Crittografia a riposo in Amazon Connect - Amazon Connect
Amazon AppIntegrationsAmazon Connect CasesCustomer Profiles Amazon ConnectAmazon Q in ConnectCrittografia a riposo di Amazon Connect Voice IDCrittografia delle campagne in uscita a riposoPrevisioni, pianificazioni della capacità e calendarizzazioni

Crittografia a riposo in Amazon Connect

I dati di contatto classificati come PII, o i dati che rappresentano i contenuti dei clienti archiviati da Amazon Connect, vengono crittografati quando sono a riposo (ovvero prima di essere inseriti, archiviati o salvati su disco) utilizzando chiavi di crittografia AWS KMS di proprietà di AWS. Per informazioni sulle chiavi AWS KMS, consulta Che cos'è AWS Key Management Service? nella Guida per gli sviluppatori di AWS Key Management Service. I dati di contatto nell'archiviazione non temporanea sono crittografati in modo tale che le chiavi di crittografia dei dati generate dalle chiavi KMS non vengano condivise tra le istanze Amazon Connect.

La crittografia lato server Amazon S3 viene utilizzata per crittografare le registrazioni di conversazioni (voce e chat). Le registrazioni delle chiamate, dello schermo e le trascrizioni vengono archiviate in due fasi:

  • Registrazioni intermedie conservate in Amazon Connect durante e dopo la chiamata, ma prima del recapito.

  • Registrazioni recapitate al bucket Amazon S3.

Le registrazioni e le trascrizioni delle chat archiviate nel bucket Amazon S3 vengono protette utilizzando una chiave KMS configurata al momento della creazione dell'istanza.

Per ulteriori informazioni sulla gestione delle chiavi in Amazon Connect, consulta Gestione delle chiavi in Amazon Connect.

Crittografia dei dati a riposto di Amazon AppIntegrations

Quando crei una DataIntegration crittografata con una chiave gestita dal cliente, Amazon AppIntegrations crea una concessione per conto dell'utente inviando una richiesta CreateGrant a AWS KMS. Per consentire ad Amazon AppIntegrations di accedere a una chiave KMS nel tuo account, utilizza le concessioni in AWS KMS.

Puoi revocare l'accesso alla concessione o rimuovere l'accesso alla chiave gestita dal cliente da parte di Amazon AppIntegrations in qualsiasi momento. In tal caso, Amazon AppIntegrations non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influenza le operazioni che dipendono da quei dati.

I dati delle applicazioni esterne elaborati da Amazon AppIntegrations sono crittografati a riposo in un bucket S3 utilizzando la chiave gestita dal cliente fornita durante la configurazione. I dati di configurazione dell'integrazione vengono crittografati quando sono a riposo utilizzando una chiave limitata nel tempo e specifica per l'account dell'utente.

Amazon AppIntegrations richiede la concessione per utilizzare la chiave gestita dal cliente per le seguenti operazioni interne:

  • Invio di GenerateDataKeyRequest a AWS KMS per generare chiavi dati crittografate dalla chiave gestita dal cliente.

  • Invio di richieste Decrypt a AWS KMS per decrittografare chiavi di dati crittografate in modo che tu possa utilizzarle per crittografare i tuoi dati.

Casi Amazon Connect: crittografia dei dati a riposo

Tutti i dati forniti dal cliente nei campi e nei commenti relativi ai casi, nelle descrizioni dei campi e nei modelli archiviati da Casi Amazon Connect sono crittografati quando sono a riposo utilizzando chiavi di crittografia archiviate in AWS Key Management Service (AWS KMS).

Il servizio Casi Amazon Connect possiede, gestisce, monitora e ruota le chiavi di crittografia (ovvero, Chiavi di proprietà di AWS) per soddisfare standard di sicurezza elevati. Il payload dei flussi di eventi del caso viene archiviato in via temporanea (in genere per alcuni secondi) in Amazon EventBridge, prima di essere reso disponibile tramite il bus predefinito nell'account del cliente. EventBridge esegue anche la crittografia dell'intero payload a riposo utilizzando Chiavi di proprietà di AWS.

