Exemple de politique basée sur les ressources pour les secrets de Secrets Manager Exemple de politique basée sur les ressources pour s AWS KMS key Associer une politique basée sur les ressources à votre secret Secrets Manager Associer une politique basée sur les ressources à votre clé KMS Rotation des clés API

Gestion des secrets et des politiques en matière de ressources

Lorsque vous configurez un fournisseur de reconnaissance vocale tiers, vous devez créer un secret dans Secrets Manager contenant la clé API du fournisseur de reconnaissance vocale. La création du secret se fait en deux étapes :

Créez le secret contenant la clé d'API. Pour obtenir des instructions, voir Création d'un AWS Secrets Manager secret.
Configurez les autorisations nécessaires :
- Associez une politique basée sur les ressources au secret.
- Attachez une politique basée sur les ressources à la clé KMS (et non à la clé API) associée au secret. La clé KMS protège la clé API dans le secret.
Ces politiques permettent à Amazon Connect d'accéder à la clé d'API contenue dans le secret. Notez que vous ne pouvez pas utiliser la clé aws/secretsmanager KMS par défaut ; vous devrez créer une nouvelle clé ou utiliser une clé existante gérée par le client. Pour plus d'informations sur la manière dont les clés KMS sécurisent les secrets, consultez la section Chiffrement et déchiffrement des secrets dans Secrets Manager.

Assurez-vous que la politique basée sur les ressources pour le secret inclut les conditions d'adjoint aws:SourceArn confuses (voir Le aws:SourceAccount problème de confusion des adjoints) et que la politique basée sur les ressources pour la clé KMS inclut cette condition. kms:EncryptionContext:SecretARN Cela garantira qu'Amazon Connect ne pourra accéder à votre clé secrète d'API que dans le contexte d'une seule instance spécifique, et qu'il ne pourra accéder à votre clé KMS que dans le contexte de cette instance et du secret spécifique.

Exemple de politique basée sur les ressources pour les secrets de Secrets Manager

Voici un exemple de politique basée sur les ressources que vous pouvez associer à votre secret.



{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///"
        }
      }
    }
  ]
}

Exemple de politique basée sur les ressources pour s AWS KMS key

Voici un exemple de politique basée sur les ressources que vous pouvez associer à votre clé KMS.



{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///",
          "kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
        }
      }
    }
  ]
}

Associer une politique basée sur les ressources à votre secret Secrets Manager

Pour associer une politique basée sur les ressources à votre secret, accédez à la console Secrets Manager située dans le AWS Management Console, naviguez jusqu'à votre secret, choisissez Modifier les autorisations ou Autorisations relatives aux ressources, puis ajoutez ou modifiez la politique de ressources directement sur la page afin qu'elle ressemble à l'exemple. Vous pouvez également joindre la politique de ressources par le biais AWS CLI de la put-resource-policy commande's ou par programmation à l'aide de l'opération d'PutResourcePolicyAPI.

Associer une politique basée sur les ressources à votre clé KMS

Pour associer une politique basée sur les ressources à votre clé KMS, accédez à la AWS Key Management Service console située dans le AWS Management Console, accédez à votre clé KMS et modifiez votre politique clé pour qu'elle ressemble à l'exemple. Vous pouvez également mettre à jour la clé via la put-key-policy commande AWS CLI's ou par programmation à l'aide de l'opération PutKeyPolicyAPI.

Rotation des clés API

Nous recommandons de faire pivoter les clés d'API au moins tous les 90 jours afin de minimiser le risque de compromission et de maintenir un processus de rotation des clés bien rodé en cas d'urgence.

Pour faire pivoter une clé d'API, vous devez faire pivoter le secret dans lequel elle est contenue. Consultez Rotate Secrets Manager secrets secrets dans le guide de l'utilisateur de Secrets Manager pour plus d'informations sur la rotation des secrets. Lorsque vous faites pivoter une clé d'API, il est recommandé d'attendre que l'utilisation de la clé précédente soit réduite à zéro avant de révoquer l'ancienne clé d'API afin de garantir que les demandes en cours ne soient pas affectées.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Points de terminaison et régions pour les fournisseurs de STT tiers

Création d’une intention Amazon Q in Connect