如何利用 Amazon Transcribe 建立安全应用程式

文章重点

在这篇文章中，我们将探讨如何利用 Amazon Transcribe 的功能来构建符合安全性要求的应用程式。以下是七个安全最佳实践：

Amazon Transcribe 是一项 AWS 服务，它可以将语音转换为文字，无论是批次处理还是即时流式处理。这篇文章将介绍如何在满足您安全需求的情况下，利用 Amazon Transcribe 的能力强化应用程式。

在许多情况下，客户会将机密和专有的数据交给 Amazon Transcribe。处理的音讯内容可能包含需要受到保护的敏感数据，以遵从当地法律和规范，包括个人识别信息PII、个人健康信息PHI和支付卡行业PCI数据。本文将介绍 Amazon Transcribe 如何在传输和静态状态下保护客户数据。

最佳实践 1 使用 Amazon Transcribe 的资料保护功能

Amazon Transcribe 遵循 AWS 共享责任模型，该模型区分了 AWS 在云端安全方面的责任和客户在云端内安全的责任。

AWS 负责保护运行所有 AWS 云服务的全球基础设施，客户则需负责控制在此基础设施上托管的内容，包括 AWS 服务的安全配置和管理任务。详细的数据隐私信息请参考 数据隐私 FAQ。

保护传输中的数据

透过数据加密，确保应用程式与 Amazon Transcribe 之间的数据通讯保持机密。使用强加密算法可以保护数据在传输过程中的安全。

Amazon Transcribe 可以运作在两种模式之一：

在流式转录模式下，用户端应用程式可开启一个双向的流连接HTTP/2 或 WebSockets。应用程式将音频流发送至 Amazon Transcribe，服务则会实时回复文本流。这两种连接均透过传输层安全性TLS建立，建议使用 TLS 12 或更高版本。

在批次转录模式中，音频文件需先放置在 Amazon S3 存储桶中，然后在 Amazon Transcribe 中创建一个以此文件的 S3 URI 为参考的批次转录作业。两者使用 HTTP/11 和 TLS 来保障数据传输安全。

所有针对 Amazon Transcribe 的请求必须使用 AWS 签名版本 4 进行身份验证。虽然在某些 AWS 区域也可使用旧的 签名版本 2 进行身份验证，建议还是使用版本 4。

保护静态中的数据

在批次模式下，Amazon Transcribe 使用 S3 存储桶来存储输入音频文件和输出转录文件。客户应在 S3 存储桶上启用加密。Amazon Transcribe 支持以下 S3 加密方法：

这两种方法都会对客户数据进行加密，并在访问时进行解密，使用的是 256bit 高级加密标准AES256。选择 SSEKMS 更能让客户控制加密金钥，并通过 AWS 密钥管理服务 获得更严格的访问控制。

转录的输出可以存储在相同或不同的客户拥有的 S3 存储桶中，适用相同的 SSES3 和 SSEKMS 加密选项。另一种选择是在批次模式下使用服务管理的 S3 存储桶，转录输出将存放在由 Amazon Transcribe 服务管理的安全 S3 存储桶内。

Amazon Transcribe 期间会使用加密的 Amazon 弹性区块储存 (EBS) 卷来暂时存储客户数据，且会在处理媒体完成后立即清理数据。

最佳实践 2 透过私有网路进行通讯

许多客户依赖于传输中的加密来安全地与 Amazon Transcribe 通讯。但是，某些应用程序可能需要更高的安全要求，必须确保数据不经过公共网路如互联网。在这种情况下，可以使用由 AWS PrivateLink 提供的 介面 VPC 端点。

以下架构图展示了一个应用程式部署在 Amazon EC2 上的用例，其中运行该应用程式的 EC2 实例不连接到互联网，而是通过介面 VPC 端点与 Amazon Transcribe 和 Amazon S3 进行通讯。

在某些情况下，与 Amazon Transcribe 进行通讯的应用程序可能部署在本地数据中心。这种情况下，必须确保与 Amazon Transcribe 进行的数据传输不经过公共网路。可以通过 AWS Direct Connect 确保私有连接。以下图展示了一种架构，允许内部应用程序在无需互联网连接的情况下与 Amazon Transcribe 通讯。