Crittografia a riposo di Profili cliente Amazon Connect

Tutti i dati utente archiviati in Profili cliente Amazon Connect sono crittografati a riposo. La crittografia a riposo di Profili cliente Amazon Connect offre sicurezza avanzata grazie alla crittografia dei dati a riposo mediante le chiavi di crittografia archiviate in AWS Key Management Service (AWS KMS). Questa funzionalità consente di ridurre gli oneri operativi e la complessità associati alla protezione dei dati sensibili. La crittografia dei dati inattivi consente di creare applicazioni ad alto livello di sicurezza che rispettano rigorosi requisiti normativi e di conformità per la crittografia.

Le policy aziendali, le normative di settore e del governo e i requisiti di conformità spesso esigono l'uso della crittografia dei dati inattivi per aumentare la sicurezza dei dati delle applicazioni. Affinché la sua strategia di crittografia a riposo fosse abilitata, la funzionalità Profili cliente è stata integrata con AWS KMS. Per ulteriori informazioni, consulta Concetti di AWS Key Management Service nella Guida per gli sviluppatori di AWS Key Management Service.

Quando si crea un nuovo dominio, è necessario fornire una chiave KMS che il servizio utilizzerà per crittografare i dati in transito e a riposo. La chiave gestita dal cliente viene creata e gestita dall'utente ed è di sua proprietà. Hai il controllo totale della chiave gestita dal cliente (si applicano i costi di AWS KMS).

È possibile specificare una chiave di crittografia quando si crea un nuovo dominio o si passa da una chiave di crittografia all'altra su una risorsa esistente utilizzando l'Interfaccia a riga di comando AWS (AWS CLI) o l'API di crittografia di Profili cliente Amazon Connect. Quando scegli una chiave gestita dal cliente, Profili cliente Amazon Connect crea una concessione per la chiave gestita dal cliente affinché possa accedere a tale chiave.

Per l'utilizzo di una chiave gestita dal cliente, si applicano i costi di AWS KMS. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS KMS.

Crittografia Amazon Q in Connect dei dati inattivi

Tutti i dati utente archiviati in Amazon Q in Connect sono crittografati quando sono inattivi utilizzando chiavi di crittografia archiviate in AWS Key Management Service. Se si fornisce facoltativamente una chiave gestita dal cliente, questa viene utilizzata da Amazon Q in Connect per crittografare i contenuti di conoscenza archiviati a riposo al di fuori degli indici di ricerca di Amazon Q in Connect. Amazon Q in Connect utilizza indici di ricerca dedicati per cliente, i quali vengono crittografati quando sono inattivi utilizzando Chiavi di proprietà di AWS archiviate in AWS Key Management Service. Inoltre, puoi utilizzare CloudTrail per eseguire la verifica di tutti gli accessi ai dati tramite le API Amazon Q in Connect.

Quando utilizzi una tua chiave, si applicano i costi di AWS KMS. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS KMS.

Crittografia a riposo di Amazon Connect Voice ID

Amazon Connect Voice ID archivia le impronte vocali dei clienti che non possono essere sottoposte a reverse engineering per ottenere la voce del cliente registrato o identificare un cliente. Tutti i dati utente archiviati in Amazon Connect Voice ID sono crittografati a riposo. Quando si crea un nuovo dominio Voice ID, è necessario fornire una chiave offerta dal cliente che il servizio utilizza per crittografare i dati a riposo. La chiave gestita dal cliente viene creata e gestita dall'utente ed è di sua proprietà. Hai il controllo completo della chiave.

Puoi aggiornare la chiave KMS nel dominio Voice ID utilizzando il comando update-domain nell'interfaccia a riga di comando AWS (CLIAWS) o l'API UpdateDomain Voice ID.

Quando modifichi la chiave KMS, verrà avviato un processo asincrono per crittografare nuovamente i vecchi dati con la nuova chiave KMS. Al termine di questo processo, tutti i dati del dominio saranno crittografati con la nuova chiave KMS e potrai ritirare la vecchia chiave in tutta sicurezza. Per ulteriori informazioni, consulta UpdateDomain.

Voice ID crea una concessione che consente all'utente di accedere alla chiave gestita dal cliente. Per ulteriori informazioni, consulta Come Amazon Connect Voice ID utilizza le concessioni in AWS KMS.

Di seguito è riportato un elenco di dati crittografati a riposo utilizzando la chiave gestita dal cliente:

  • Impronte vocali: le impronte vocali generate durante la registrazione dei parlanti e dei truffatori nel sistema.

