccessRoleForDescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
```
------
## Autorisations de politique IAM pour les rôles d'accès
La politique IAM associée à votre compte DataAccessRole ou ResourceAccessRole doit accorder les autorisations nécessaires pour effectuer les AWS KMS actions nécessaires, que la clé et le rôle gérés par le client se trouvent dans le même compte ou dans des comptes différents. En outre, la politique de confiance du rôle doit accorder AWS HealthScribe l'autorisation d'assumer le rôle.
L'exemple de politique IAM suivant montre comment accorder des ResourceAccessRole autorisations pour le AWS HealthScribe streaming. Pour utiliser cette politique pour les tâches de transcription, remplacez `transcribe.streaming.amazonaws.com` par le contexte `transcribe.amazonaws.com` de chiffrement, supprimez-le ou modifiez-le.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId",
"Condition": {
"StringEquals": {
"kms:ViaService": "transcribe.streaming.amazonaws.com",
"kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId",
"Condition": {
"StringEquals": {
"kms:ViaService": "transcribe.streaming.amazonaws.com"
}
}
}
]
}
```
------
Voici un exemple de politique de confiance pour ResourceAccessRole. Pour DataAccessRole, remplacez `transcribe.streaming.amazonaws.com` par`transcribe.amazonaws.com`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "transcribe.streaming.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*"
}
}
}
]
}
```
------
Pour plus d'informations sur la [spécification des autorisations dans une politique ou la](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#overview-policy-elements) [résolution des problèmes d'accès par clé](https://docs.aws.amazon.com//kms/latest/developerguide/policy-evaluation.html#example-no-iam), consultez le guide du AWS Key Management Service développeur.
## Spécification d'une clé gérée par le client pour AWS HealthScribe
Vous pouvez spécifier une clé gérée par le client comme deuxième couche de chiffrement pour les tâches de transcription ou le streaming.
+ Pour les tâches de transcription, vous devez spécifier votre clé dans l'[OutputEncryptionKMSKeyID](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_StartMedicalScribeJob.html#transcribe-StartMedicalScribeJob-request-OutputEncryptionKMSKeyId) de votre opération d'[StartMedicalScribeJob](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_StartMedicalScribeJob.html)API.
+ Pour le streaming, vous devez spécifier la clé [MedicalScribeEncryptionSettings](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_streaming_MedicalScribeEncryptionSettings.html)dans le [MedicalScribeConfigurationEvent](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_streaming_MedicalScribeConfigurationEvent.html).
## AWS KMS contexte de chiffrement
AWS KMS le contexte de chiffrement est une carte de paires clé:valeur non secrètes en texte brut. Cette carte représente des données authentifiées supplémentaires, appelées paires de contextes de chiffrement, qui fournissent une couche de sécurité supplémentaire à vos données. AWS HealthScribe nécessite une clé de chiffrement symétrique pour chiffrer la AWS HealthScribe sortie dans un compartiment spécifié par le client Amazon S3 . Pour en savoir plus, consultez la section [Clés asymétriques dans AWS KMS](https://docs.aws.amazon.com//kms/latest/developerguide/symmetric-asymmetric.html).
Lorsque vous créez vos paires de contextes de chiffrement, *n’incluez pas* d’informations sensibles. Le contexte de chiffrement n'est pas secret : il est visible en texte brut dans vos CloudTrail journaux (vous pouvez donc l'utiliser pour identifier et classer vos opérations cryptographiques). La paire de contextes de chiffrement peut inclure des caractères spéciaux, notamment des traits de soulignement (`_`), des tirets (`-`), des barres obliques (`/`, `\`) et deux points (`:`).
**Astuce**
Il peut être utile de relier les valeurs de votre paire de contextes de chiffrement aux données chiffrées. Bien que cela ne soit pas obligatoire, nous vous recommandons d’utiliser des métadonnées non sensibles relatives à votre contenu chiffré, telles que les noms de fichiers, les valeurs d’en-tête ou les champs de base de données non chiffrés.
Pour utiliser le chiffrement de sortie avec l'API, définissez le paramètre [KMSEncryptionContext](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_StartMedicalScribeJob.html#transcribe-StartMedicalScribeJob-request-KMSEncryptionContext) dans l'[StartMedicalScribeJob](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_StartMedicalScribeJob.html)opération. Afin de fournir un contexte de chiffrement pour l'opération de chiffrement en sortie, le paramètre [OutputEncryptionKMSKeyId](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_StartMedicalScribeJob.html#transcribe-StartMedicalScribeJob-request-OutputEncryptionKMSKeyId) doit faire référence à un identifiant de AWS KMS clé symétrique.
Pour le streaming, vous spécifiez les paires clé-valeur pour le `KmsEncryptionContext` in [MedicalScribeEncryptionSettings](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_streaming_MedicalScribeEncryptionSettings.html)dans votre [MedicalScribeConfigurationEvent](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_streaming_MedicalScribeConfigurationEvent.html).
Vous pouvez utiliser des [clés de AWS KMS condition](https://docs.aws.amazon.com//kms/latest/developerguide/policy-conditions.html#conditions-kms) IAM associées à des politiques pour contrôler l'accès à une AWS KMS clé de chiffrement symétrique en fonction du contexte de chiffrement utilisé dans la demande d'opération [cryptographique](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#cryptographic-operations). Pour un exemple de politique de contexte de chiffrement, consultez [Politique de contexte de chiffrement AWS KMS](https://docs.aws.amazon.com//transcribe/latest/dg/security_iam_id-based-policy-examples.html#kms-context-policy).