最佳实践 3 根据需要遮蔽敏感资料

某些用例和法规环境可能要求从转录和音频文件中删除敏感数据。Amazon Transcribe 支持识别和遮蔽个人识别信息PII，如姓名、地址、社会安全号码等。这个能力可帮助客户实现支付卡行业PCI合规性，通过遮蔽信用卡或借记卡号码、到期日和三位数卡确认码CVV等信息来实现。转录中的被遮蔽信息将会用方括号标示，显示遮蔽了何种类型的 PII。流式转录支持识别 PII 并标记，但不进行遮蔽。Amazon Transcribe 根据批次和流式转录支持的 PII 类型有所不同，具体请参考 批次作业中的 PII 遮蔽 和 实时流中的 PII 遮蔽或识别。

专门的 Amazon Transcribe 通话分析 API 具备遮蔽文本转录和音频文件中的 PII 的能力。该 API 使用专门训练的语音转文字和自然语言处理NLP模型，专为理解客户服务和销售通话而设计。对于其他用例，您可以使用 此解决方案 来使用 Amazon Transcribe 遮蔽音频文件中的 PII。

其他 Amazon Transcribe 安全最佳实践

最佳实践 4 使用 IAM 角色

为需要访问 Amazon Transcribe 的应用程式和 AWS 服务使用 IAM 角色。使用角色时，您无需将长期凭据如密码或访问金钥分配给 EC2 实例或 AWS 服务。IAM 角色可以为应用程式在请求 AWS 资源时提供临时权限。

最佳实践 5 使用 基于标签的访问控制

您可以使用标签控制 AWS 帐户内的访问。在 Amazon Transcribe 中，标签可以添加到转录作业、自定义词汇、自定义词汇过滤器和自定义语言模型。

最佳实践 6 使用 AWS 监控工具

监控是维护 Amazon Transcribe 和您的 AWS 解决方案的可靠性、安全性、可用性和性能的重要部分。您可以 使用 AWS CloudTrail 监控 Amazon Transcribe 和 Amazon CloudWatch。

最佳实践 7 启用 AWS Config

AWS Config 使您能够评估、审核和评估 AWS 资源的配置，通过 AWS Config，您可以检查配置和 AWS 资源之间的变更、调查详细的资源配置历史，并判定与内部准则指定的配置的整体合规性。

Amazon Transcribe 的合规性验证

您在 AWS 上建立的应用程序可能受某些合规计划的约束，如 SOC、PCI、FedRAMP 和 HIPAA。AWS 通过第三方审计机构评估其服务的合规性。您可以透过 AWS Artifact 下载第三方审计报告。

要查明 AWS 服务是否在特定合规计划的范围内，可以参考 符合合规计划的 AWS 服务。有关 AWS 提供的帮助客户合规的其他信息和资源，请参考 Amazon Transcribe 的合规性验证 和 AWS 合规性资源。

结论

在这篇文章中，您学习了如何利用各种安全机制、安全最佳实践及架构模式来构建安全的 Amazon Transcribe 应用程序。您可以透过强大的加密技术保护传输和静态中的敏感数据。如果不想处理和存储个人信息，可以使用 PII 遮蔽功能删除转录中的个人信息。VPC 端点和 Direct Connect 可以帮助您在应用程序与 Amazon Transcribe 服务之间建立私有连接。我们还提供了帮助您验证使用 Amazon Transcribe 应用程序合规性的参考资料，如 SOC、PCI、FedRAMP 和 HIPAA。

接下来的步骤，可以参考 快速开始使用 Amazon Transcribe 以迅速使用该服务，并查看 Amazon Transcribe 文档 以深入了解该服务的详细信息。还可以关注 AWS 机器学习部落格中的 Amazon Transcribe 以随时了解 Amazon Transcribe 的新功能和用例。

关于作者

Alex Bulatkin 是 AWS 的解决方案架构师，喜欢帮助通信服务提供商在 AWS 上构建创新解决方案，重新定义电信行业。他热衷于与客户合作，将 AWS AI 服务的力量引入其应用程序。Alex 目前居住于丹佛地区，喜欢徒步旅行、滑雪和单板滑雪。