如何利用 Amazon Transcribe 建立安全应用程式

文章重点

在这篇文章中，我们将探讨如何利用 Amazon Transcribe 的功能来构建符合安全性要求的应用程式。以下是七个安全最佳实践：

1. 使用 Amazon Transcribe 的资料保护功能
2. 透过私有网路进行通讯
3. 根据需要遮蔽敏感资料
4. 为需要访问 Amazon Transcribe 的应用程式和 AWS 服务使用 IAM 角色
5. 使用基于标签的访问控制
6. 使用 AWS 监控工具
7. 启用 AWS Config

Amazon Transcribe 是一项 AWS服务，它可以将语音转换为文字，无论是批次处理还是即时流式处理。这篇文章将介绍如何在满足您安全需求的情况下，利用 Amazon Transcribe的能力强化应用程式。

在许多情况下，客户会将机密和专有的数据交给 AmazonTranscribe。处理的音讯内容可能包含需要受到保护的敏感数据，以遵从当地法律和规范，包括个人识别信息（PII）、个人健康信息（PHI）和支付卡行业（PCI）数据。本文将介绍 Amazon Transcribe 如何在传输和静态状态下保护客户数据。

最佳实践 1 – 使用 Amazon Transcribe 的资料保护功能

Amazon Transcribe 遵循 ，该模型区分了 AWS 在云端安全方面的责任和客户在云端内安全的责任。

AWS 负责保护运行所有 AWS 云服务的全球基础设施，客户则需负责控制在此基础设施上托管的内容，包括 AWS服务的安全配置和管理任务。详细的数据隐私信息请参考 。

保护传输中的数据

透过数据加密，确保应用程式与 Amazon Transcribe 之间的数据通讯保持机密。使用强加密算法可以保护数据在传输过程中的安全。

Amazon Transcribe 可以运作在两种模式之一：

• 流式转录 ：实时传播媒体流的转录
• 批次转录作业 ：通过异步作业转录音频文件

在流式转录模式下，用户端应用程式可开启一个双向的流连接（HTTP/2 或 WebSockets）。应用程式将音频流发送至 AmazonTranscribe，服务则会实时回复文本流。这两种连接均透过传输层安全性（TLS）建立，建议使用 TLS 1.2 或更高版本。

在批次转录模式中，音频文件需先放置在 存储桶中，然后在 AmazonTranscribe 中创建一个以此文件的 S3 URI 为参考的批次转录作业。两者使用 HTTP/1.1 和 TLS 来保障数据传输安全。

所有针对 Amazon Transcribe 的请求必须使用 进行身份验证。虽然在某些 AWS 区域也可使用旧的 进行身份验证，建议还是使用版本 4。

保护静态中的数据

在批次模式下，Amazon Transcribe 使用 S3 存储桶来存储输入音频文件和输出转录文件。客户应在 S3 存储桶上启用加密。AmazonTranscribe 支持以下 S3 加密方法：

• Amazon S3 管理金钥的伺服器端加密 (SSE-S3)
• AWS 密钥管理服务存储金钥的伺服器端加密 (SSE-KMS)

这两种方法都会对客户数据进行加密，并在访问时进行解密，使用的是 256-bit 高级加密标准（AES-256）。选择 SSE-KMS更能让客户控制加密金钥，并通过 获得更严格的访问控制。

转录的输出可以存储在相同或不同的客户拥有的 S3 存储桶中，适用相同的 SSE-S3 和 SSE-KMS 加密选项。另一种选择是在批次模式下使用服务管理的 S3 存储桶，转录输出将存放在由 Amazon Transcribe 服务管理的安全 S3 存储桶内。

Amazon Transcribe 期间会使用加密的 Amazon 弹性区块储存 (EBS) 卷来暂时存储客户数据，且会在处理媒体完成后立即清理数据。

最佳实践 2 – 透过私有网路进行通讯

许多客户依赖于传输中的加密来安全地与 Amazon Transcribe通讯。但是，某些应用程序可能需要更高的安全要求，必须确保数据不经过公共网路（如互联网）。在这种情况下，可以使用由 提供的 。

以下架构图展示了一个应用程式部署在 上的用例，其中运行该应用程式的 EC2 实例不连接到互联网，而是通过介面 VPC 端点与 Amazon Transcribe 和 Amazon S3 进行通讯。

