Amazon Connect でのキー管理 - Amazon Connect
Amazon Q in ConnectAmazon AppIntegrationsCustomer ProfilesVoice IDアウトバウンドキャンペーン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Connect でのキー管理

Amazon S3 入出力バケットでのエンベロープ暗号化に使用する独自の AWS KMS キーの持ち込み (BYOK) などのキーを指定できます。 Amazon S3

AWS KMS キーを Amazon Connect の S3 ストレージロケーションに関連付けると、API 発信者のアクセス許可 (またはコンソールユーザーのアクセス許可) を使用して、対応する Amazon Connect インスタンスサービスロールを被付与者プリンシパルとしてキーに対する許可が作成されます。その Amazon Connect インスタンスに固有のサービスリンクロールの場合、グラントにより、ロールは暗号化と復号化のためにキーを使用することができます。例えば、次のようになります。

  • DisassociateInstanceStorageConfig API を呼び出して Amazon Connect の S3 ストレージの場所から AWS KMS キーの関連付けを解除すると、許可はキーから削除されます。

  • AssociateInstanceStorageConfig API を呼び出して AWS KMS キーを Amazon Connect の S3 ストレージロケーションに関連付けるが、 アクセスkms:CreateGrant許可がない場合、関連付けは失敗します。

list-grants CLI コマンドを使用して、指定された カスタマー管理キーのすべての付与された権限を一覧表示します。

AWS KMS キーの詳細については、AWS 「 Key Management Service デベロッパーガイド」の「What is AWS Key Management Service?」を参照してください。

Amazon Q in Connect

Amazon Q in Connect は、BYOK またはサービス所有のキーを使用して、保管時の暗号化が行われたナレッジドキュメントを S3 に保存します。ナレッジドキュメントは、Amazon OpenSearch Service での保管時に、サービス所有のキーを使用して暗号化されます。Amazon Q in Connect は、BYOK またはサービス所有のキーを使用して、エージェントのクエリや通話のトランスクリプトを保存します。

Amazon Q in Connect で使用されるナレッジドキュメントは、 AWS KMS キーによって暗号化されます。

Amazon AppIntegrations

Amazon AppIntegrations は、設定データの暗号化のための BYOK に対応していません。外部アプリケーションデータとの同期を取る場合は、定期的に BYOK を実施する必要があります。Amazon AppIntegrations には、カスタマー管理キーを使用するための許可が必要です。データ統合を作成すると、Amazon AppIntegrations は AWS KMS ユーザーに代わって にCreateGrantリクエストを送信します。グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。これを行った場合、Amazon AppIntegrations は、カスタマー管理キーによって暗号化されたすべてのデータにアクセスできなくなります。これにより、そのデータに依存する Amazon Connect サービスが影響を受けます。

Customer Profiles

Customer Profiles では、データの暗号化に使用する AWS KMS キーを指定できます。カスタマーマネージドキーを指定しない場合、Amazon Connect Customer Profiles は、 AWS所有の暗号化キーを使用して、保管中のデータの暗号化をデフォルトで提供します。

新規または既存のドメインのデータストアを有効にする前に、 を設定する必要があります AWS KMS key。

オブジェクトタイプの個々の KMS キーを定義することもできます。顧客データを暗号化する場合は、オブジェクトタイプ KMS キーを使用します。それ以外の場合は、ドメインの KMS キーを使用します。

Data Vault を有効にした後は、ドメインまたはオブジェクトタイプの KMS キーを更新することはできません。新しいキーを使用して新しいオブジェクトタイプを作成できますが、既存のキー設定を変更することはできません。

Voice ID

Amazon Connect Voice ID を使用するには、Amazon Connect Voice ID ドメインを作成する際に、カスタマー管理キー KMS キー (BYOK) を指定することが必須です。このドメインは、保管中のすべての顧客データを暗号化するために使用されます。

アウトバウンドキャンペーン

アウトバウンドキャンペーンは、 AWS 所有のキー またはカスタマーマネージドキーを使用してすべての機密データを暗号化します。カスタマーマネージドキーがユーザーによって作成、所有、管理されると、カスタマーマネージドキーを完全に制御できます (AWS KMS 料金が適用されます)。