Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola rahasia dan kebijakan sumber daya

Saat mengonfigurasi penyedia pidato pihak ketiga, Anda harus membuat rahasia di Secrets Manager yang berisi kunci API penyedia ucapan. Membuat rahasia adalah proses dua langkah:

Pastikan bahwa kebijakan berbasis sumber daya untuk rahasia mencakup aws:SourceAccount dan kondisi wakil yang membingungkan (lihat Masalah wakil yang aws:SourceArn bingung) dan bahwa kebijakan berbasis sumber daya untuk kunci KMS mencakup kondisi tersebut. kms:EncryptionContext:SecretARN Ini akan memastikan bahwa Amazon Connect hanya dapat mengakses rahasia kunci API Anda dalam konteks satu instance tertentu, dan hanya dapat mengakses kunci KMS Anda dalam konteks instance itu dan rahasia spesifik.

Contoh kebijakan berbasis sumber daya untuk rahasia Secrets Manager

Berikut ini adalah contoh kebijakan berbasis sumber daya yang dapat Anda lampirkan ke rahasia Anda.

{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///"
        }
      }
    }
  ]
}
                

Contoh kebijakan berbasis sumber daya untuk s AWS KMS key

Berikut ini adalah contoh kebijakan berbasis sumber daya yang dapat Anda lampirkan ke kunci KMS Anda.

{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///",
          "kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
        }
      }
    }
  ]
}
                

Melampirkan kebijakan berbasis sumber daya ke rahasia Secrets Manager Anda

Untuk melampirkan kebijakan berbasis sumber daya ke rahasia Anda, buka konsol Secrets Manager di dalamnya Konsol Manajemen AWS, navigasikan ke rahasia Anda, pilih Edit Izin atau IzinSumber Daya, lalu tambahkan atau ubah kebijakan sumber daya langsung di halaman sehingga terlihat mirip dengan contoh. Anda juga dapat melampirkan kebijakan sumber daya melalui put-resource-policy perintah, atau secara terprogram menggunakan operasi PutResourcePolicyAPI. AWS CLI

Melampirkan kebijakan berbasis sumber daya ke kunci KMS Anda

Untuk melampirkan kebijakan berbasis sumber daya ke kunci KMS Anda, buka AWS Key Management Service konsol di dalam Konsol Manajemen AWS, navigasikan ke kunci KMS Anda dan edit kebijakan kunci Anda agar terlihat seperti contoh. Anda juga dapat memperbarui kunci melalui put-key-policy perintah AWS CLI, atau secara terprogram menggunakan operasi PutKeyPolicyAPI.

Memutar kunci API

Kami merekomendasikan untuk memutar kunci API setidaknya setiap 90 hari untuk meminimalkan risiko kompromi, dan untuk mempertahankan proses rotasi kunci yang terlatih dengan baik untuk situasi darurat.

Untuk memutar kunci API, Anda harus memutar rahasia di mana kunci itu terkandung. Lihat Memutar rahasia Secrets Manager di Panduan Pengguna Secrets Manager untuk informasi selengkapnya tentang cara memutar rahasia. Saat Anda memutar kunci API, Anda disarankan untuk menunggu penggunaan kunci sebelumnya turun ke nol sebelum mencabut kunci API lama untuk memastikan bahwa permintaan yang sedang berlangsung tidak terpengaruh.