  • Audio degli oratori e dei truffatori: i dati audio utilizzati per registrare i parlanti e i truffatori.

  • CustomerSpeakerId: il valore SpeakerId fornito dal cliente durante la registrazione del cliente in Voice ID.

  • Metadati forniti dal cliente: includono stringhe in formato libero, come Domain Description, Domain Name, Job Name e altre.

Per l'utilizzo di una chiave gestita dal cliente, si applicano i costi di AWS KMS. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS KMS.

Come Amazon Connect Voice ID utilizza le concessioni in AWS KMS

Amazon Connect Voice ID richiede una concessione per utilizzare la chiave gestita dal cliente. Quando si crea un dominio, Voice ID crea una concessione per tuo conto inviando una richiesta CreateGrant a AWS KMS. La concessione richiede l'utilizzo della chiave gestita dal cliente per le seguenti operazioni interne:

  • Invia richieste DescribeKey a AWS KMS per verificare la validità dell'ID chiave simmetrico gestito dal cliente che è stato fornito.

  • Invia richieste GenerateDataKey alla chiave KMS per creare chiavi di dati con cui crittografare gli oggetti.

  • Invia richieste Decrypt a AWS KMS per decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.

  • Invia richieste ReEncrypt a AWS KMS quando la chiave viene aggiornata per crittografare nuovamente un set limitato di dati utilizzando l©a nuova chiave.

  • Archivia i file in S3 utilizzando la chiave AWS KMS per crittografare i dati.

Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Voice ID non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente; ciò influisce su tutte le operazioni che dipendono da tali dati, generando errori AccessDeniedException e interruzioni nei flussi di lavoro asincroni.

Policy della chiave gestita dal cliente per Voice ID

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestione dell'accesso alle chiavi KMS nella Guida per gli sviluppatori di AWS Key Management Service.

Di seguito è riportato un esempio di policy della chiave che fornisce a un utente le autorizzazioni necessarie per chiamare tutte le API Voice ID utilizzando la chiave gestita dal cliente:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow key access to Amazon Connect VoiceID.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "your_user_or_role_ARN"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "voiceid.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Per informazioni su come specificare le autorizzazioni in una policy, consulta Specificazione delle chiavi KMS nelle istruzioni della policy IAM nella Guida per gli sviluppatori di AWS Key Management Service.

Per informazioni sulla risoluzione dei problemi relativi all'accesso alla chiave, consulta Risoluzione dei problemi di accesso alla chiave nella Guida per gli sviluppatori di AWS Key Management Service.

Contesto di crittografia per Voice ID

Un contesto di crittografia è un set opzionale di coppie chiave-valore che contiene ulteriori informazioni contestuali sui dati. AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare crittografia autenticata.

Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS lega il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.

Voice ID utilizza lo stesso contesto di crittografia in tutte le operazioni di crittografia di AWS KMS, in cui la chiave è aws:voiceid:domain:arn e il valore è il nome della risorsa Amazon (ARN) nome della risorsa Amazon (ARN).della risorsa.

"encryptionContext": {
   "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}

È inoltre possibile utilizzare il contesto di crittografia nei record e nei log di audit per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da CloudTrail o da File di log Amazon CloudWatch.

Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente

È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come condizioni per controllare l'accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.

Amazon Connect Voice ID utilizza un vincolo del contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nel tuo account o nella tua regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.

Di seguito sono riportati alcuni esempi di istruzioni delle policy delle chiavi per concedere l'accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},
{
     "Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
         "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId""
          }
     }
}

Monitoraggio delle chiavi di crittografia per Voice ID

Quando utilizzi una chiave AWS KMS gestita dal cliente con Voice ID, puoi utilizzare AWS CloudTrail o File di log Amazon CloudWatch per tenere traccia delle richieste che Voice ID invia a AWS KMS.

