本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 針對 Amazon Comprehend Medical 使用以身分為基礎的政策 (IAM 政策)
本主題顯示以身分為基礎的政策範例。這些範例顯示帳戶管理員如何將許可政策連接至 IAM 身分。這可讓使用者、群組和角色執行 Amazon Comprehend Medical 動作。
**重要**
若要了解許可,我們建議使用 [管理 Amazon Comprehend Medical 資源存取許可概觀](security-iam-accesscontrol.md)。
需要此範例政策才能使用 Amazon Comprehend Medical 文件分析動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2",
"comprehendmedical:DetectPHI",
"comprehendmedical:StartEntitiesDetectionV2Job",
"comprehendmedical:ListEntitiesDetectionV2Jobs",
"comprehendmedical:DescribeEntitiesDetectionV2Job",
"comprehendmedical:StopEntitiesDetectionV2Job",
"comprehendmedical:StartPHIDetectionJob",
"comprehendmedical:ListPHIDetectionJobs",
"comprehendmedical:DescribePHIDetectionJob",
"comprehendmedical:StopPHIDetectionJob",
"comprehendmedical:StartRxNormInferenceJob",
"comprehendmedical:ListRxNormInferenceJobs",
"comprehendmedical:DescribeRxNormInferenceJob",
"comprehendmedical:StopRxNormInferenceJob",
"comprehendmedical:StartICD10CMInferenceJob",
"comprehendmedical:ListICD10CMInferenceJobs",
"comprehendmedical:DescribeICD10CMInferenceJob",
"comprehendmedical:StopICD10CMInferenceJob",
"comprehendmedical:StartSNOMEDCTInferenceJob",
"comprehendmedical:ListSNOMEDCTInferenceJobs",
"comprehendmedical:DescribeSNOMEDCTInferenceJob",
"comprehendmedical:StopSNOMEDCTInferenceJob",
"comprehendmedical:InferRxNorm",
"comprehendmedical:InferICD10CM",
"comprehendmedical:InferSNOMEDCT"
],
"Resource": "*"
}
]
}
```
------
此政策有一個陳述式,授予使用 `DetectEntities`和 `DetectPHI`動作的許可。
此政策不指定 `Principal` 元素,因為您不會在以身分為基礎的政策中,指定取得許可的委託人。當您將政策連接至使用者時,這名使用者是隱含委託人。當您將政策連接至 IAM 角色時,角色信任政策中識別的主體會取得 許可。
若要查看所有 Amazon Comprehend Medical API 動作及其適用的資源,請參閱 [Amazon Comprehend Medical API 許可:動作、資源和條件參考](security-iam-resources.md)。
## 使用 Amazon Comprehend Medical 主控台所需的許可
許可參考表列出 Amazon Comprehend Medical API 操作,並顯示每個操作所需的許可。如需 Amazon Comprehend Medical API 許可的詳細資訊,請參閱 [Amazon Comprehend Medical API 許可:動作、資源和條件參考](security-iam-resources.md)。
若要使用 Amazon Comprehend Medical 主控台,請授予下列政策中所示動作的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
Amazon Comprehend Medical 主控台需要這些許可,原因如下:
+ `iam` 列出您帳戶可用 IAM 角色的許可。
+ `s3` 存取包含資料的 Amazon S3 儲存貯體和物件的許可。
當您使用主控台建立非同步批次任務時,您也可以為任務建立 IAM 角色。若要使用主控台建立 IAM 角色,必須授予使用者此處顯示的額外許可,以建立 IAM 角色和政策,並將政策連接到角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Amazon Comprehend Medical 主控台需要這些許可才能建立角色和政策,以及連接角色和政策。`iam:PassRole` 動作可讓主控台將角色傳遞給 Amazon Comprehend Medical。
## Amazon Comprehend Medical 的 AWS 受管 (預先定義) 政策
AWS 獨立的 IAM 政策由 AWS 所建立與管理,可用來解決許多常用案例。這些 AWS 受管政策會授予常用案例所需的許可,讓您免於調查所需的許可。如需詳細資訊,請參閱《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)》中的 *AWS Managed Policies* (AWS 受管政策)。
下列 AWS 受管政策是 Amazon Comprehend Medical 特有的,您可以連接到您帳戶中的使用者。
+ **ComprehendMedicalFullAccess** – 授予 Amazon Comprehend Medical 資源的完整存取權。包含列出和取得 IAM 角色的許可。
您必須將下列其他政策套用至使用 Amazon Comprehend Medical 的任何使用者:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "comprehendmedical.amazonaws.com"
}
}
}
]
}
```
------
您可以登入 IAM 主控台並在其中搜尋特定政策,以檢閱受管許可政策。
這些政策會在您使用 AWS 開發套件或 AWS CLI 時運作。
您也可以建立自己的 IAM 政策,以允許 Amazon Comprehend Medical 動作和資源的許可。您可以將這些自訂政策連接到需要它們的 IAM 使用者或群組。
## 批次操作所需的角色型許可
若要使用 Amazon Comprehend Medical 非同步操作,請將包含文件集合的 Amazon S3 儲存貯體存取權授予 Amazon Comprehend Medical。在您的帳戶中建立資料存取角色以信任 Amazon Comprehend Medical 服務主體來執行此操作。如需建立角色的詳細資訊,請參閱《[AWS Identity and Access Management 使用者指南》中的建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。 *AWS Identity and Access Management *
以下是角色的信任政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehendmedical.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
建立角色之後,請為其建立存取政策。政策應該將 Amazon S3 `GetObject`和 `ListBucket`許可授予包含您輸入資料的 Amazon S3 儲存貯體。它也會將 Amazon S3 的許可授予`PutObject`您的 Amazon S3 輸出資料儲存貯體。
下列存取政策範例包含這些許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::input bucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::input bucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::output bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
## 客戶管理政策範例
在本節中,您可以找到授予各種 Amazon Comprehend Medical 動作許可的使用者政策範例。這些政策會在您使用 AWS 開發套件或 AWS CLI 時運作。使用主控台時,您必須授予所有 Amazon Comprehend Medical APIs許可。這會在 [使用 Amazon Comprehend Medical 主控台所需的許可](#auth-console-permissions-med) 中討論。
**注意**
所有範例都是使用 us-east-2 區域,並且包含虛構帳戶 ID。
**範例**
### 範例 1:允許所有 Amazon Comprehend Medical 動作
註冊後 AWS,您可以建立管理員來管理您的帳戶,包括建立使用者和管理其許可。
您可以選擇建立具有所有 Amazon Comprehend 動作許可的使用者。將此使用者視為使用 Amazon Comprehend 的服務特定管理員。您可以將以下許可政策附加到此使用者。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAllComprehendMedicalActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:*"],
"Resource": "*"
}
]
}
```
------
### 範例 2:僅允許 DetectEntities 動作
下列許可政策會授予使用者許可,以偵測 Amazon Comprehend Medical 中的實體,但不會偵測 PHI 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDetectEntityActions",
"Effect": "Allow",
"Action": [
"comprehendmedical:DetectEntitiesV2"
],
"Resource": "*"
}
]
}
```
------