本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Connect 的資料保護
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Amazon Connect 中的資料保護。如此模型所述, AWS 負責保護執行所有 的 全球基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 Amazon Connect 或使用主控台、API AWS CLI或 AWS SDKs的其他 AWS 服務 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
**Topics**
+ [由 Amazon Connect 處理的資料](data-handled-by-connect.md)
+ [Amazon Connect 中的靜態加密](encryption-at-rest.md)
+ [在 Amazon Connect 中傳輸加密](encryption-in-transit.md)
+ [Amazon Connect 中的金鑰管理](key-management.md)
+ [VPC 端點 (AWS PrivateLink)](vpc-interface-endpoints.md)
+ [服務改進以及如何選擇不使用您的資料進行服務改進](data-opt-out.md)
# 由 Amazon Connect 處理的資料
Amazon Connect 內保留的資料會依 AWS 帳戶 ID 和 Amazon Connect 執行個體 ID 分隔。這可確保只有特定 Amazon Connect 執行個體的獲得授權的使用者才能存取資料。
Amazon Connect 會處理與聯絡中心相關的各種資料,包括但不限於下列類別:
+ **資源和組態** – 這包括佇列、流程、使用者、轉接設定檔和任務範本。
+ **聯絡人中繼資料** – 這包括連線時間、處理時間、來源號碼 (ANI)、目的地號碼 (DNIS) 和使用者定義的聯絡人屬性。
+ **客服人員相關效能資料** – 這包括登入時間、狀態變更和處理的聯絡人。
+ **電話通話音訊串流 – **啟用時,這也包含通話錄音。
+ **聊天文字記錄** – 只有流程中啟動時才會包括。
+ **畫面錄製** – 只有流程中啟動時才會包括。
+ **附件** – 只有在執行個體層級啟動時才會包括。
+ **整合組態** – 建立與外部應用程式整合時,包括使用者定義的名稱、說明和中繼資料。
+ **知識文件** – 這包括客服人員用來處理聯絡的文件。
+ **聲紋** – 啟用 Amazon Connect Voice ID 後,系統會從客戶的聲音建立聲紋,以便未來進行身分驗證。同樣地,在 Voice ID 系統登記詐騙者時,亦會產生聲紋,以便未來偵測詐騙行為。
+ **說話者和詐騙者音訊** – 啟用 Amazon Connect Voice ID 時,會儲存用於註冊說話者和註冊詐騙者的音訊,以便未來需要時,Voice ID 可以重新登錄並重新註冊。
+ **預測、容量計劃及排程** – 只有在啟用並建立時才包括。
Amazon Connect 會儲存下列與客戶相關的個人身分識別資訊 (PII) 資料:
+ 客戶的電話號碼:來電的 ANI,以及外撥通話或轉接的 DNIS。
+ 如果您使用的是 Amazon Connect Customer Profiles,則所有這些資料都可能是 PII。此資料一律會使用客戶受管金鑰或 AWS 擁有的金鑰加密。Amazon Connect Customer Profiles 資料會由 AWS 帳戶 ID 和網域隔離。多個 Amazon Connect 執行個體可以共用一個 Customer Profiles 網域。
+ 對於對外行銷活動,Amazon Pinpoint 會將客戶電話號碼和相關屬性傳送至 Amazon Connect。在 Amazon Connect 端,這些資訊一律會使用客戶受管金鑰或 AWS 擁有的金鑰加密。對外行銷活動資料由 Amazon Connect 執行個體 ID 隔離,並由執行個體特定的金鑰加密。
## 外部應用程式資料
Amazon AppIntegrations 可讓您整合外部應用程式。它會儲存對其他 AWS 資源和用戶端服務指定中繼資料的參考。處理過程中,除了偶然之外,不會儲存任何資料。定期與 Amazon Connect 服務同步資料時,會使用客戶受管金鑰加密資料,並暫時存放一個月。