Di seguito sono riportati esempi di eventi AWS CloudTrail per un'operazione CreateGrant chiamata da Voice ID per accedere ai dati crittografati dalla chiave gestita dal cliente:

CreateGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROA5STZEFPSZEOW7NP3X:SampleUser1",
        "arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
        "accountId": "111122223333",
        "accessKeyId": "AAAAAAA1111111EXAMPLE",  
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROA5STZEFPSZEOW7NP3X",
                "arn": "arn:aws:iam::111122223333:role/SampleRole",
                "accountId": "111122223333",
                "userName": "SampleUser"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-09-14T23:02:23Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-09-14T23:02:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "SampleIpAddress",
    "userAgent": "Example Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "constraints": {
            "encryptionContextSubset": {
                "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
            }
        },
        "retiringPrincipal": "voiceid.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
        "operations": [
            "CreateGrant",
            "Decrypt",
            "DescribeKey",
            "GenerateDataKey",
            "GenerateDataKeyPair",
            "GenerateDataKeyPairWithoutPlaintext",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
        ],
        "granteePrincipal": "voiceid.amazonaws.com "
    },
    "responseElements": {
        "grantId": "00000000000000000000000000000cce47be074a8c379ed39f22b155c6e86af82"
    },
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
DescribeKey
{
    "eventVersion": "1.08",
    "userIdentity": {
      "type": "AWSService",
      "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-13T15:12:39Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "keyId": "alias/sample-key-alias"
    },
    "responseElements": null,
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": true,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::KMS::Key",
        "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
Decrypt
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-12T23:59:34Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
            "encryptionContext": {
                "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
            },
            "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
        },
        "responseElements": null,
        "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
        "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
        "readOnly": true,
        "resources": [{
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
        }],
        "eventType": "AwsApiCall",
        "managementEvent": true,
        "recipientAccountId": "111122223333",
        "sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
        "eventCategory": "Management"
    }
GenerateDataKeyWithoutPlaintext
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-13T00:26:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKeyWithoutPlaintext",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
        "encryptionContext": {
            "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
        },
        "keySpec": "AES_256"
    },
    "responseElements": null,
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": true,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::KMS::Key",
        "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
    "eventCategory": "Management"
}
ReEncrypt
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-13T00:59:05Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ReEncrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "destinationEncryptionContext": {
            "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
        },
        "destinationKeyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
        "sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "sourceAAD": "SampleSourceAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
        "destinationAAD": "SampleDestinationAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
        "sourceEncryptionContext": {
            "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
        },
        "destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "sourceKeyId": "arn:aws:kms:us-west-2:111122223333:key/55555555-3333-2222-1111-EXAMPLE22222"
    },
    "responseElements": null,
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": true,
    "resources": [{
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
        },
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-7777777777777"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
    "eventCategory": "Management"
}

Crittografia delle campagne in uscita a riposo

Le campagne in uscita memorizzano i numeri di telefono dei clienti e gli attributi pertinenti. Queste informazioni vengono crittografate sempre a riposo utilizzando una chiave gestita dal cliente o una chiave di proprietà di AWS. I dati sono separati dall’ID dell’istanza di Amazon Connect e crittografati con chiavi specifiche dell’istanza.

Puoi fornire la tua chiave gestita dal cliente al momento dell’onboarding nelle campagne in uscita.

Il servizio utilizza questa chiave gestita dal cliente per crittografare i dati sensibili a riposo. Questa chiave viene creata e gestita dall’utente ed è di sua proprietà, per il controllo completo sul suo utilizzo e sulla sua sicurezza.

Se non fornisci la tua chiave gestita dal cliente, le campagne in uscita eseguono la crittografia dei dati sensibili a riposo utilizzando una chiave di proprietà AWS specifica per l’istanza Amazon Connect. Non è possibile visualizzare, utilizzare o verificare chiavi di proprietà di AWS. Tuttavia, non devi eseguire alcuna azione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta le chiavi di proprietà AWS nella Guida per gli sviluppatori di AWS Key Management Service.

Per l'utilizzo di una chiave gestita dal cliente, si applicano i costi di AWS KMS. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS KMS.

In che modo le campagne in uscita utilizzano le concessioni in AWS KMS

Outbound Campaigns richiede una concessione per utilizzare la chiave gestita dal cliente. Quando ti iscrivi alle campagne in uscita utilizzando la console AWS o l’API StartInstanceOnboardingJob, Outbound Campaigns crea una concessione per tuo conto inviando una richiesta CreateGrant a AWS KMS. Le concessioni in AWS KMS vengono utilizzate per concedere al ruolo collegato ai servizi di Amazon Connect Outbound Campaigns l’accesso a una chiave KMS nel tuo account.

