As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciamento de chaves no Amazon Connect
Você pode especificar AWS KMS chaves, incluindo traga suas próprias chaves (BYOK), para usar na criptografia de envelopes com buckets do Amazon input/output S3.
Quando você associa a AWS KMS chave ao local de armazenamento do S3 no Amazon Connect, as permissões do chamador da API (ou as permissões do usuário do console) são usadas para criar uma concessão na chave com a função de serviço da instância Amazon Connect correspondente como principal beneficiária. Para a função vinculada ao serviço específica dessa instância do Amazon Connect, a concessão permite que a função use a chave para criptografia e decodificação. Por exemplo:
-
Se você chamar a DisassociateInstanceStorageConfigAPI para dissociar a AWS KMS chave do local de armazenamento do S3 no Amazon Connect, a concessão será removida da chave.
-
Se você chamar a AssociateInstanceStorageConfigAPI para associar a AWS KMS chave ao local de armazenamento do S3 no Amazon Connect, mas não tiver a kms: CreateGrant permissão, a associação falhará.
Use o comando da CLI list-grants
Para obter informações sobre AWS KMS chaves, consulte O que é AWS Key Management Service? no Guia do desenvolvedor do AWS Key Management Service.
Amazon Q in Connect
O Amazon Q in Connect armazena documentos de conhecimento que são criptografados em repouso no S3 usando BYOK ou uma chave de propriedade do serviço. Os documentos de conhecimento são criptografados em repouso no Amazon OpenSearch Service usando uma chave de propriedade do serviço. O Amazon Q in Connect armazena consultas de atendentes e transcrições de chamadas usando BYOK ou uma chave de propriedade do serviço.
Os documentos de conhecimento usados pelo Amazon Q in Connect são criptografados por uma AWS KMS chave.
Amazon AppIntegrations
A Amazon AppIntegrations não oferece suporte ao BYOK para criptografia de dados de configuração. Ao sincronizar dados de aplicações externas, você precisa usar BYOK periodicamente. A Amazon AppIntegrations exige uma concessão para usar sua chave gerenciada pelo cliente. Quando você cria uma integração de dados, a Amazon AppIntegrations envia uma CreateGrant solicitação AWS KMS em seu nome. É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, a Amazon AppIntegrations não poderá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta os serviços do Amazon Connect que dependem desses dados.
Customer Profiles
Para perfis de clientes, você pode especificar AWS KMS chaves, incluindo traga suas próprias chaves (BYOK), para usar na criptografia de envelopes com buckets do Amazon input/output S3.
Voice ID
Para usar o Amazon Connect Voice ID, é obrigatório fornecer uma chave gerenciada pelo cliente (BYOK) ao criar um domínio do Amazon Connect Voice ID, que é usado para criptografar todos os dados do cliente em repouso.
Campanhas externas
As campanhas externas criptografam todos os dados confidenciais usando uma chave gerenciada pelo cliente Chave pertencente à AWS ou uma chave gerenciada pelo cliente. Como a chave gerenciada pelo cliente é criada, de propriedade e gerenciada por você, você tem controle total sobre a chave gerenciada pelo cliente (AWS KMS cobranças aplicáveis).
