Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Membuat kunci yang dikelola pelanggan
<a name="health-scribe-encryption-customer"></a>

 Anda dapat membuat kunci yang dikelola pelanggan simetris dengan menggunakan Konsol Manajemen AWS, atau. AWS KMS APIs Untuk membuat kunci terkelola pelanggan simetris, ikuti langkah-langkah untuk [Membuat kunci terkelola pelanggan simetris](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html#create-symmetric-cmk) di Panduan AWS Key Management Service Pengembang. 

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci yang dikelola pelanggan](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) di Panduan AWS Key Management Service Pengembang. 

## AWS KMS kebijakan utama untuk AWS HealthScribe
<a name="health-scribe-key-policies"></a>

 Jika Anda menggunakan kunci di akun yang sama dengan IAM peran yang Anda tentukan sebagai `ResourceAccessRole` dalam [StartMedicalScribeJob](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_StartMedicalScribeJob.html)atau [StartMedicalScribeStream](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_streaming_StartMedicalScribeStream.html)permintaan Anda, Anda tidak perlu memperbarui Kebijakan Kunci. `DataAccessRole` Untuk menggunakan kunci terkelola pelanggan Anda di akun yang berbeda sebagai DataAccessRole (untuk pekerjaan transkripsi) atau ResourceAccessRole (untuk streaming), Anda harus mempercayai peran masing-masing dalam Kebijakan Utama untuk tindakan berikut:
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_Encrypt.html)— Memungkinkan enkripsi menggunakan kunci yang dikelola pelanggan
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html)— Memungkinkan dekripsi menggunakan kunci yang dikelola pelanggan
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_DescribeKey.html)— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan AWS HealthScribe memvalidasi kunci

Berikut ini adalah contoh kebijakan utama yang dapat Anda gunakan untuk memberikan izin ResourceAccessRole lintas akun Anda untuk menggunakan kunci yang dikelola pelanggan Anda untuk AWS HealthScribe streaming. Untuk menggunakan kebijakan ini untuk pekerjaan transkripsi, `Principal` perbarui penggunaan DataAccessRole ARN, lalu hapus atau ubah konteks enkripsi.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {  
         "Sid": "AllowAccessForKeyAdministrators", 
         "Effect": "Allow", 
         "Principal": {
            "AWS": "arn:aws:iam::111122223333:root" 
         }, 
         "Action": [
           "kms:*" 
         ], 
         "Resource": "*"
      },
      {
         "Sid": "AllowAccessToResourceAccessRoleForMedicalScribe",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
         },
         "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:GenerateDataKey*"
         ],
         "Resource": "*",
         "Condition": {
            "StringEquals": {
                "kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
            }
         }
      },
      {
         "Sid": "AllowAccessToResourceAccessRoleForDescribeKey",
         "Effect": "Allow",
         "Principal": {
             "AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
         },
         "Action": "kms:DescribeKey",
         "Resource": "*"
     }
   ]
}
```

------

## Izin kebijakan IAM untuk peran akses
<a name="health-scribe-key-data-access-role"></a>

 Kebijakan IAM yang dilampirkan pada Anda DataAccessRole atau ResourceAccessRole harus memberikan izin untuk melakukan AWS KMS tindakan yang diperlukan, terlepas dari apakah kunci dan peran yang dikelola pelanggan berada di akun yang sama atau berbeda. Juga, kebijakan kepercayaan peran harus memberikan AWS HealthScribe izin untuk mengambil peran tersebut.

Contoh kebijakan IAM berikut menunjukkan cara memberikan ResourceAccessRole izin untuk AWS HealthScribe streaming. Untuk menggunakan kebijakan ini untuk pekerjaan transkripsi, ganti `transcribe.streaming.amazonaws.com` dengan `transcribe.amazonaws.com` dan hapus atau ubah konteks enkripsi.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "transcribe.streaming.amazonaws.com",
                    "kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "transcribe.streaming.amazonaws.com"
                }
            }
        }
    ]
}
```

------

Berikut ini adalah contoh kebijakan kepercayaan untuk ResourceAccessRole. Untuk DataAccessRole, ganti `transcribe.streaming.amazonaws.com` dengan`transcribe.amazonaws.com`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "transcribe.streaming.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*"
                }
            }
        }
    ]
}
```

------

 Untuk informasi selengkapnya tentang [menentukan izin dalam kebijakan](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#overview-policy-elements) atau [akses kunci pemecahan masalah](https://docs.aws.amazon.com//kms/latest/developerguide/policy-evaluation.html#example-no-iam), lihat Panduan Pengembang. AWS Key Management Service