آمازون رونوشت یک سرویس AWS است که به مشتریان امکان می دهد گفتار را در حالت دسته ای یا جریانی به متن تبدیل کنند. این دستگاه از تشخیص گفتار خودکار (ASR)، شناسایی خودکار زبان و فناوریهای پس از پردازش استفاده میکند. از Amazon Transcript میتوان برای رونویسی تماسهای مراقبت از مشتری، تماسهای کنفرانس چندجانبه، و پیامهای پست صوتی، و همچنین تولید زیرنویس برای ویدیوهای ضبطشده و زنده استفاده کرد. در این پست وبلاگ، یاد خواهید گرفت که چگونه برنامه های خود را با قابلیت های Amazon Transcript به گونه ای تقویت کنید که الزامات امنیتی شما را برآورده کند.
برخی از مشتریان به Amazon Transcribe دادههایی را میسپارند که محرمانه و اختصاصی برای کسبوکارشان است. در موارد دیگر، محتوای صوتی پردازش شده توسط Amazon Transcript ممکن است حاوی دادههای حساسی باشد که برای مطابقت با قوانین و مقررات محلی باید محافظت شوند. نمونههایی از این اطلاعات عبارتند از اطلاعات شناسایی شخصی (PII)، اطلاعات سلامت شخصی (PHI) و دادههای صنعت کارت پرداخت (PCI). در بخشهای بعدی وبلاگ، مکانیسمهای مختلفی را پوشش میدهیم که آمازون رونویسی برای محافظت از دادههای مشتری در هنگام حمل و نقل و در حالت استراحت دارد. ما هفت بهترین شیوه امنیتی زیر را برای ساخت برنامههایی با Amazon Transcribe که الزامات امنیتی و انطباق شما را برآورده میکنند به اشتراک میگذاریم:
- از محافظت از داده ها با Amazon Transcript استفاده کنید
- از طریق یک مسیر شبکه خصوصی ارتباط برقرار کنید
- در صورت نیاز، داده های حساس را ویرایش کنید
- از نقشهای IAM برای برنامهها و سرویسهای AWS که به دسترسی Amazon Transcribe نیاز دارند، استفاده کنید
- از کنترل دسترسی مبتنی بر برچسب استفاده کنید
- از ابزارهای نظارت AWS استفاده کنید
- AWS Config را فعال کنید
بهترین روشهای زیر دستورالعملهای کلی هستند و یک راهحل امنیتی کامل را نشان نمیدهند. از آنجایی که این بهترین شیوه ها ممکن است برای محیط شما مناسب یا کافی نباشد، از آنها به عنوان ملاحظات مفید استفاده کنید تا نسخه تجویزی.
بهترین روش 1 - از محافظت از داده ها با Amazon Transcript استفاده کنید
رونویسی آمازون مطابق با مدل مسئولیت مشترک AWS، که مسئولیت AWS برای امنیت ابر را از مسئولیت مشتری برای امنیت در ابر متمایز می کند.
AWS مسئول حفاظت از زیرساخت جهانی است که تمام AWS Cloud را اجرا می کند. به عنوان مشتری، شما مسئول حفظ کنترل بر محتوای خود هستید که در این زیرساخت میزبانی می شود. این محتوا شامل پیکربندی امنیتی و وظایف مدیریتی برای سرویسهای AWS است که استفاده میکنید. برای اطلاعات بیشتر در مورد حریم خصوصی داده ها، به بخش مراجعه کنید سوالات متداول حریم خصوصی داده ها.
حفاظت از داده ها در حال انتقال
رمزگذاری داده برای اطمینان از محرمانه ماندن ارتباط داده بین برنامه شما و Amazon Transcript استفاده می شود. استفاده از الگوریتم های رمزنگاری قوی از داده ها در حین انتقال محافظت می کند.
Amazon Transcript می تواند در یکی از دو حالت عمل کند:
- رونویسی های جریانی اجازه رونویسی جریان رسانه در زمان واقعی را می دهد
- کارهای رونویسی دسته ای اجازه رونویسی فایل های صوتی با استفاده از کارهای ناهمزمان را می دهد.