## 通話媒體
Amazon Connect 位於服務處理之通話的音訊路徑中。因此須負責轉傳參與者之間的通話媒體串流。這可能包括客戶與流程/IVR 之間的音訊、客戶與客服人員之間的音訊,或混合會議中或轉接期間多個通話方之間的音訊。有下列兩種類型的通話:
+ PSTN 通話。如果聯絡控制面板 (CCP) 中已啟用此選項,這會包括客戶來電、客服人員撥打給客戶的外撥通話,以及撥打到客服人員的實體電話的通話。
+ 對客服人員的瀏覽器所撥打的軟體電話通話。
PSTN 通話會透過 Amazon Connect 與我們供應商之間維護的私有線路或現有的 AWS 網際網路連線,在 Amazon Connect 與各種電信業者之間連線。若是在公有網際網路上路由的 PSTN 通話,訊號會使用 TLS 進行加密,而音訊媒體則會使用 SRTP 進行加密。
系統會使用 TLS 透過加密 WebSocket 連線,對客服人員的瀏覽器建立軟體電話通話。瀏覽器的音訊媒體流量在傳輸中會使用 DTLS-SRTP 進行加密。
## 通話錄音和畫面錄製
根據預設,在執行個體層級為其建立 Amazon S3 儲存貯體時,可使用通話錄音和畫面錄製功能。您可以透過在流程中指定來決定要錄製哪些聯絡。這樣可以更詳細的控制記錄聯絡。
請注意下列通話錄音的行為:
+ 通話錄音功能可選擇是否要在 IVR 互動期間錄製客戶和系統音訊,或在客服互動期間錄製客戶、客服或兩者的任意組合。
+ 每個聯絡人總共有兩個可能的錄音:一個用於自動互動 (即 IVR),另一個用於客服互動。啟用或停用自動互動的錄音會立即生效。相反地,修改客服互動的錄音只有在客服加入通話之後才會生效。
+ 當客服不在通話中時,客服音訊不會傳輸到 Amazon Connect。2023 年 11 月 9 日,Amazon Connect 部署了最佳化,以改善客服生產力,在聯絡人到達之前預先設定客服瀏覽器的麥克風媒體串流。這可減少撥入和外撥通話的設定時間。因此,即使客服不在通話中,客服瀏覽器中的麥克風圖示也會顯示為開啟。
+ 當客戶在客服互動期間保留通話時,客服仍會進行錄音。
+ 客服人員之間的轉接對話會被記錄。
+ 在流程或 IVR 互動期間轉接通話時 (例如,透過使用轉接至電話號碼區塊),即使將通話轉接至外部語音系統,錄音仍會繼續擷取客戶所說和聽到的內容。
+ 在客服離開通話後,系統不會對任何在客服互動期間轉接到外部號碼的通話進行錄音。
+ 如果參與者將自己的麥克風靜音,例如諮詢坐在他們旁邊的某人,則不會對其側邊欄對話進行錄音。
畫面錄製只會在聯絡已啟用畫面錄製功能時,才會記錄客服人員的畫面。畫面錄製會在客服人員接受聯絡時開始,並於客服人員完成聯絡後工作結束。畫面錄製支援語音、聊天和任務頻道。
**重要**
在視訊通話或螢幕共用工作階段期間,即使客戶保留通話,客服人員也能查看客戶的視訊或螢幕共用。客戶有責任相應地處理 PII。如果您想要變更此行為,可以建置自訂 CCP 和通訊小工具。如需詳細資訊,請參閱[將應用程式內、Web、視訊通話和螢幕共用原生整合至您的應用程式](config-com-widget2.md)。
您可以根據使用者許可限制通話和畫面記錄存取。您可以在 Amazon Connect 管理員網站中搜尋和播放錄製。
### 通話錄音和畫面錄製儲存
通話和畫面記錄會分成兩個階段儲存:
+ 在聯絡期間和之後,但在傳遞之前,錄音會立即保留在 Amazon Connect 中。
+ 錄音會傳遞到 Amazon S3 儲存貯體。
透過建立執行個體時所設定的 KMS 金鑰,儲存在 Amazon S3 儲存貯體中的錄音會受到保護。
您可隨時維持對傳遞到 Amazon S3 儲存貯體的通話錄音安全性的完整控制。
### 存取通話錄音和畫面錄製
您可以在 Amazon Connect 中搜尋和聆聽通話錄音,或檢視畫面錄製內容。若要決定哪些使用者可以執行此操作,請將適當的許可指派至他們的安全性設定檔。如果 AWS CloudTrail 啟用 ,Amazon Connect 使用者對特定錄製的存取會在 CloudTrail 中擷取。
Amazon S3 AWS KMS和 IAM 的功能可讓您完全控制誰可以存取通話錄音資料。
## 聯絡中繼資料
Amazon Connect 會儲存與經由系統處理之聯絡案例相關的中繼資料,並允許獲得授權的使用者存取此資訊。「聯絡人搜尋」功能可讓您搜尋和檢視聯絡人資料,例如與聯絡人相關聯之流程設定的原始電話號碼或其他屬性,以用於診斷或報告用途。
分類為 PII 的聯絡資料會由 Amazon Connect 儲存,利用限定時間且供 Amazon Connect 執行個體專用的金鑰來進行靜態加密。具體來說,客戶原始的電話號碼是以密碼編譯雜湊處理,該金鑰專用於執行個體,以便用於聯絡搜尋。對於聯絡搜尋,加密金鑰不具有時效性。