Outbound Campaigns richiede la concessione per utilizzare la chiave gestita dal cliente per le seguenti operazioni interne:

  • Invia richieste DescribeKey a AWS KMS per verificare la validità dell'ID chiave simmetrico gestito dal cliente che è stato fornito.

  • Invio di una richiesta GenerateDataKeyWithoutPlainText a AWS KMS per generare chiavi dati crittografate dalla chiave gestita dal cliente.

  • Invio di richieste Decrypt a AWS KMS per decrittografare chiavi di dati crittografate in modo che tu possa utilizzarle per crittografare i tuoi dati.

Puoi revocare l’accesso alla concessione o rimuovere l’accesso alla chiave gestita dal cliente da parte di Outbound Campaigns in qualsiasi momento. In tal caso, Outbound Campaigns non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, influenzando le operazioni che dipendono da quei dati.

Policy delle chiavi gestite dal cliente per le campagne in uscita

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestione dell'accesso alle chiavi KMS nella Guida per gli sviluppatori di AWS Key Management Service.

Di seguito è riportato un esempio di policy della chiave che fornisce a un utente le autorizzazioni necessarie per chiamare le API delle campagne in uscita StartInstanceOnboardingJobPutDialRequestBatch e PutOutboundRequestBatch utilizzando la chiave gestita dal cliente:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow key access to Amazon Connect outbound campaigns.",
      "Effect": "Allow",
      "Principal": {
        "AWS": "your_user_or_role_ARN"
      },
      "Action": [
        "kms:Decrypt",
        "kms:CreateGrant"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "connect-campaigns.us-east-1.amazonaws.com",
          "kms:EncryptionContext:aws:accountId": "111122223333",
          "kms:EncryptionContext:aws:connect:instanceId": "InstanceID"
        }
      }
    },
    {
      "Sid": "Allow direct access to key metadata to the account",
      "Effect": "Allow",
      "Principal": {
         "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": [
        "kms:Describe*"
      ],
      "Resource": "*"
    }
  ]
}

Per informazioni su come specificare le autorizzazioni in una policy, consulta Specificazione delle chiavi KMS nelle istruzioni della policy IAM nella Guida per gli sviluppatori di AWS Key Management Service.

Per informazioni sulla risoluzione dei problemi relativi all'accesso alla chiave, consulta Risoluzione dei problemi di accesso alla chiave nella Guida per gli sviluppatori di AWS Key Management Service.

Contesto di crittografia delle campagne in uscita

Un contesto di crittografia è un set opzionale di coppie chiave-valore che contiene ulteriori informazioni contestuali sui dati. AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare crittografia autenticata.

Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS lega il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.

Le campagne in uscita utilizzano lo stesso contesto di crittografia in tutte le operazioni di crittografia di AWS KMS, in cui le chiavi sono aws:accountId e aws:connect:instanceId e il valore è l’id dell’account aws e l’id dell’istanza di Connect. 

"encryptionContext": {
   "aws:accountId": "111122223333",
   "aws:connect:instanceId": "sample instance id"
}

È inoltre possibile utilizzare il contesto di crittografia nei record e nei log di audit per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da CloudTrail o da File di log Amazon CloudWatch.

Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente

È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come condizioni per controllare l'accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.

Outbound Campaigns utilizza un vincolo del contesto di crittografia nelle concessioni per controllare l’accesso alla chiave gestita dal cliente nell’account o nella Regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.

Di seguito sono riportati alcuni esempi di istruzioni delle policy delle chiavi per concedere l'accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia. 

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},
{
     "Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
         "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:accountId": "111122223333",
             "kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
          }
     }
}

Monitoraggio delle chiavi di crittografia per le campagne in uscita

Quando utilizzi una chiave AWS KMS gestita dal cliente con le tue risorse delle campagne in uscita, puoi utilizzare AWS CloudTrail o Amazon CloudWatch Logs per tenere traccia delle richieste inviate dalla posizione Amazon a AWS KMS.

