翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Connect での保管時の暗号化
PII として分類された問い合わせデータ、または Amazon Connect によって保存されているお客様のコンテンツを表すデータは、 が所有する暗号化キーを使用して保管時 (つまり、ディスクに格納、保存、保存される前) に AWS KMS 暗号化されます AWS。 AWS KMS キーの詳細については、[「 とは」を参照してください AWS Key Management Service。](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) *AWS Key Management Service 「 デベロッパーガイド*」の「� 非一時ストレージの問い合わせデータは暗号化されるため、KMS キーから生成されたデータ暗号化キーは Amazon Connect インスタンス間で共有されません。
Amazon S3 のサーバー側の暗号化は、会話の録音 (音声とチャット) の暗号化に使用されます。通話録音、画面録画、トランスクリプトは次の 2 つのフェーズで保存されます。
+ 問い合わせ中および問い合わせ後 (配信される前) に Amazon Connect 内で中間的に保持された記録。
+ Amazon S3 バケットに配信された通話の記録。
Amazon S3 バケットに保存された記録およびチャットのトランスクリプトは、インスタンスの作成時に設定されている KMS キーを使用して保護されます。
Amazon Connect のキー管理の詳細については、「[Amazon Connect でのキー管理](key-management.md)」を参照してください。
**Topics**
+ [Amazon AppIntegrations](#encryption-at-rest-appintegrations)
+ [Amazon Connect Cases](#encryption-at-rest-cases)
+ [Amazon Connect Customer Profiles](#encryption-at-rest-customer-profiles)
+ [AI エージェントを接続する](#encryption-at-rest-wisdom)
+ [Amazon Connect Voice ID での保管時の暗号化](#encryption-at-rest-voiceid)
+ [アウトバウンドキャンペーンの保管データ暗号化](#encryption-at-rest-outboundcommunications)
+ [予測、容量計画、スケジュール](#forecasts-encryption-at-rest-)
## Amazon AppIntegrations の保存中のデータ暗号化
カスタマーマネージドキーで暗号化された DataIntegration を作成すると、Amazon AppIntegrations は`CreateGrant`リクエストを送信してユーザーに代わって許可を作成します AWS KMS。の許可 AWS KMS は、Amazon AppIntegrations にアカウントの KMS キーへのアクセスを許可するために使用されます。
ユーザーは任意のタイミングで、この許可へのアクセス権を取り消したり、Amazon AppIntegrations がカスタマー管理キーに対して持つアクセス権を削除したりできます。これを行うと、Amazon AppIntegrations はカスタマー管理キーによって暗号化されたすべてのデータにアクセスできなくなり、そのデータに依存しているオペレーションが影響を受けます。
Amazon AppIntegrations が処理する外部アプリケーションデータは、S3 バケット内での保管中、設定時に指定したカスタマー管理キーを使用して暗号化されています。統合の設定に関するデータは、保管中、ユーザーアカウントに固有の期間限定キーを使用して暗号化されます。
Amazon AppIntegrations には、カスタマー管理のキーを以下の内部オペレーションで使用するための許可が必要です。
+ `GenerateDataKeyRequest` に送信 AWS KMS して、カスタマーマネージドキーによって暗号化されたデータキーを生成します。
+ データを暗号化 AWS KMS するために使用できるように、暗号化されたデータキーを復号化するための`Decrypt`リクエストを に送信します。
## Amazon Connect Cases での保管時の暗号化
ケースフィールド、ケースコメント、Amazon Connect Cases に保存されているフィールドとテンプレートの説明に顧客が提供するすべてのデータは、 AWS Key Management Service () に保存されている暗号化キーを使用して保管時に暗号化されますAWS KMS。
Amazon Connect Cases サービスは、高いセキュリティ標準を満たすために暗号化キー (つまり、 AWS 所有のキー) を所有、管理、監視、ローテーションします。ケースイベントストリームのペイロードは、顧客アカウントのデフォルトバスを介して利用できるようになる前に、Amazon EventBridge に一時的に (通常は数秒間) 保存されます。EventBridge は、 を使用して保管中のペイロード全体を暗号化します AWS 所有のキー。
## Amazon Connect Customer Profiles での保管時の暗号化
Amazon Connect Customer Profiles に格納されたすべてのユーザーデータには、保管時の暗号化が行われます。Amazon Connect Customer Profiles の保管時の暗号化は、 AWS Key Management Service () に保存されている暗号化キーを使用して保管中のすべてのデータを暗号化することで、セキュリティを強化しますAWS KMS。この機能は、機密データの保護における負担と複雑な作業を減らすのに役立ちます。保管時に暗号化することで、セキュリティを重視したアプリケーションを構築して、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。
組織のポリシー、業界や政府の規制、またはコンプライアンス要件によって、アプリケーションのデータセキュリティを高めるために保管時の暗号化の使用が求められることがあります。Customer Profiles は と統合され AWS KMS 、保管時の暗号化戦略を有効にします。詳細については、「 AWS Key Management Service デベロッパーガイド」の「[AWS Key Management Service コンセプト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)」を参照してください。
新しいドメインを作成する際には、サービスが転送中および保管時のデータを暗号化するために使用する、[KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)を指定する必要があります。カスタマー管理キーは、ユーザーにより作成、所有、および管理されます。カスタマーマネージドキーを完全に制御できます (AWS KMS 料金が適用されます)。