以下 Amazon Connect 儲存的資料會視為敏感資料:
+ 原始電話號碼
+ 外撥電話號碼
+ 客服人員為了轉接所撥打的外部號碼
+ 流程轉接的外部號碼
+ 聯絡人名稱
+ 聯絡說明
+ 所有聯絡屬性
+ 所有聯絡參考
## Contact Lens 即時處理
Contact Lens 即時處理的內容會靜態及傳輸中加密。Contact Lens 擁有的金鑰進行資料加密。
Contact Lens 會在 Amazon Connect 端保留一小段時間的資料 (文字記錄、類別名稱等)。這是為了確保 API 在聯絡終止後最多 24 小時內持續提供資料。
## 聲紋和 Voice ID 音訊錄音
當您啟用 Amazon Connect Voice ID 時,它計算客戶的語音,以便對其進行身分驗證和儲存資料。同樣地,當您啟用詐騙偵測功能時,會將註冊的每個詐騙者聲紋儲存在 Voice ID 中。
將客戶註冊到 Voice ID 以進行身分驗證和詐騙檢測時,您必須為他們指定一個 `CustomerSpeakerId`。由於 Voice ID 會儲存每個說話者的生物識別資訊,因此我們強烈建議您在 `CustomerSpeakerId` 現場使用不包含 PII 的識別碼。
## 說話者和詐騙者音訊
當您啟用 Amazon Connect Voice ID 時,它會在註冊說話者或註冊詐騙者時儲存該音訊的壓縮版本 (稱為表達)。此音訊將在未來,每當說話者和詐騙者的語音需要重新生成時使用。資料會一直保留,直到說話者/詐騙者被刪除為止。用於註冊或評估的原始音訊會在 24 小時保留期後刪除。
資料會被保留,直到說話者/詐騙者被刪除或選擇退出為止。
## 傳出活動
對於對外行銷活動,Amazon Pinpoint 會將客戶電話號碼和相關屬性傳送至 Amazon Connect。在 Amazon Connect 上,這些資訊一律會使用客戶受管金鑰或 AWS 擁有的金鑰加密。對外行銷活動資料由 Amazon Connect 執行個體 ID 隔離,並由執行個體特定的金鑰加密。
## 任務範本
Amazon Connect 中任何的任務範本資源都會靜態和傳輸加密。使用 加密資料 AWS KMS key。
## 預測、容量計劃及排程
產生預測、容量計劃和排程時,一律會使用靜態和傳輸中加密。使用 加密資料 AWS KMS key。
# Amazon Connect 中的靜態加密
分類為 PII 的聯絡資料,或代表 Amazon Connect 所存放之客戶內容的資料,都會使用 擁有的 AWS KMS 加密金鑰進行靜態加密 (也就是在放入、存放或儲存至磁碟之前) AWS。如需 AWS KMS 金鑰的相關資訊,請參閱[什麼是 AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 《 *AWS Key Management Service 開發人員指南*》中的 。非臨時儲存的聯絡資料會經過加密,因此從 KMS 金鑰產生的資料加密金鑰不會在 Amazon Connect 執行個體之間共用。
Amazon S3 伺服器端加密是用於加密對話錄製內容 (語音和聊天)。通話錄音、畫面錄製和文字記錄分兩個階段儲存:
+ 在聯絡期間和之後,但在傳遞之前,錄音會立即保留在 Amazon Connect 中。
+ 錄音會傳遞到 Amazon S3 儲存貯體。
透過建立執行個體時所設定的 KMS 金鑰,儲存在 Amazon S3 儲存貯體中的錄音和聊天文字記錄會受到保護。
如需有關 Amazon Connect 金鑰管理的詳細資訊,請參閱 [Amazon Connect 中的金鑰管理](key-management.md)。
**Topics**
+ [Amazon AppIntegrations](#encryption-at-rest-appintegrations)
+ [Amazon Connect Cases](#encryption-at-rest-cases)
+ [Amazon Connect Customer Profiles](#encryption-at-rest-customer-profiles)
+ [連接 AI 代理器](#encryption-at-rest-wisdom)
+ [Amazon Connect Voice ID 靜態加密](#encryption-at-rest-voiceid)
+ [對外行銷活動靜態加密](#encryption-at-rest-outboundcommunications)