Gli esempi seguenti sono eventi di AWS CloudTrail per CreateGrant, GenerateDataKeyWithoutPlainText, DescribeKey e Decrypt per monitorare le operazioni KMS chiamate dalla posizione Amazon per accedere ai dati crittografati dalla chiave gestita dal cliente:

CreateGrant
{
  "eventVersion": "1.09",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAIGDTESTANDEXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "userName": "Admin"
      },
      "attributes": {
        "creationDate": "2024-08-27T18:40:57Z",
        "mfaAuthenticated": "false"
      }
    },
    "invokedBy": "connect-campaigns.amazonaws.com"
  },
  "eventTime": "2024-08-27T18:46:29Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "CreateGrant",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "connect-campaigns.amazonaws.com",
  "userAgent": "connect-campaigns.amazonaws.com",
  "requestParameters": {
    "constraints": {
      "encryptionContextSubset": {
        "aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "aws:accountId": "111122223333"
      }
    },
    "granteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
    "retiringPrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "operations": [
      "Decrypt",
      "Encrypt",
      "DescribeKey",
      "GenerateDataKey",
      "GenerateDataKeyWithoutPlaintext",
      "ReEncryptFrom",
      "ReEncryptTo"
    ]
  },
  "responseElements": {
    "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
  },
  "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "readOnly": false,
  "resources": [
    {
      "accountId": "111122223333",
      "type": "AWS::KMS::Key",
      "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "eventCategory": "Management",
  "sessionCredentialFromConsole": "true"
}
GenerateDataKeyWithoutPlainText
{
  "eventVersion": "1.09",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
    "arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
    "accountId": "111122223333",
    "accessKeyId": "AROAIGDTESTANDEXAMPLE",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAIGDTESTANDEXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
        "accountId": "111122223333",
        "userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
      },
      "attributes": {
        "creationDate": "2024-08-27T18:46:29Z",
        "mfaAuthenticated": "false"
      }
    },
    "invokedBy": "connect-campaigns.amazonaws.com"
  },
  "eventTime": "2024-08-27T18:46:29Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKeyWithoutPlaintext",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "connect-campaigns.amazonaws.com",
  "userAgent": "connect-campaigns.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
      "aws:accountId": "111122223333"
    },
    "keyId": "arn:aws:kms:us-west-2:586277393662:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "keySpec": "AES_256"
  },
  "responseElements": null,
  "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "readOnly": true,
  "resources": [
    {
      "accountId": "111122223333",
      "type": "AWS::KMS::Key",
      "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "eventCategory": "Management"
}
DescribeKey
{
  "eventVersion": "1.09",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
    "arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
    "accountId": "111122223333",
    "accessKeyId": "AROAIGDTESTANDEXAMPLE",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAIGDTESTANDEXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
        "accountId": "111122223333",
        "userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
      },
      "attributes": {
        "creationDate": "2024-08-27T18:46:29Z",
        "mfaAuthenticated": "false"
      }
    },
    "invokedBy": "connect-campaigns.amazonaws.com"
  },
  "eventTime": "2024-08-27T18:46:29Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "DescribeKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "connect-campaigns.amazonaws.com",
  "userAgent": "connect-campaigns.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "grantTokens": [
      "EL7BPAGG-KDm8661M1pl55WcQD_9ZgFwYXN-SAMPLE"
    ]
  },
  "responseElements": null,
  "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "readOnly": true,
  "resources": [
    {
      "accountId": "111122223333",
      "type": "AWS::KMS::Key",
      "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "eventCategory": "Management"
}
Decrypt
{
  "eventVersion": "1.09",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AKIAIOSFODNN7EXAMPLE3",
        "arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "userName": "Admin"
      },
      "attributes": {
        "creationDate": "2024-08-27T18:40:57Z",
        "mfaAuthenticated": "false"
      }
    },
    "invokedBy": "connect-campaigns.amazonaws.com"
  },
  "eventTime": "2024-08-27T19:09:02Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "connect-campaigns.amazonaws.com",
  "userAgent": "connect-campaigns.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
      "aws:accountId": "111122223333"
    },
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
  },
  "responseElements": null,
  "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "readOnly": true,
  "resources": [
    {
      "accountId": "111122223333",
      "type": "AWS::KMS::Key",
      "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "eventCategory": "Management",
  "sessionCredentialFromConsole": "true"
}

Previsioni, pianificazioni della capacità e calendarizzazioni

Quando si creano previsioni, pianificazioni della capacità e calendarizzazioni, tutti i dati vengono crittografati a riposo utilizzando chiavi di crittografia Chiave di proprietà di AWS archiviate in AWS Key Management Service.