本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Amazon Connect 实例启用数据流
<a name="data-streaming"></a>

可以从 Amazon Connect 中导出联系记录和座席事件，并对联系人进行实时分析。数据流式传输将数据发送到 Amazon Kinesis。

**要为您的实例启用数据流式传输**

1. 打开 Amazon Connect 控制台，网址为[https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)。

1. 在“实例”页面上，选择实例别名。实例别名也是您的**实例名称**，该名称显示在您的 Amazon Connect URL 中。下图显示了 **Amazon Connect 虚拟联系中心实例**页面，其中，实例别名周围有一个方框。  
![“Amazon Connect 虚拟联系中心实例”页面，实例别名。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/instance.png)

1. 在导航窗格中，选择**数据流式处理**。

1. 选择**启用数据流式处理**。

1. 对于**联系记录**，请执行以下操作之一：
   + 选择 **Kinesis Firehose** 并选择一个现有的传输流，或选择**创建新的 Kinesis Firehose** 以打开 Kinesis Firehose 控制台并创建传输流。有关更多信息，请参阅[创建 Amazon Data Firehose 传输流](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)。
   + 选择 **Kinesis 流**并选择一个现有的流，或选择**创建 Kinesis 流**以打开 Kinesis 控制台并创建流。有关更多信息，请参阅[创建和管理流](https://docs.aws.amazon.com/streams/latest/dev/working-with-streams.html)。

1. 对于**座席事件**，请选择一个现有的 Kinesis 流，或选择**创建新的 Kinesis 流**以打开 Kinesis 控制台并创建流。

1. 选择**保存**。

## 对 Kinesis 流使用服务器端加密。
<a name="server-side-encryption-data-stream"></a>

Amazon Connect 支持流式传输至 Amazon Kinesis Data Streams 和 Firehose 流，这些数据流已启用[客户托管密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)进行服务器端加密。有关此功能的一般概述，请参阅[什么是 Kinesis Data Streams 的服务器端加密？](https://docs.aws.amazon.com/streams/latest/dev/what-is-sse.html)

要流式传输到 Kinesis Data Streams，您需要授予 Amazon Connect 实例使用客户托管密钥的权限。有关 KMS 密钥所需权限的详细信息，请参阅[使用用户生成的 KMS 主密钥的权限](https://docs.aws.amazon.com/streams/latest/dev/permissions-user-key-KMS.html)。（Amazon Connect 可充当该主题中介绍的 Kinesis 流制作人。）

当 Amazon Connect 将记录放入 Kinesis Data Streams 时，会使用实例的服务相关角色进行授权。该角色需要使用 KMS 密钥加密数据流的权限。要为角色分配权限，请执行以下步骤更新此 KMS 密钥的[密钥政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。

**注意**  
为避免丢失数据，请在将 KMS 密钥用于 Amazon Connect 流式传输之前更新 KMS 密钥的权限。

### 步骤 1：获取 Amazon Connect 实例的服务相关角色的 ARN
<a name="step1-sse"></a>

您可以使用 Amazon Connect 控制台或 AWS CLI 获取 ARN。

**使用 Amazon Connect 控制台获取 ARN**

1. 打开 Amazon Connect 控制台，网址为[https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)。

1. 在实例页面，选择实例名称，如下图所示。  
![“Amazon Connect 虚拟联系中心实例”页面，实例别名。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/instance.png)

1. 在**账户概览**页面的**分发设置**部分，会显示与服务相关联的角色。  
![“账户概览”页面，服务相关角色 ARN。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/service-linked-role.png)

1. 选择复制图标，将角色 ARN 复制到剪贴板，然后保存此 ARN。您将在 [步骤 2：创建策略声明](#step2-sse) 中使用它。

**使用 C AWS LI 获取 ARN**

1. 运行如下命令：

    `aws connect describe-instance --instance-id {{your_instance_id}}` 

1. 保存 CLI 输出中的 ServiceRole 值。

### 步骤 2：创建策略声明
<a name="step2-sse"></a>

编写一份策略声明，授予 Amazon Connect 服务相关角色的 ARN 生成数据密钥的权限。以下代码显示了策略示例。

```
{
    "Sid": "Allow use of the key for Amazon Connect streaming",
    "Effect": "Allow",
    "Principal": {
        "AWS": "{{the ARN of the Amazon Connect service-linked role}}"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*"
 }
```

使用您的首选机制（例如密钥管理服务控制台、 AWS CLI 或）将此语句添加到 KMS AWS 密钥策略中 AWS CDK。