+ [預測、容量計劃及排程](#forecasts-encryption-at-rest-)
## Amazon AppIntegrations 靜態資料加密
當您建立以客戶受管金鑰加密的 DataIntegration 時,Amazon AppIntegrations 會透過傳送`CreateGrant`請求至 來代表您建立授予 AWS KMS。中的授予 AWS KMS 用於讓 Amazon AppIntegrations 存取您帳戶中的 KMS 金鑰。
您可以隨時撤銷授予的存取權,或移除 Amazon AppIntegrations 對客戶受管金鑰的存取權。如果您這麼做,Amazon AppIntegrations 就無法存取由客戶自管金鑰所加密的任何資料,因為這會影響與該資料相依的操作。
Amazon AppIntegrations 處理的外部應用程式資料會使用您在組態期間提供的客戶受管金鑰,在 S3 儲存貯體中進行靜態加密。整合組態資料會使用有時間限制且特定於使用者帳戶的金鑰進行靜態加密。
Amazon AppIntegrations 需要授予,才能在下列內部操作中使用客戶受管金鑰:
+ `GenerateDataKeyRequest` 傳送至 AWS KMS 以產生由客戶受管金鑰加密的資料金鑰。
+ 將`Decrypt`請求傳送至 AWS KMS 以解密加密的資料金鑰,以便它們可用於加密您的資料。
## Amazon Connect Cases 靜態加密
Amazon Connect Cases 所存放欄位、案例評論、欄位和範本描述中的所有客戶提供的資料,都會使用存放在 AWS Key Management Service () 中的加密金鑰進行靜態加密AWS KMS。
Amazon Connect Cases 服務擁有、管理、監控和輪換加密金鑰 (亦即, AWS 擁有的金鑰),以符合高安全標準。在透過客戶帳戶中的預設匯流排提供案例事件串流之前,案例事件串流的承載會暫時存放在 Amazon EventBridge 中 (通常為幾秒鐘)。EventBridge 也會使用 加密整個靜態承載 AWS 擁有的金鑰。
## Amazon Connect Customer Profiles 靜態加密
儲存在 Amazon Connect Customer Profiles 中的所有使用者資料都會靜態加密。Amazon Connect Customer Profiles 靜態加密使用存放在 AWS Key Management Service () 中的加密金鑰加密所有靜態資料,以提供增強的安全性AWS KMS。此功能協助降低了保護敏感資料所涉及的操作負擔和複雜性。您可以透過靜態加密,建立符合嚴格加密合規和法規要求,而且對安全性要求甚高的應用程式。
組織政策、行業或政府法規,以及合規要求可能會經常需要使用靜態加密來增加應用程式的資料安全性。與 整合的客戶設定檔 AWS KMS ,以啟用其靜態加密策略。如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的 [AWS Key Management Service 概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)。
建立新網域時,您必須提供服務用來加密傳輸中和靜態資料的 [KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)。客戶受管金鑰由您建立、擁有且管理。您可以完全控制客戶受管金鑰 (需支付AWS KMS 費用)。
當您使用 AWS 命令列界面 (AWS CLI) 或 Amazon Connect Customer Profiles 加密 API 建立新的網域或設定檔物件類型,或切換現有資源上的加密金鑰時,您可以指定加密金鑰。當您選擇客戶受管金鑰時,Amazon Connect Customer Profiles 會為客戶受管金鑰建立授予,以授予其對客戶受管金鑰的存取權限。
AWS KMS 費用適用於客戶受管金鑰。如需定價的詳細資訊,請參閱 [AWS KMS 定價](https://aws.amazon.com/kms/pricing/)。
## 連接 AI 代理器靜態加密
存放在 Connect AI 代理器中的所有使用者資料都會使用存放在 中的加密金鑰進行靜態加密 AWS Key Management Service。如果您選擇性地提供客戶受管金鑰,Connect AI 代理器會使用它來加密在 Connect AI 代理器搜尋索引之外存放的靜態知識內容。Connect AI 代理器使用每位客戶的專用搜尋索引,並使用 中 AWS 擁有的金鑰 存放的靜態加密 AWS Key Management Service。此外,您可以使用 CloudTrail 稽核使用 Connect AI 代理器 APIs的任何資料存取。
