View a markdown version of this page

Connect Customer でのキー管理 - Amazon Connect Customer
AI エージェントを接続するAmazon AppIntegrationsCustomer ProfilesVoice IDアウトバウンドキャンペーン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Connect Customer でのキー管理

Amazon S3 入出力バケットでのエンベロープ暗号化に使用する独自の AWS KMS キーの持ち込み (BYOK) などのキーを指定できます。 Amazon S3

AWS KMS キーを Connect Customer の S3 ストレージロケーションに関連付けると、API 発信者のアクセス許可 (またはコンソールユーザーのアクセス許可) を使用して、対応する Connect Customer インスタンスサービスロールを被付与者プリンシパルとするキーに対する権限が作成されます。その Connect Customer インスタンスに固有のサービスリンクロールの場合、許可により、ロールは暗号化と復号に キーを使用できます。例えば、次のようになります。

  • DisassociateInstanceStorageConfig API を呼び出して、Connect Customer の S3 ストレージロケーションから AWS KMS キーの関連付けを解除すると、許可はキーから削除されます。

  • AssociateInstanceStorageConfig API を呼び出して AWS KMS キーを Connect Customer の S3 ストレージロケーションに関連付けるが、 アクセスkms:CreateGrant許可がない場合、関連付けは失敗します。

list-grants CLI コマンドを使用して、指定された カスタマー管理キーのすべての付与された権限を一覧表示します。

AWS KMS キーの詳細については、「 とは」を参照してください AWS Key Management Service。 AWS 「 Key Management Service デベロッパーガイド」の「」を参照してください。

AI エージェントを接続する

Connect AI エージェントは、BYOK またはサービス所有のキーを使用して、保管時に暗号化されたナレッジドキュメントを S3 に保存します。ナレッジドキュメントは、Amazon OpenSearch Service での保管時に、サービス所有のキーを使用して暗号化されます。Connect AI エージェントは、BYOK またはサービス所有のキーを使用してエージェントクエリと通話トランスクリプトを保存します。

Connect AI エージェントで使用されるナレッジドキュメントは、 AWS KMS キーによって暗号化されます。

Amazon AppIntegrations

Amazon AppIntegrations は、設定データの暗号化のための BYOK に対応していません。外部アプリケーションデータとの同期を取る場合は、定期的に BYOK を実施する必要があります。Amazon AppIntegrations には、カスタマー管理キーを使用するための許可が必要です。データ統合を作成すると、Amazon AppIntegrations は AWS KMS ユーザーに代わって にCreateGrantリクエストを送信します。グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。これを行うと、Amazon AppIntegrations はカスタマーマネージドキーによって暗号化されたデータにアクセスできなくなります。これは、そのデータに依存する Connect カスタマーサービスに影響します。

Customer Profiles

Customer Profiles では、データの暗号化に使用する AWS KMS キーを指定できます。カスタマーマネージドキーを指定しない場合、Connect Customer Profiles は、 AWS所有の暗号化キーを使用して、保管中のデータの暗号化をデフォルトで提供します。

新規または既存のドメインのデータストアを有効にする前に、 を設定する必要があります AWS KMS key。

オブジェクトタイプの個々の KMS キーを定義することもできます。顧客データを暗号化する場合は、オブジェクトタイプ KMS キーを使用します。それ以外の場合は、ドメインの KMS キーを使用します。

Data Vault を有効にした後は、ドメインまたはオブジェクトタイプの KMS キーを更新することはできません。新しいキーを使用して新しいオブジェクトタイプを作成できますが、既存のキー設定を変更することはできません。

Voice ID

Connect Customer Voice ID を使用するには、保管中のすべての顧客データを暗号化するために使用される Connect Customer Voice ID ドメインを作成するときに、カスタマーマネージドキー KMS キー (BYOK) を指定する必要があります。

アウトバウンドキャンペーン

アウトバウンドキャンペーンは、 AWS 所有のキー またはカスタマーマネージドキーを使用してすべての機密データを暗号化します。カスタマーマネージドキーがユーザーによって作成、所有、管理されると、カスタマーマネージドキーを完全に制御できます (AWS KMS 料金が適用されます)。