新しいドメイン、またはプロファイルのオブジェクトタイプを作成する際は、暗号化キーを指定します。あるいは、 AWS Command Line Interface (AWS CLI)、または Amazon Connect Customer Profiles の暗号化 API を使用して、既存のリソースの暗号化キーを切り替えます。カスタマー管理キーを選択すると、Amazon Connect Customer Profiles によってカスタマー管理キーに関する許可が作成され、これにより、カスタマー管理キーへのアクセス許可が付与されます。
AWS KMS カスタマーマネージドキーには 料金が適用されます。料金の詳細については、「[AWS KMS の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
## 保管中の AI エージェントの暗号化を接続する
Connect AI エージェントに保存されているすべてのユーザーデータは、 に保存されている暗号化キーを使用して保管時に暗号化されます AWS Key Management Service。オプションでカスタマーマネージドキーを指定すると、Connect AI エージェントはそれを使用して、Connect AI エージェント検索インデックスの外部に保存されているナレッジコンテンツを暗号化します。Connect AI エージェントは、お客様ごとに専用の検索インデックスを使用し、 AWS 所有のキー 保存されている を使用して保管時に暗号化されます AWS Key Management Service。さらに、CloudTrail を使用して、Connect AI エージェント APIs を使用してデータアクセスを監査できます。
AWS KMS 料金は、指定したキーを使用する場合に適用されます。料金の詳細については、「[AWS KMS の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
## Amazon Connect Voice ID での保管時の暗号化
Amazon Connect Voice ID は、登録済みの顧客の音声を取得したり顧客を識別したりするためのリバースエンジニアリングを防止する方法で、顧客の音声プリントを保存します。Amazon Connect Voice ID では、すべてのユーザーデータに対して保管時の暗号化が行われます。新しい Voice ID ドメインを作成する場合は、サービスが保管中のデータを暗号化するために使用する、カスタマー管理キーを指定する必要があります。カスタマー管理キーは、ユーザーにより作成、所有、および管理されます。ユーザーは、キーに関する完全なコントロール権を持ちます。
コマンドラインインターフェイス (AWS CLI) の `update-domain` コマンドまたは [UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html) Voice ID API を使用して、Voice ID AWS ドメインの KMS キーを更新できます。
KMS キーを変更すると、古いデータを新しい KMS キーで再暗号化するために非同期プロセスがトリガーされます。このプロセスが完了すると、ドメインのすべてのデータが新しい KMS キーで暗号化され、古いキーを安全に廃止できます。詳細については、「[UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html)」を参照してください。
Voice ID によって、カスタマー管理キーに関するグラントが作成され、そのキーにアクセスできるようになります。詳細については、「[Amazon Connect Voice ID が で許可を使用する方法 AWS KMS](#voiceid-uses-grants)」を参照してください。
カスタマー管理キーを使用して保管時に暗号化されるデータの一覧を次に示します。
+ **ボイスプリント**: システムへの通話者の登録や、不正通話の記録を行った際に生成されたボイスプリント。
+ **通話者と不正通話の音声**:通話者の登録ならびに不正通話の記録に使用するオーディオデータ。
+ **CustomerSpeakerId**: 顧客を Voice ID に登録する際に、その顧客から提供された SpeakerId。
+ **顧客提供のメタデータ**: これには、`Domain` `Description`、`Domain Name`、`Job Name` など自由形式の文字列が含まれます。
AWS KMS カスタマーマネージドキーには 料金が適用されます。料金の詳細については、「[AWS KMS の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
### Amazon Connect Voice ID が で許可を使用する方法 AWS KMS
Amazon Connect Voice ID には、カスタマー管理キーを使用するための許可が必要です。ドメインを作成すると、Voice ID は [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) リクエストを送信してユーザーに代わって許可を作成します AWS KMS。このグラントは、以下の内部オペレーションでカスタマー管理キーを使用するために必要です。
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) リクエストを に送信 AWS KMS して、指定された対称カスタマーマネージドキー ID が有効であることを確認します。
+ オブジェクトを暗号化するためのデータキーを作成するには、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) リクエストを KMS キーに送信します。
+ に [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) リクエストを送信 AWS KMS して、暗号化されたデータキーを復号し、データの暗号化に使用できるようにします。
+ キーが更新され AWS KMS ると[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) リクエストを に送信して、新しいキーを使用して制限されたデータセットを再暗号化します。
+ AWS KMS キーを使用して S3 にファイルを保存し、データを暗号化します。
任意のタイミングで、許可に対するアクセス権を取り消したり、カスタマー管理キーに対するサービスからのアクセス権を削除したりできます。これを行うと、Voice ID はカスタマー管理キーによって暗号化されたすべてのデータにアクセスできなくなり、そのデータに依存するすべてのオペレーションが影響を受けます。結果的に、非同期ワークフローで `AccessDeniedException` エラーが発生しその処理に失敗します。
