Schlüsselverwaltung in Amazon Connect - Amazon Connect
Amazon Q in ConnectAmazon AppIntegrationsCustomer ProfilesVoice IDAusgehende Kampagnen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schlüsselverwaltung in Amazon Connect

Sie können AWS KMS Schlüssel angeben, einschließlich Bring Your Own Keys (BYOK), die für die Umschlagverschlüsselung mit Amazon S3 input/output S3-Buckets verwendet werden sollen.

Wenn Sie den AWS KMS Schlüssel dem S3-Speicherort in Amazon Connect zuordnen, werden die Berechtigungen des API-Aufrufers (oder die Berechtigungen des Konsolenbenutzers) verwendet, um eine Gewährung für den Schlüssel mit der entsprechenden Amazon Connect Connect-Instance-Servicerolle als Principal des Empfängers zu erstellen. Die Erteilung der serviceverknüpften Rolle, die für diese Amazon-Connect-Instance spezifisch ist, ermöglicht, dass der Schlüssel für die Verschlüsselung und Entschlüsselung verwendet werden kann. Beispiel:

  • Wenn Sie die DisassociateInstanceStorageConfigAPI aufrufen, um den AWS KMS Schlüssel vom S3-Speicherort in Amazon Connect zu trennen, wird der Grant aus dem Schlüssel entfernt.

  • Wenn Sie die AssociateInstanceStorageConfigAPI aufrufen, um den AWS KMS Schlüssel dem S3-Speicherort in Amazon Connect zuzuordnen, aber nicht über die kms:CreateGrant entsprechende Berechtigung verfügen, schlägt die Zuordnung fehl.

Verwenden Sie den CLI-Befehl list-grants, um alle Erteilungen für den angegebenen Kundenverwalteter Schlüssel aufzulisten.

Informationen zu AWS KMS Schlüsseln finden Sie unter Was ist AWS Key Management Service? im AWS Key Management Service Developer Guide.

Amazon Q in Connect

Amazon Q in Connect speichert in S3 Wissensdokumente, die im Ruhezustand mit einem BYOK- oder einem serviceeigenen Schlüssel verschlüsselt werden. Die Wissensdokumente werden im Ruhezustand in Amazon OpenSearch Service mit einem diensteigenen Schlüssel verschlüsselt. Amazon Q in Connect speichert Anfragen von Kundendienstmitarbeitern und Anruftranskripte mithilfe eines BYOK- oder eines serviceeigenen Schlüssels.

Die von Amazon Q in Connect verwendeten Wissensdokumente sind mit einem AWS KMS Schlüssel verschlüsselt.

Amazon AppIntegrations

Amazon unterstützt BYOK AppIntegrations nicht für die Verschlüsselung von Konfigurationsdaten. Wenn Sie externe Anwendungsdaten synchronisieren, müssen Sie in regelmäßigen Abständen BYOK verwenden. Amazon AppIntegrations benötigt einen Zuschuss, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können. Wenn Sie eine Datenintegration erstellen, AppIntegrations sendet Amazon in Ihrem Namen eine CreateGrant Anfrage AWS KMS an. Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, kann Amazon auf AppIntegrations keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Amazon Connect Connect-Dienste auswirkt, die von diesen Daten abhängig sind.

Customer Profiles

Für Kundenprofile können Sie AWS KMS Schlüssel angeben, die für die Verschlüsselung Ihrer Daten verwendet werden sollen. Wenn Sie keinen vom Kunden verwalteten Schlüssel angeben, bietet Amazon Connect Customer Profiles standardmäßig Verschlüsselung für Ihre gespeicherten Daten mithilfe eines AWS eigenen Verschlüsselungsschlüssels.

Bevor Sie Data Store für eine neue oder bestehende Domain aktivieren, müssen Sie eine AWS KMS key konfigurieren.

Sie können auch individuelle KMS-Schlüssel für Ihre Objekttypen definieren. Bei der Verschlüsselung von Kundendaten verwenden wir den KMS-Schlüssel vom Objekttyp, falls vorhanden. Andernfalls verwenden wir den KMS-Schlüssel der Domain.

Nachdem Sie Data Vault aktiviert haben, können Sie die KMS-Schlüssel für Ihre Domain oder Objekttypen nicht mehr aktualisieren. Sie können zwar neue Objekttypen mit neuen Schlüsseln erstellen, bestehende Schlüsseleinstellungen jedoch nicht ändern.

Voice ID

Für die Verwendung von Amazon Connect Voice ID ist es zwingend erforderlich, einen vom Kunden verwalteten KMS-Schlüssel (BYOK) bereitzustellen und gleichzeitig eine Domain für Amazon Connect Voice ID zu erstellen, mit der alle gespeicherten Kundendaten verschlüsselt werden.

Ausgehende Kampagnen

Bei ausgehenden Kampagnen werden alle sensiblen Daten mit einem AWS-eigener Schlüssel oder einem vom Kunden verwalteten Schlüssel verschlüsselt. Da der vom Kunden verwaltete Schlüssel von Ihnen erstellt, verwaltet und verwaltet wird, haben Sie die volle Kontrolle über den vom Kunden verwalteten Schlüssel (es AWS KMS fallen Gebühren an).