در حالت رونویسی پخش جریانی، برنامه های سرویس گیرنده یک اتصال جریان دو طرفه را از طریق HTTP/2 یا WebSockets باز می کنند. یک برنامه یک جریان صوتی را به آمازون رونویسی میفرستد و سرویس با جریانی از متن در زمان واقعی پاسخ میدهد. هر دو اتصال HTTP/2 و WebSockets از طریق امنیت لایه حمل و نقل (TLS)، که یک پروتکل رمزنگاری به طور گسترده پذیرفته شده است، ایجاد می شوند. TLS احراز هویت و رمزگذاری دادههای در حال انتقال را با استفاده از گواهیهای AWS فراهم میکند. توصیه می کنیم از TLS 1.2 یا بالاتر استفاده کنید.
در حالت رونویسی دسته ای، ابتدا یک فایل صوتی باید در یک قرار داده شود سرویس ذخیره سازی ساده آمازون (Amazon S3) سطل سپس یک کار رونویسی دستهای که به URI S3 این فایل ارجاع میدهد در Amazon Transcript ایجاد میشود. هم Amazon Transcribe در حالت دستهای و هم Amazon S3 از HTTP/1.1 بر روی TLS برای محافظت از دادههای در حال انتقال استفاده میکنند.
تمام درخواستهای آمازون رونویسی از طریق HTTP و WebSockets باید با استفاده از احراز هویت تأیید شوند AWS Signature نسخه 4. توصیه می شود از Signature نسخه 4 برای احراز هویت درخواست های HTTP به Amazon S3 نیز استفاده کنید، اگرچه احراز هویت با نسخه های قدیمی تر امضا نسخه 2 همچنین در برخی از مناطق AWS امکان پذیر است. برای امضای درخواست های API به سرویس های AWS، برنامه ها باید اعتبارنامه معتبر داشته باشند.
محافظت از داده ها در حالت استراحت
Amazon Transcript در حالت دسته ای از سطل های S3 برای ذخیره فایل صوتی ورودی و فایل رونویسی خروجی استفاده می کند. مشتریان از یک سطل S3 برای ذخیره فایل صوتی ورودی استفاده می کنند و به شدت توصیه می شود که رمزگذاری را در این سطل فعال کنید. Amazon Transcript از روش های رمزگذاری S3 زیر پشتیبانی می کند:
هر دو روش، دادههای مشتری را همانطور که روی دیسکها نوشته شده است، رمزگذاری میکنند و هنگامی که با استفاده از یکی از قویترین رمزهای رمزگذاری موجود به آن دسترسی پیدا میکنید، رمزگشایی میکنند: استاندارد رمزگذاری پیشرفته ۲۵۶ بیتی (AES-256) GCM. هنگام استفاده از SSE-S256، کلیدهای رمزگذاری مدیریت میشوند. و به طور منظم توسط سرویس آمازون S3 چرخش می شود. برای امنیت و انطباق بیشتر، SSE-KMS کنترل کلیدهای رمزگذاری را از طریق به مشتریان ارائه می دهد سرویس مدیریت کلید AWS (AWS KMS). AWS KMS کنترلهای دسترسی اضافی را به شما میدهد زیرا برای رمزگذاری و رمزگشایی اشیاء در سطلهای S3 که با SSE-KMS پیکربندی شدهاند، باید مجوز استفاده از کلیدهای KMS مناسب را داشته باشید. همچنین، SSE-KMS قابلیت ردیابی حسابرسی را به مشتریان ارائه میکند که سوابق افرادی را که از کلیدهای KMS شما و چه زمانی استفاده کردهاند نگهداری میکند.
رونویسی خروجی را می توان در همان سطل S3 متعلق به مشتری دیگر ذخیره کرد. در این مورد، همان گزینه های رمزگذاری SSE-S3 و SSE-KMS اعمال می شود. یکی دیگر از گزینههای خروجی رونویسی آمازون در حالت دستهای، استفاده از سطل S3 با مدیریت خدمات است. سپس دادههای خروجی در یک سطل امن S3 که توسط سرویس رونویسی آمازون مدیریت میشود قرار میگیرد و یک URI موقت در اختیار شما قرار میگیرد که میتوان از آن برای دانلود رونوشت خود استفاده کرد.
رونویسی آمازون از رمزگذاری شده استفاده می کند فروشگاه بلوک الاستیک آمازون (Amazon EBS) حجم برای ذخیره موقت داده های مشتری در طول پردازش رسانه. داده های مشتری برای هر دو مورد کامل و خرابی پاک می شود.