L’utilisation du contexte de chiffrement est facultative mais recommandée. Pour plus d’informations, consultez la section [Contexte de chiffrement](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#encrypt_context).
### AWS HealthScribe contexte de chiffrement
AWS HealthScribe utilise le même contexte de chiffrement dans toutes les opérations AWS Key Management Service cryptographiques. Le contexte de chiffrement est une carte de chaîne à chaîne qui peut être personnalisée comme vous le souhaitez.
```
"encryptionContext": {
"ECKey": "ECValue"
...
}
```
Pour les AWS HealthScribe flux, voici le contexte de chiffrement généré par le service par défaut. Il applique ce contexte au-dessus de tout contexte de chiffrement que vous fournissez.
```
"encryptionContext": {
"aws::transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
```
Pour les tâches de AWS HealthScribe transcription, voici le contexte de chiffrement généré par le service par défaut. Il applique ce contexte au-dessus de tout contexte de chiffrement que vous fournissez.
```
"encryptionContext": {
"aws::transcribe:medical-scribe:job-name": "",
"aws::transcribe:medical-scribe:start-time-epoch-ms": ""
}
```
Si vous ne fournissez aucun contexte de chiffrement, seul le contexte de chiffrement généré par le service sera utilisé pour toutes les opérations AWS KMS cryptographiques.
**Surveillance AWS HealthScribe avec contexte de chiffrement**
Lorsque vous utilisez une clé symétrique gérée par le client pour chiffrer vos données au repos AWS HealthScribe, vous pouvez également utiliser le contexte de chiffrement dans les enregistrements d'audit et les journaux pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou dans CloudWatch les journaux.
**Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le client**
Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l’accès à votre clé symétrique gérée par le client.
Vous trouverez ci-dessous des exemples d’instructions de stratégie de clé permettant d’accorder l’accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette déclaration de politique exige que les utilisations des clés KMS soient soumises à une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToResourceAccessRoleForMedicalScribe",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"kms:EncryptionContext:ECKey": "ECValue"
}
}
},
{
"Sid": "AllowAccessToResourceAccessRoleForDescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
},
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId"
}
]
}
```
------
## Surveillance de vos clés de chiffrement pour AWS HealthScribe
Lorsque vous utilisez une clé gérée par le AWS Key Management Service client avec AWS HealthScribe, vous pouvez utiliser AWS CloudTrail CloudWatch ou enregistrer pour suivre les demandes AWS HealthScribe envoyées à AWS KMS.
Les exemples suivants sont des événements de CloudTrail chiffrement et de déchiffrement que vous pouvez utiliser pour surveiller l' AWS HealthScribe utilisation de votre clé gérée par le client.
**Encrypt**
```
{
"eventVersion":"1.09",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE3",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
"accountId":"123456789012",
"userName":"Admin"
},
"attributes":{
"creationDate":"2024-08-16T01:10:05Z",
"mfaAuthenticated":"false"
}
},
"invokedBy":"transcribe.streaming.amazonaws.com"
},
"eventTime":"2024-08-16T01:10:05Z",
"eventSource":"kms.amazonaws.com",
"eventName":"Encrypt",
"awsRegion":"us-east-1",
"sourceIPAddress":"transcribe.streaming.amazonaws.com",
"userAgent":"transcribe.streaming.amazonaws.com",
"requestParameters":{
"encryptionContext":{
"aws:us-east-1:transcribe:medical-scribe:session-id":"1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"encryptionAlgorithm":"SYMMETRIC_DEFAULT",
"keyId":"1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements":null,
"requestID":"cbe0ac33-8cca-49e5-9bb5-dc2b8dfcb389",
"eventID":"1b9fedde-aa96-48cc-9dd9-a2cce2964b3c",
"readOnly":true,
"resources":[
{
"accountId":"123456789012",
"type":"AWS::KMS::Key",
"ARN":"arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType":"AwsApiCall",
"managementEvent":true,
"recipientAccountId":"123456789012",
"eventCategory":"Management"
}
```
**Decrypt**
```
{
"eventVersion":"1.09",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE3",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn":"arn:aws:sts::123456789012:assumed-role/Admin/Sampleuser01",
"accountId":"123456789012",
"userName":"Admin"
},
"attributes":{
"creationDate":"2024-08-16T20:47:04Z",
"mfaAuthenticated":"false"
}
},
"invokedBy":"transcribe.streaming.amazonaws.com"
},
"eventTime":"2024-08-16T20:47:04Z",
"eventSource":"kms.amazonaws.com",
"eventName":"Decrypt",
"awsRegion":"us-east-1",
"sourceIPAddress":"transcribe.streaming.amazonaws.com",
"userAgent":"transcribe.streaming.amazonaws.com",
"requestParameters":{
"keyId":"mrk-de27f019178f4fbf86512ab03ba860be",
"encryptionAlgorithm":"SYMMETRIC_DEFAULT",
"encryptionContext":{
"aws:us-east-1:transcribe:medical-scribe:session-id":"1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
},
"responseElements":null,
"requestID":"8b7fb865-48be-4e03-ac3d-e7bee3ba30a1",
"eventID":"68b7a263-d410-4701-9e2b-20c196628966",
"readOnly":true,
"resources":[
{
"accountId":"123456789012",
"type":"AWS::KMS::Key",
"ARN":"arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType":"AwsApiCall",
"managementEvent":true,
"recipientAccountId":"123456789012",
"eventCategory":"Management"
}
```