AWS KMS 使用您提供的金鑰時需支付 費用。如需定價的詳細資訊,請參閱 [AWS KMS 定價](https://aws.amazon.com/kms/pricing/)。
## Amazon Connect Voice ID 靜態加密
Amazon Connect Voice ID 可儲存客戶的聲紋,這些聲紋無法進行反向設計以取得註冊客戶的語音或識別客戶。存放在 Amazon Connect Voice ID 中的使用者資料會靜態加密。建立新的 Voice ID 網域時,您必須提供客戶受管金鑰,以加密您的靜態資料。客戶受管金鑰由您建立、擁有且管理。您有金鑰的完整控制權。
您可以使用命令列界面 (AWS CLI) 中的 AWS `update-domain`命令或 [UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html) Voice ID API,更新語音 ID 網域中的 KMS 金鑰。
當您變更 KMS 金鑰時,將觸發非同步程序,以使用新的 KMS 金鑰重新加密舊資料。完成此程序後,您網域的所有資料都會以新的 KMS 金鑰加密,您可以安全地淘汰舊金鑰。如需詳細資訊,請參閱 [UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html)。
Voice ID 會針對客戶受管金鑰建立授予,授予客戶受管金鑰的存取權。如需詳細資訊,請參閱[Amazon Connect Voice ID 如何在 中使用授予 AWS KMS](#voiceid-uses-grants)。
以下是使用客戶受管金鑰靜態加密的資料清單:
+ **聲紋**:註冊說話者和將詐騙者登記到系統時產生的聲紋。
+ **說話者和詐騙者音訊**:用於註冊說話者和註冊詐騙者的音訊資料。
+ **CustomerSpeakerId**:客戶提供的說話者 ID,同時將客戶註冊至 Voice ID。
+ **客戶提供的中繼資料**:包括自由格式的字串,例如 `Domain` `Description`、`Domain Name` 以及 `Job Name` 等等。
AWS KMS 費用適用於客戶受管金鑰。如需定價的詳細資訊,請參閱 [AWS KMS 定價](https://aws.amazon.com/kms/pricing/)。
### Amazon Connect Voice ID 如何在 中使用授予 AWS KMS
Amazon Connect Voice ID 需要授予,才能使用客戶受管金鑰。當您建立網域時,語音 ID 會透過傳送請參閱 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 請求來代表您建立授予 AWS KMS。授予請求才能在下列內部操作中使用客戶受管金鑰:
+ 將 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 請求傳送至 AWS KMS ,以驗證提供的對稱客戶受管金鑰 ID 是否有效。
+ 將 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 請求傳送至 KMS 金鑰,以建立加密物件所用的資料金鑰。
+ 將 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 請求傳送至 AWS KMS 以解密加密的資料金鑰,以便用來加密您的資料。
+ 更新金鑰 AWS KMS 時將 [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 請求傳送至 ,以使用新金鑰重新加密一組有限的資料。
+ 使用 AWS KMS 金鑰將檔案存放在 S3 中以加密資料。
您可以隨時撤銷授予的存取權,或移除服務對客戶受管金鑰的存取權。如果您這麼做,Voice ID 將無法存取由客戶受管金鑰加密的任何資料,這會影響與該資料有關的所有操作,進而導致非同步工作流程中的 `AccessDeniedException` 錯誤和失敗。