### Voice ID でのカスタマー管理キーポリシー
キーポリシーは、カスタマー管理キーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマー管理キーを作成する際に、キーポリシーを指定することができます。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[Managing access to KMS keys (KMS キーへのアクセスを管理する)](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)」を参照してください。
次に、カスタマー管理キーを使用して Voice ID API を呼び出す際に必要となる権限をユーザーに付与する、キーポリシーの例を示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect VoiceID.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"voiceid.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
ポリシーでアクセス許可を指定する方法については、 AWS Key Management Service デベロッパーガイドの[「IAM ポリシーステートメントでの KMS キーの指定](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)」を参照してください。
キーアクセスのトラブルシューティングの詳細については、 AWS Key Management Service デベロッパーガイドの[「キーアクセスのトラブルシューティング](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)」を参照してください。
### Voice ID の暗号化コンテキスト
[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)は、データに関する追加のコンテキスト情報を含むキーと値のペアのオプションセットです。 は、認証された暗号化をサポートする[追加の認証済みデータ](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html)[として暗号化](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)コンテキスト AWS KMS を使用します。
データの暗号化リクエストに暗号化コンテキストを組み込むと、 AWS KMS は暗号化コンテキストを暗号化後のデータにバインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。
Voice ID は、すべての AWS KMS 暗号化オペレーションで同じ暗号化コンテキストを使用します。キーは `aws:voiceid:domain:arn`で、値はリソース Amazon リソースネーム (ARN) [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) です。
```
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
```
また、カスタマー管理キーがどのように使用されているかを特定するために、暗号化コンテキストを監査レコードおよびログで使用することもできます。暗号化コンテキストは、 CloudTrail または Amazon CloudWatch Logs によって生成されたログの中にも記載されます。
#### 暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御する
対称カスタマーマネージドキー (CMK) へのアクセスを制御するための条件として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することもできます。付与する際に、暗号化コンテキストの制約を使用することもできます。
Amazon Connect Voice ID は、権限で暗号化コンテキスト制約を使用して、アカウントまたはリージョン内のカスタマーマネージドキーへのアクセスを制御します。権限の制約では、権限によって許可されるオペレーションで指定された暗号化コンテキストを使用する必要があります。
次に、特定の暗号化コンテキストのカスタマーマネージドキーへのアクセスを付与するキーポリシーステートメントの例を示します。このポリシーステートメントの条件では、権限に暗号化コンテキストを指定する暗号化コンテキスト制約が必要です。
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId""
}
}
}
```
### Voice ID の暗号化キーのモニタリング
Voice ID で AWS KMS カスタマーマネージドキーを使用する場合、 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)または [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) を使用して、Voice ID が送信するリクエストを追跡できます AWS KMS。
次の例は、カスタマーマネージドキーによって暗号化されたデータにアクセスするために Voice ID によって呼び出される`CreateGrant`オペレーションのサンプル AWS CloudTrail イベントです。
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA5STZEFPSZEOW7NP3X:SampleUser1",
"arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
"accountId": "111122223333",
"accessKeyId": "AAAAAAA1111111EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA5STZEFPSZEOW7NP3X",
"arn": "arn:aws:iam::111122223333:role/SampleRole",
"accountId": "111122223333",
"userName": "SampleUser"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-09-14T23:02:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-09-14T23:02:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "SampleIpAddress",
"userAgent": "Example Desktop/1.0 (V1; OS)",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
},
"retiringPrincipal": "voiceid.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"operations": [
"CreateGrant",
"Decrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyPair",
