翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# カスタマーマネージドキーの作成
対称カスタマーマネージドキーは AWS マネジメントコンソール、、または AWS KMS APIs を使用して作成できます。対称カスタマーマネージドキーを作成するには、「 AWS Key Management Service デベロッパーガイド」の[「対称カスタマーマネージドキーの作成](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html#create-symmetric-cmk)」の手順に従います。
キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。キーポリシーは、カスタマーマネージドキーの作成時に指定できます。詳細については、「 AWS Key Management Service デベロッパーガイド」の[「カスタマーマネージドキーへのアクセスの管理](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access)」を参照してください。
## AWS KMS AWS HealthScribe の キーポリシー
StartMedicalScribeJob または `DataAccessRole` `ResourceAccessRole`[StartMedicalScribeStream](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_streaming_StartMedicalScribeStream.html) リクエストで として指定した IAM ロールと同じアカウントのキーを使用している場合は、キーポリシーを更新する必要はありません。 [StartMedicalScribeJob](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_StartMedicalScribeJob.html) DataAccessRole (文字起こしジョブ用) または ResourceAccessRole (ストリーミング用) として別のアカウントでカスタマーマネージドキーを使用するには、キーポリシーのそれぞれのロールを以下のアクションで信頼する必要があります。
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_Encrypt.html) — カスタマーマネージドキーを使用した暗号化を許可します。
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) — カスタマーマネージドキーを使用した復号を許可します。
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_DescribeKey.html) — カスタマーマネージドキーの詳細を提供し、 AWS HealthScribe がキーを検証できるようにします。
以下は、 AWS HealthScribe ストリーミング用のカスタマーマネージドキーを使用するためのアクセス許可を ResourceAccessRole クロスアカウントに付与するために使用できるキーポリシーの例です。このポリシーを文字起こしジョブに使用するには、DataAccessRole ARN を使用するように `Principal` を更新し、暗号化コンテキストを削除または変更します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "AllowAccessForKeyAdministrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:*"
],
"Resource": "*"
},
{
"Sid": "AllowAccessToResourceAccessRoleForMedicalScribe",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
}
},
{
"Sid": "AllowAccessToResourceAccessRoleForDescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
```
------
## アクセスロールの IAM ポリシーアクセス許可
DataAccessRole または ResourceAccessRole にアタッチされた IAM ポリシーは、カスタマー管理のキーとロールが同じアカウントにあるか異なるアカウントにあるかに関係なく、必要な AWS KMS アクションを実行するためのアクセス許可を付与する必要があります。また、ロールの信頼ポリシーは、ロールを引き受ける権限を AWS HealthScribe に付与する必要があります。
次の IAM ポリシーの例は、 AWS HealthScribe ストリーミングの ResourceAccessRole アクセス許可を付与する方法を示しています。このポリシーを文字起こしジョブに使用するには、`transcribe.streaming.amazonaws.com` を `transcribe.amazonaws.com` に置き換え、暗号化コンテキストを削除または変更します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId",
"Condition": {
"StringEquals": {
"kms:ViaService": "transcribe.streaming.amazonaws.com",
"kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId",
"Condition": {
"StringEquals": {
"kms:ViaService": "transcribe.streaming.amazonaws.com"
}
}
}
]
}
```
------
ResourceAccessRole の信頼ポリシーの例を次に示します。DataAccessRole の場合は、`transcribe.streaming.amazonaws.com` を `transcribe.amazonaws.com` に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "transcribe.streaming.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*"
}
}
}
]
}
```
------
[ポリシーでのアクセス許可の指定またはキーアクセスのトラブルシューティングの詳細については、](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#overview-policy-elements)「 AWS Key Management Service デベロッパーガイド」を参照してください。 [https://docs.aws.amazon.com//kms/latest/developerguide/policy-evaluation.html#example-no-iam](https://docs.aws.amazon.com//kms/latest/developerguide/policy-evaluation.html#example-no-iam)