翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# データ暗号化
<a name="data-encryption"></a>

データ暗号化とは、転送中と保管中のデータをすることです。で管理 Amazon S3されたキーを使用するか、転送中に標準の Transport Layer Security (TLS) とともに KMS keys 保管することで、データを保護できます。

## 保管中の暗号化
<a name="encryption-rest"></a>

Amazon Transcribe は、 Amazon S3 バケットに配置されたトランスクリプトのサーバー側の暗号化にデフォルト Amazon S3 キー (SSE-S3) を使用します。

[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html) オペレーションを使用すると、独自の を指定 KMS key して、文字起こしジョブからの出力を暗号化できます。

Amazon Transcribe は、デフォルトキーで暗号化された Amazon EBS ボリュームを使用します。

## 転送中の暗号化
<a name="encryption-transit"></a>

Amazon Transcribe は、TLS 1.2 と AWS 証明書を使用して、転送中のデータを暗号化します。ストリーミング文字起こしも対象になります。

## キー管理
<a name="key-management"></a>

Amazon Transcribe は と連携して KMS keys 、データの暗号化を強化します。を使用すると Amazon S3、文字起こしジョブの作成時に入力メディアを暗号化できます。との統合 AWS KMS により、[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html)リクエストからの出力を暗号化できます。

を指定しない場合 KMS key、文字起こしジョブの出力はデフォルト Amazon S3 キー (SSE-S3) で暗号化されます。

詳細については AWS KMS、「 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)」を参照してください。

### を使用したキー管理 AWS マネジメントコンソール
<a name="kms-console"></a>

文字起こしジョブの出力を暗号化するには、リクエスト AWS アカウント を行っている KMS key に を使用するか、別の KMS key から を使用するかを選択できます AWS アカウント。

を指定しない場合 KMS key、文字起こしジョブの出力はデフォルト Amazon S3 キー (SSE-S3) で暗号化されます。

**出力の暗号化を有効にする**

1. [**出力データ**] で、[**暗号化**] を選択します。  
![有効な暗号化トグルと KMS key ID ドロップダウンメニューのスクリーンショット。](http://docs.aws.amazon.com/ja_jp/transcribe/latest/dg/images/output-encryption.png)

1.  KMS key が現在使用している AWS アカウント からか、別の からかを選択します AWS アカウント。現在の のキーを使用する場合は AWS アカウント、**KMS key ID** からキーを選択します。別の のキーを使用している場合は AWS アカウント、キーの ARN を入力する必要があります。別の のキーを使用するには AWS アカウント、呼び出し元に の`kms:Encrypt`アクセス許可が必要です KMS key。詳細については、「[キーポリシーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html)」を参照してください。

### API を使用したキーの管理
<a name="kms-api"></a>

API で出力暗号化を使用するには、、[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartCallAnalyticsJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartCallAnalyticsJob.html)、[https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartMedicalTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartMedicalTranscriptionJob.html)または [https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html)オペレーションの `OutputEncryptionKMSKeyId`パラメータ KMS key を使用して を指定する必要があります。

**現在の** AWS アカウントにあるキーを使用する場合は、次の 4 つの方法のいずれか KMS key で を指定できます。

1.  KMS key ID 自体を使用します。例えば、`1234abcd-12ab-34cd-56ef-1234567890ab`。

1.  KMS key ID にエイリアスを使用します。例えば、`alias/ExampleAlias`。

1.  KMS key ID に Amazon リソースネーム (ARN) を使用します。例えば、`arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab`。

1. エイリアスに ARN KMS key を使用します。例えば、`arn:aws:kms:region:account-ID:alias/ExampleAlias`。

現在の **とは異なる** AWS アカウント にあるキーを使用する場合は AWS アカウント、次の 2 つの方法のいずれか KMS key で を指定できます。

1.  KMS key ID に ARN を使用します。例えば、`arn:aws:kms:region:account-ID:key/1234abcd-12ab-34cd-56ef-1234567890ab`。

1. エイリアスに ARN KMS key を使用します。例えば、`arn:aws:kms:region:account-ID:alias/ExampleAlias`。

リクエストを行うエンティティには、指定した KMS keyを使用するためのアクセス許可が必要です。

## AWS KMS 暗号化コンテキスト
<a name="kms-context"></a>

AWS KMS 暗号化コンテキストは、プレーンテキストの非シークレットキーと値のペアのマップです。このマップは、暗号化コンテキストペアと呼ばれる追加の認証済みデータを表し、データにセキュリティレイヤーを追加します。 では、お客様が指定した Amazon S3 バケットへの文字起こし出力を暗号化するために対称暗号化キー Amazon Transcribe が必要です。[詳細については、「 AWS KMSの非対称キー」を参照してください](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html)。

暗号化コンテキストペアを作成するときは、機密情報を含め**ない**でください。暗号化コンテキストはシークレットではなく、 CloudTrail ログ内のプレーンテキストで表示されます (これを使用して暗号化オペレーションを識別および分類できます）。

暗号化コンテキストのキーと値には、アンダースコア (`_`)、ダッシュ (`-`)、スラッシュ (`/`、`\`) 、コロン (`:`) などの特殊文字を含めることができます。

**ヒント**  
暗号化コンテキストペアの値を暗号化されるデータに関連付けると便利です。必須ではありませんが、ファイル名、ヘッダー値、暗号化されていないデータベースフィールドなど、暗号化されたコンテンツに関連する機密性のないメタデータを使用することをお勧めします。

API による出力暗号化を使用するには、`KMSEncryptionContext` パラメータを [https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_StartTranscriptionJob.html) オペレーションに設定します。出力暗号化オペレーションに暗号化コンテキストを提供するために、`OutputEncryptionKMSKeyId` パラメータは対称 KMS key ID を参照する必要があります。

 IAM ポリシーで[AWS KMS 条件キー](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms)を使用して、暗号化オペレーションのリクエストで使用された暗号化コンテキスト KMS key に基づいて、対称暗号化へのアクセスを制御できます。 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations)暗号化コンテキストポリシーの例については、「[AWS KMS 暗号化コンテキストポリシー](security_iam_id-based-policy-examples.md#kms-context-policy)」を参照してください。

暗号化コンテキストの使用は任意ですが、推奨されています。詳細については、「[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)」を参照してください。