"GenerateDataKeyPairWithoutPlaintext",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
],
"granteePrincipal": "voiceid.amazonaws.com "
},
"responseElements": {
"grantId": "00000000000000000000000000000cce47be074a8c379ed39f22b155c6e86af82"
},
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T15:12:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "alias/sample-key-alias"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-12T23:59:34Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKeyWithoutPlaintext ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:26:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ ReEncrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"destinationEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationKeyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceAAD": "SampleSourceAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"destinationAAD": "SampleDestinationAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"sourceEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceKeyId": "arn:aws:kms:us-west-2:111122223333:key/55555555-3333-2222-1111-EXAMPLE22222"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-7777777777777"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
## アウトバウンドキャンペーンの保管データ暗号化
アウトバウンドキャンペーンは、顧客の電話番号と関連する属性を保存します。この情報は、保存時には常に、カスタマーマネージドキーまたは AWS 所有キーのいずれかを使用して暗号化されます。データは Amazon Connect インスタンス ID で区切られ、インスタンス固有のキーで暗号化されます。
アウトバウンドキャンペーンへのオンボーディング時に、独自のカスタマーマネージドキーを指定できます。
サービスは、カスタマーマネージドキーを使用して、保管中の機密データを暗号化します。このキーはユーザーが作成、所有、完全に管理するため、その使用とセキュリティを完全に制御できます。
独自のカスタマーマネージドキーを指定しない場合、アウトバウンドキャンペーンは、インスタンスに固有の AWS 所有キーを使用して保管中の機密データを暗号化します Amazon Connect 。 AWS 所有キーを表示、管理、使用、監査することはできません。ただし、データを暗号化するキーを保護するために何らかの操作を行ったり、プログラムを変更したりする必要はありません。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS 所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
AWS KMS カスタマーマネージドキーには 料金が適用されます。料金の詳細については、「[AWS KMS の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
### アウトバウンドキャンペーンが で許可を使用する方法 AWS KMS
アウトバウンドキャンペーンがカスタマーマネージドキーを使用するには許可が必要です。 AWS コンソールまたは `StartInstanceOnboardingJob` API を使用してアウトバウンドキャンペーンにオンボードすると、アウトバウンドキャンペーンは`CreateGrant`リクエストを送信してユーザーに代わってグラントを作成します AWS KMS。の許可 AWS KMS は、 Amazon Connect アウトバウンドキャンペーン のサービスにリンクされたロールにアカウントの KMS キーへのアクセスを許可するために使用されます。
アウトバウンドキャンペーンでは、以下の内部オペレーションでカスタマーマネージドキーを使用するための許可が必要です。
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) リクエストを に送信 AWS KMS して、指定された対称カスタマーマネージドキー ID が有効であることを確認します。
+ `GenerateDataKeyWithoutPlainText` リクエストを AWS KMS に送信して、カスタマーマネージドキーで暗号化されたデータキーを生成します。
+ データを暗号化 AWS KMS するために使用できるように、暗号化されたデータキーを復号化するための`Decrypt`リクエストを に送信します。
ユーザーは任意のタイミングで、この許可へのアクセスを取り消したり、アウトバウンドキャンペーンがカスタマーマネージドキーに対して持つアクセス許可を削除したりできます。これを行うと、アウトバウンドキャンペーンはカスタマーマネージドキーによって暗号化されたすべてのデータにアクセスできなくなり、そのデータに依存しているオペレーションが影響を受けます。
### アウトバウンドキャンペーンのカスタマーマネージドキーポリシー
キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマー管理キーを作成する際に、キーポリシーを指定することができます。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[Managing access to KMS keys (KMS キーへのアクセスを管理する)](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)」を参照してください。