![EC2 实例通过介面 VPC 端点与 Amazon Transcribe 和 Amazon S3删除)

在某些情况下，与 Amazon Transcribe 进行通讯的应用程序可能部署在本地数据中心。这种情况下，必须确保与 Amazon Transcribe进行的数据传输不经过公共网路。可以通过 确保私有连接。以下图展示了一种架构，允许内部应用程序在无需互联网连接的情况下与 Amazon Transcribe 通讯。

![企业数据中心的应用服务器通过 AWS Direct Connect 与 AWS删除)

最佳实践 3 – 根据需要遮蔽敏感资料

某些用例和法规环境可能要求从转录和音频文件中删除敏感数据。Amazon Transcribe支持识别和遮蔽个人识别信息（PII），如姓名、地址、社会安全号码等。这个能力可帮助客户实现支付卡行业（PCI）合规性，通过遮蔽信用卡或借记卡号码、到期日和三位数卡确认码（CVV）等信息来实现。转录中的被遮蔽信息将会用方括号标示，显示遮蔽了何种类型的 PII。流式转录支持识别 PII 并标记，但不进行遮蔽。Amazon Transcribe 根据批次和流式转录支持的 PII 类型有所不同，具体请参考 和 。

专门的 API 具备遮蔽文本转录和音频文件中的 PII 的能力。该 API使用专门训练的语音转文字和自然语言处理（NLP）模型，专为理解客户服务和销售通话而设计。对于其他用例，您可以使用 来使用 AmazonTranscribe 遮蔽音频文件中的 PII。

其他 Amazon Transcribe 安全最佳实践

最佳实践 4 – 使用

为需要访问 Amazon Transcribe 的应用程式和 AWS 服务使用 IAM 角色。使用角色时，您无需将长期凭据（如密码或访问金钥）分配给 EC2实例或 AWS 服务。IAM 角色可以为应用程式在请求 AWS 资源时提供临时权限。

最佳实践 5 – 使用

您可以使用标签控制 AWS 帐户内的访问。在 Amazon Transcribe 中，标签可以添加到转录作业、自定义词汇、自定义词汇过滤器和自定义语言模型。

最佳实践 6 – 使用 AWS 监控工具

监控是维护 Amazon Transcribe 和您的 AWS 解决方案的可靠性、安全性、可用性和性能的重要部分。您可以 和 。

最佳实践 7 – 启用

AWS Config 使您能够评估、审核和评估 AWS 资源的配置，通过 AWS Config，您可以检查配置和 AWS资源之间的变更、调查详细的资源配置历史，并判定与内部准则指定的配置的整体合规性。

Amazon Transcribe 的合规性验证

您在 AWS 上建立的应用程序可能受某些合规计划的约束，如 SOC、PCI、FedRAMP 和 HIPAA。AWS通过第三方审计机构评估其服务的合规性。您可以透过 下载第三方审计报告。

要查明 AWS 服务是否在特定合规计划的范围内，可以参考 。有关 AWS提供的帮助客户合规的其他信息和资源，请参考 和 。

结论

在这篇文章中，您学习了如何利用各种安全机制、安全最佳实践及架构模式来构建安全的 Amazon Transcribe应用程序。您可以透过强大的加密技术保护传输和静态中的敏感数据。如果不想处理和存储个人信息，可以使用 PII 遮蔽功能删除转录中的个人信息。VPC 端点和 Direct Connect 可以帮助您在应用程序与 Amazon Transcribe 服务之间建立私有连接。我们还提供了帮助您验证使用 AmazonTranscribe 应用程序合规性的参考资料，如 SOC、PCI、FedRAMP 和 HIPAA。

接下来的步骤，可以参考 以迅速使用该服务，并查看 以深入了解该服务的详细信息。还可以关注 以随时了解 AmazonTranscribe 的新功能和用例。

关于作者


Alex Bulatkin 是 AWS 的解决方案架构师，喜欢帮助通信服务提供商在 AWS上构建创新解决方案，重新定义电信行业。他热衷于与客户合作，将 AWS AI 服务的力量引入其应用程序。Alex目前居住于丹佛地区，喜欢徒步旅行、滑雪和单板滑雪。