بهترین روش 2 - از طریق یک مسیر شبکه خصوصی ارتباط برقرار کنید
بسیاری از مشتریان برای برقراری ارتباط امن با آمازون رونویسی از طریق اینترنت به رمزگذاری در حین حمل و نقل متکی هستند. با این حال، برای برخی از برنامه ها، رمزگذاری داده در حال انتقال ممکن است برای برآورده کردن الزامات امنیتی کافی نباشد. در برخی موارد، داده ها برای عبور نکردن از شبکه های عمومی مانند اینترنت مورد نیاز است. همچنین، ممکن است نیاز باشد که برنامه در یک محیط خصوصی غیر متصل به اینترنت مستقر شود. برای برآوردن این الزامات، استفاده کنید نقاط پایانی VPC رابط طراحی توسط AWS PrivateLink.
نمودار معماری زیر یک مورد استفاده را نشان می دهد که در آن یک برنامه کاربردی در آن مستقر شده است آمازون EC2. نمونه EC2 که برنامه را اجرا می کند به اینترنت دسترسی ندارد و از طریق نقاط پایانی VPC رابط با Amazon Transcribe و Amazon S3 در ارتباط است.
در برخی از سناریوها، برنامهای که با آمازون رونویسی در ارتباط است ممکن است در یک مرکز داده در محل مستقر شود. ممکن است الزامات امنیتی یا انطباق بیشتری وجود داشته باشد که الزام می کند داده های مبادله شده با Amazon Transcript نباید از شبکه های عمومی مانند اینترنت عبور کند. در این مورد، اتصال خصوصی از طریق AWS مستقیم اتصال می تواند به کار رود. نمودار زیر معماری را نشان می دهد که به یک برنامه کاربردی داخلی اجازه می دهد تا بدون اتصال به اینترنت با Amazon Transcript ارتباط برقرار کند.
بهترین روش 3 - در صورت نیاز، داده های حساس را ویرایش کنید
برخی موارد استفاده و محیطهای نظارتی ممکن است نیاز به حذف دادههای حساس از رونوشتها و فایلهای صوتی داشته باشند. Amazon Transcript از شناسایی و ویرایش اطلاعات شناسایی شخصی (PII) مانند نام، آدرس، شماره تامین اجتماعی و غیره پشتیبانی می کند. از این قابلیت می توان برای فعال کردن مشتریان برای دستیابی به انطباق با صنعت کارت پرداخت (PCI) با ویرایش PII مانند شماره کارت اعتباری یا نقدی، تاریخ انقضا و کد تأیید سه رقمی کارت (CVV) استفاده کرد. رونوشتهای دارای اطلاعات ویرایششده با مکانهایی در براکتهای مربع جایگزین PII میشوند که نشان میدهد چه نوع PII ویرایش شده است. رونوشتهای جریانی از قابلیت اضافی فقط برای شناسایی PII و برچسبگذاری آن بدون ویرایش پشتیبانی میکنند. انواع PII ویرایش شده توسط Amazon Transcript بین رونویسی دسته ای و جریانی متفاوت است. رجوع شود به ویرایش PII در کار دستهای خود و ویرایش یا شناسایی PII در یک جریان بیدرنگ برای جزئیات بیشتر.
تخصصی آمازون رونویسی تماس تجزیه و تحلیل APIها دارای قابلیت داخلی برای ویرایش PII در رونوشت های متنی و فایل های صوتی هستند. این API از مدلهای تخصصی پردازش گفتار به نوشتار و زبان طبیعی (NLP) استفاده میکند که به طور خاص برای درک خدمات مشتری و تماسهای فروش آموزش دیدهاند. برای موارد استفاده دیگر می توانید استفاده کنید این راه حل برای ویرایش PII از فایل های صوتی با آمازون رونویسی.
بهترین روشهای امنیتی اضافی Amazon Transcribe
بهترین تمرین 4 - استفاده کنید نقش های IAM برای برنامهها و سرویسهای AWS که به دسترسی Amazon Transcribe نیاز دارند. وقتی از یک نقش استفاده میکنید، نیازی نیست اعتبارنامههای بلندمدت، مانند گذرواژهها یا کلیدهای دسترسی، را در یک نمونه EC2 یا سرویس AWS توزیع کنید. نقشهای IAM میتوانند مجوزهای موقتی را ارائه دهند که برنامهها میتوانند هنگام درخواست به منابع AWS از آنها استفاده کنند.