以下は、カスタマーマネージドキーを使用してアウトバウンドキャンペーン [StartInstanceOnboardingJob](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_StartInstanceOnboardingJob.html)、[PutDialRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutDialRequestBatch.html)、および [PutOutboundRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutOutboundRequestBatch.html) の各 API を呼び出すために必要なアクセス許可をユーザーに付与するキーポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect outbound campaigns.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "connect-campaigns.us-east-1.amazonaws.com",
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "InstanceID"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*"
],
"Resource": "*"
}
]
}
```
------
ポリシーでアクセス許可を指定する方法については、「 AWS Key Management Service デベロッパーガイド[」の「IAM ポリシーステートメントでの KMS キーの指定](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)」を参照してください。
キーアクセスのトラブルシューティングの詳細については、 AWS Key Management Service デベロッパーガイドの[「キーアクセスのトラブルシューティング](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)」を参照してください。
### アウトバウンドキャンペーンの暗号化コンテキスト
[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)は、データに関する追加のコンテキスト情報を含むキーと値のペアのオプションセットです。 AWS KMS は、暗号化コンテキストを[追加の認証済みデータ](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html)として使用して[、認証済み暗号化](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)をサポートします。
データの暗号化リクエストに暗号化コンテキストを組み込むと、 AWS KMS は暗号化コンテキストを暗号化後のデータにバインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。
アウトバウンドキャンペーンは、すべての AWS KMS 暗号化オペレーションで同じ暗号化コンテキストを使用します。キーは aws:accountId and aws:connect:instanceId で、値は aws account id と Connect instance id です。
```
"encryptionContext": {
"aws:accountId": "111122223333",
"aws:connect:instanceId": "sample instance id"
}
```
また、カスタマー管理キーがどのように使用されているかを特定するために、暗号化コンテキストを監査レコードおよびログで使用することもできます。暗号化コンテキストは、 CloudTrail または Amazon CloudWatch Logs によって生成されたログの中にも記載されます。
#### 暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御する
対称カスタマーマネージドキー (CMK) へのアクセスを制御するための条件として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することもできます。付与する際に、暗号化コンテキストの制約を使用することもできます。
アウトバウンドキャンペーンは、許可で暗号化コンテキスト制約を使用して、アカウントまたはリージョン内のカスタマーマネージドキーへのアクセスを制御します。グラントの制約では、指定された暗号化コンテキストの使用をグラントが許可するオペレーションが必要です。
次に、特定の暗号化コンテキストのカスタマーマネージドキーへのアクセスを付与するキーポリシーステートメントの例を示します。このポリシーステートメントの条件では、暗号化コンテキストを指定する暗号化コンテキスト制約がグラントに必要です。
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
}
}
}
```
### アウトバウンドキャンペーンの暗号化キーのモニタリング
アウトバウンドキャンペーンリソースで AWS KMS カスタマーマネージドキーを使用する場合、 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)または [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) を使用して、Amazon Location が送信するリクエストを追跡できます AWS KMS。
次の例は、CreateGrant、GenerateDataKeyWithoutPlainText、DescribeKey、および Decrypt の AWS CloudTrail イベントで、Amazon Location によって呼び出された KMS オペレーションをモニタリングし、カスタマーマネージドキーによって暗号化されたデータにアクセスします。
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
}
},
"granteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"retiringPrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"Encrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:586277393662:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"grantTokens": [
"EL7BPAGG-KDm8661M1pl55WcQD_9ZgFwYXN-SAMPLE"
]
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T19:09:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
## 予測、容量計画、スケジュール
予測、キャパシティプラン、スケジュールを作成すると、保管中のすべてのデータは に保存されている暗号化キーを使用して AWS 所有のキー 暗号化されます AWS Key Management Service。