密钥管理 - Amazon Transcribe
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

密钥管理

将 Amazon Transcribe 与 AWS Key Management Service (KMS) 配合使用可为您的数据提供增强的加密。Amazon S3 已经允许您在创建转录作业时对输入音频进行加密。通过与 KMS 集成,您可以对 StartTranscriptionJob 操作的输出进行加密。

如果未指定加密密钥,则将使用默认 Amazon S3 密钥 (SSE-S3) 对转录作业的输出进行加密。

使用 AWS 控制台进行 KMS 加密

要对转录作业的输出进行加密,您可以选择使用发出请求的账户的加密密钥,也可以使用其他账户的加密密钥。

如果未指定加密密钥,则将使用默认 Amazon S3 密钥 (SSE-S3) 对转录作业的输出进行加密。

启用输出结果加密

  1. 输出数据下,选择加密

  2. 选择 KMS 客户托管密钥 (CMK) 来自您当前使用的账户还是其他账户。如果要使用来自当前账户的密钥,请从 KMS 密钥 ID 选择密钥。如果您使用来自其他账户的密钥,则需要输入密钥的 ARN。要使用来自其他账户的密钥,调用方必须具有 KMS 密钥的 kms:Encrypt 权限。

使用 API 进行 KMS 加密

要通过 API 使用输出加密,您可以设置 StartTranscriptionJob 操作的 OutputEncryptionKMSKeyId 参数。您可以使用来自当前账户的加密密钥,也可以使用来自其他账户的密钥。您用于创建作业的账户必须具有 KMS 密钥的 kms:Encrypt 权限。

您可以使用以下任意方法来标识当前账户中的 KMS 密钥:

  • KMS 密钥 ID:“1234abcd-12ab-34cd-56ef-1234567890ab”

  • KMS 密钥别名:“alias/ExampleAlias”

您可以使用以下任意方法来标识当前账户或其他账户中的 KMS 密钥:

  • KMS 密钥的 Amazon 资源名称 (ARN):“arn:aws:kms:region:account ID:key/1234abcd-12ab-34cd-56ef-1234567890ab”

  • KMS 密钥别名的 ARN:“arn:aws:kms:region:account ID:alias/ExampleAlias”