Esempio di policy basata sulle risorse per i segreti di Secrets Manager Esempio di politica basata sulle risorse per s AWS KMS key Allegare una policy basata sulle risorse al segreto di Secrets Manager Allegare una politica basata sulle risorse alla chiave KMS Chiavi API rotanti

Gestione dei segreti e delle politiche relative alle risorse

Quando configuri un provider vocale di terze parti, dovrai creare un segreto in Secrets Manager che contenga la chiave API del provider vocale. La creazione del segreto è un processo in due fasi:

Crea il segreto contenente la chiave API. Per istruzioni, consulta Creare un Gestione dei segreti AWS segreto.
Configura le autorizzazioni necessarie:
- Allega una politica basata sulle risorse al segreto.
- Allega una policy basata sulle risorse alla chiave KMS (non alla chiave API) associata al segreto. La chiave KMS protegge la chiave API nel segreto.
Queste politiche consentono ad Amazon Connect di accedere alla chiave API all'interno del segreto. Tieni presente che non puoi utilizzare la chiave aws/secretsmanager KMS predefinita; dovrai creare una nuova chiave o utilizzare una chiave esistente gestita dal cliente. Per ulteriori informazioni su come le chiavi KMS proteggono i segreti, vedi Crittografia e decrittografia segrete in Secrets Manager.

Assicurati che la politica basata sulle risorse per il segreto includa le condizioni sostitutive aws:SourceAccount e aws:SourceArn confuse (vedi Il problema del vice confuso) e che la politica basata sulle risorse per la chiave KMS includa la condizione. kms:EncryptionContext:SecretARN Ciò garantirà che Amazon Connect possa accedere alla tua chiave API segreta solo nel contesto di una singola istanza specifica e possa accedere alla tua chiave KMS solo nel contesto sia di quell'istanza che del segreto specifico.

Esempio di policy basata sulle risorse per i segreti di Secrets Manager

Di seguito è riportato un esempio di policy basata sulle risorse che puoi allegare al tuo segreto.



{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///"
        }
      }
    }
  ]
}

Esempio di politica basata sulle risorse per s AWS KMS key

Di seguito è riportato un esempio di politica basata sulle risorse che puoi allegare alla tua chiave KMS.



{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///",
          "kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
        }
      }
    }
  ]
}

Allegare una policy basata sulle risorse al segreto di Secrets Manager

Per allegare una politica basata sulle risorse al tuo segreto, vai alla console Secrets Manager all'interno di Console di gestione AWS, vai al tuo segreto, scegli Modifica autorizzazioni o Autorizzazionirisorse e quindi aggiungi o modifica la politica delle risorse direttamente nella pagina in modo che sia simile all'esempio. Puoi anche allegare la politica delle risorse tramite il put-resource-policy comando AWS CLI's o a livello di codice utilizzando l'operazione API. PutResourcePolicy

Allegare una politica basata sulle risorse alla chiave KMS

Per allegare una politica basata sulle risorse alla tua chiave KMS, vai alla AWS Key Management Service console all'interno di, vai alla tua chiave KMS e modifica la Console di gestione AWS politica chiave in modo che assomigli all'esempio. Puoi anche aggiornare la chiave tramite il put-key-policy comando AWS CLI's o a livello di codice utilizzando l'operazione API. PutKeyPolicy

Chiavi API rotanti

Consigliamo di ruotare le chiavi API almeno ogni 90 giorni per ridurre al minimo il rischio di compromissione e mantenere un processo di rotazione delle chiavi ben consolidato per le situazioni di emergenza.

Per ruotare una chiave API, devi ruotare il segreto in cui è contenuta. Per ulteriori informazioni su come ruotare i segreti, consulta Rotate Secrets Manager nella Guida per l'utente di Secrets Manager. Quando ruoti una chiave API, ti consigliamo di attendere che l'utilizzo della chiave precedente scenda a zero prima di revocare la vecchia chiave API per garantire che le richieste in corso non vengano influenzate.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Endpoint e regioni per provider STT di terze parti

Creare un intento Amazon Q in Connect