翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Connect でのキー管理
<a name="key-management"></a>

Amazon S3 入出力バケットでのエンベロープ暗号化に使用する独自の AWS KMS キーの持ち込み (BYOK) などのキーを指定できます。 Amazon S3 

 AWS KMS キーを Amazon Connect の S3 ストレージロケーションに関連付けると、API 発信者のアクセス許可 (またはコンソールユーザーのアクセス許可) を使用して、対応する Amazon Connect インスタンスサービスロールを被付与者プリンシパルとするキーに対する許可が作成されます。その Amazon Connect インスタンスに固有のサービスリンクロールの場合、グラントにより、ロールは暗号化と復号化のためにキーを使用することができます。例えば、次のようになります。
+ [DisassociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_DisassociateInstanceStorageConfig.html) API を呼び出して Amazon Connect の S3 ストレージの場所から AWS KMS キーの関連付けを解除すると、許可はキーから削除されます。
+ [AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html) API を呼び出して AWS KMS キーを Amazon Connect の S3 ストレージロケーションに関連付けるが、 アクセス`kms:CreateGrant`許可がない場合、関連付けは失敗します。

[https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html](https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html) CLI コマンドを使用して、指定された カスタマー管理キーのすべての付与された権限を一覧表示します。

 AWS KMS キーの詳細については、[「 とは」を参照してください AWS Key Management Service。](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) *AWS 「 Key Management Service デベロッパーガイド*」の「」を参照してください。

## AI エージェントを接続する
<a name="key-management-qic"></a>

Connect AI エージェントは、BYOK またはサービス所有のキーを使用して、保管時に暗号化されたナレッジドキュメントを S3 に保存します。ナレッジドキュメントは、Amazon OpenSearch Service での保管時に、サービス所有のキーを使用して暗号化されます。Connect AI エージェントは、BYOK またはサービス所有のキーを使用して、エージェントクエリと通話トランスクリプトを保存します。

Connect AI エージェントで使用されるナレッジドキュメントは、 AWS KMS キーによって暗号化されます。

## Amazon AppIntegrations
<a name="key-management-appinteg"></a>

Amazon AppIntegrations は、設定データの暗号化のための BYOK に対応していません。外部アプリケーションデータとの同期を取る場合は、定期的に BYOK を実施する必要があります。Amazon AppIntegrations には、カスタマー管理キーを使用するための許可が必要です。データ統合を作成すると、Amazon AppIntegrations は AWS KMS ユーザーに代わって に`CreateGrant`リクエストを送信します。グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。これを行った場合、Amazon AppIntegrations は、カスタマー管理キーによって暗号化されたすべてのデータにアクセスできなくなります。これにより、そのデータに依存する Amazon Connect サービスが影響を受けます。

## Customer Profiles
<a name="key-management-profiles"></a>

Customer Profiles では、データの暗号化に使用する AWS KMS キーを指定できます。カスタマーマネージドキーを指定しない場合、Amazon Connect Customer Profiles は、 AWS所有の暗号化キーを使用して、保管中のデータの暗号化をデフォルトで提供します。

新規または既存のドメインのデータストアを有効にする前に、 を設定する必要があります AWS KMS key。

オブジェクトタイプの個々の KMS キーを定義することもできます。顧客データを暗号化する場合は、オブジェクトタイプ KMS キーを使用します。それ以外の場合は、ドメインの KMS キーを使用します。

Data Vault を有効にした後は、ドメインまたはオブジェクトタイプの KMS キーを更新することはできません。新しいキーを使用して新しいオブジェクトタイプを作成できますが、既存のキー設定を変更することはできません。

## Voice ID
<a name="key-management-voiceid"></a>

 Amazon Connect Voice ID を使用するには、Amazon Connect Voice ID ドメインを作成する際に、カスタマー管理キー KMS キー (BYOK) を指定することが必須です。このドメインは、保管中のすべての顧客データを暗号化するために使用されます。

## アウトバウンドキャンペーン
<a name="key-management-outboundcampaigns"></a>

アウトバウンドキャンペーンは、 AWS 所有のキー またはカスタマーマネージドキーを使用してすべての機密データを暗号化します。カスタマーマネージドキーがユーザーによって作成、所有、管理されると、カスタマーマネージドキーを完全に制御できます (AWS KMS 料金が適用されます）。