بهترین تمرین 5 - استفاده کنید کنترل دسترسی مبتنی بر برچسب. می توانید از برچسب ها برای کنترل دسترسی در حساب های AWS خود استفاده کنید. در آمازون رونویسی، برچسب ها را می توان به کارهای رونویسی، واژگان سفارشی، فیلترهای واژگان سفارشی و مدل های زبان سفارشی اضافه کرد.
بهترین تمرین 6 - از ابزارهای نظارت AWS استفاده کنید. نظارت بخش مهمی از حفظ قابلیت اطمینان، امنیت، در دسترس بودن و عملکرد Amazon Transcript و راه حل های AWS شما است. تو می توانی Amazon Transcript را با استفاده از AWS CloudTrail نظارت کنید و CloudWatch آمازون.
بهترین تمرین 7 - فعال پیکربندی AWS. AWS Config شما را قادر می سازد تا تنظیمات منابع AWS خود را ارزیابی، ممیزی و ارزیابی کنید. با استفاده از AWS Config، میتوانید تغییرات در تنظیمات و روابط بین منابع AWS را بررسی کنید، تاریخچههای پیکربندی منابع دقیق را بررسی کنید و مطابقت کلی خود را با پیکربندیهای مشخصشده در دستورالعملهای داخلی خود تعیین کنید. این می تواند به شما در ساده سازی ممیزی انطباق، تجزیه و تحلیل امنیتی، مدیریت تغییر و عیب یابی عملیاتی کمک کند.
اعتبار سنجی مطابقت آمازون رونویسی
برنامههایی که روی AWS ایجاد میکنید ممکن است مشمول برنامههای انطباق مانند SOC، PCI، FedRAMP و HIPAA باشند. AWS از حسابرسان شخص ثالث برای ارزیابی خدمات خود از نظر انطباق با برنامه های مختلف استفاده می کند. مصنوع AWS شما اجازه می دهد تا به دانلود گزارش حسابرسی شخص ثالث.
برای اطلاع از اینکه آیا یک سرویس AWS در محدوده برنامه های انطباق خاص قرار دارد یا خیر، مراجعه کنید خدمات AWS در محدوده با برنامه انطباق. برای اطلاعات بیشتر و منابعی که AWS برای کمک به مشتریان در رعایت قوانین ارائه می دهد، به آن مراجعه کنید اعتبار سنجی مطابقت آمازون رونویسی و منابع انطباق با AWS.
نتیجه
در این پست، با مکانیسمهای امنیتی مختلف، بهترین شیوهها و الگوهای معماری موجود برای ساخت برنامههای امن با Amazon Transcript آشنا شدهاید. با رمزگذاری قوی می توانید از داده های حساس خود هم در حین حمل و هم در حالت استراحت محافظت کنید. اگر نمیخواهید آنها را پردازش و ذخیره کنید، میتوان از ویرایش PII برای فعال کردن حذف اطلاعات شخصی از رونوشتهایتان استفاده کرد. نقاط پایانی VPC و Direct Connect به شما این امکان را می دهند که ارتباط خصوصی بین برنامه خود و سرویس Amazon Transcribe برقرار کنید. ما همچنین منابعی را ارائه کردیم که به شما کمک می کند تا مطابقت برنامه خود را با استفاده از Amazon Transcript با برنامه هایی مانند SOC، PCI، FedRAMP و HIPAA تأیید کنید.
به عنوان مراحل بعدی، بررسی کنید شروع با آمازون ترانویسی برای شروع سریع استفاده از سرویس. رجوع شود به اسناد رونویسی آمازون برای فرو رفتن عمیق تر در جزئیات خدمات. و دنبال کنید رونویسی آمازون در وبلاگ یادگیری ماشینی AWS برای بهروز ماندن با قابلیتهای جدید و استفاده از موارد برای رونویسی آمازون.
درباره نویسنده
الکس بولاتکین یک معمار راه حل در AWS است. او از کمک به ارائه دهندگان خدمات ارتباطی برای ایجاد راه حل های نوآورانه در AWS که صنعت مخابرات را دوباره تعریف می کند، لذت می برد. او مشتاق کار با مشتریان برای آوردن قدرت خدمات هوش مصنوعی AWS به برنامه های آنها است. الکس در منطقه شهری دنور مستقر است و به پیاده روی، اسکی و اسنوبرد علاقه دارد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://aws.amazon.com/blogs/machine-learning/best-practices-for-building-secure-applications-with-amazon-transcribe/