### Voice ID 的客戶受管的金鑰政策
金鑰政策會控制客戶自管金鑰的存取權。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶自管金鑰時,可以指定金鑰政策。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[管理 KMS 金鑰的存取權](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)。
以下是一個金鑰政策範例,它為使用者提供使用客戶受管金鑰呼叫所有 Voice ID API 時所需的權限:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect VoiceID.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"voiceid.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
如需有關在政策中指定許可的資訊,請參閱《 AWS Key Management Service 開發人員指南》[中的在 IAM 政策陳述式中指定 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)。
如需有關對金鑰存取進行故障診斷的資訊,請參閱《 AWS Key Management Service 開發人員指南》中的對[金鑰存取進行故障診斷](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)。
### Voice ID 加密內容
[加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)是選用的一組金鑰/值對,其中包含有關資料的其他內容資訊。 AWS KMS 會使用加密內容做為[額外的已驗證資料](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html),以支援[已驗證的加密](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)。
在加密資料的請求中包含加密內容時, AWS KMS 會將加密內容繫結至加密的資料。若要解密資料,您必須在請求中包含相同的加密內容。
語音 ID 在所有 AWS KMS 密碼編譯操作中使用相同的加密內容,其中金鑰為 ,`aws:voiceid:domain:arn`而值為資源 Amazon Resource Name (ARN) [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
```
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
```
您也可以在稽核記錄和記錄中使用加密內容,以識別客戶受管金鑰的使用方式。加密內容也會出現在 CloudTrail 或 Amazon CloudWatch Logs 所產生的日誌中。
#### 使用加密內容控制對客戶受管金鑰的存取
您也可以在金鑰政策和 IAM 政策中,使用加密內容來控制對對稱客戶受管金鑰的存取。您也可以在授予中使用加密內容條件。
Amazon Connect Voice ID 會在授予中使用加密內容限制,以控制對帳戶和區域中的客戶受管金鑰的存取。授予條件會要求授予允許的操作使用指定的加密內容。
以下是授予特定加密內容之客戶受管金鑰存取權的金鑰政策陳述式範例。此政策陳述式中的條件會要求具有指定加密內容的加密內容條件。
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId""
}
}
}
```
### 監控 Voice ID 的加密金鑰
當您使用具有語音 ID AWS KMS 的客戶受管金鑰時,您可以使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)或 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 來追蹤語音 ID 傳送的請求 AWS KMS。
下列範例是語音 ID 呼叫`CreateGrant`操作的範例 AWS CloudTrail 事件,用於存取客戶受管金鑰加密的資料:
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA5STZEFPSZEOW7NP3X:SampleUser1",
"arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
"accountId": "111122223333",
"accessKeyId": "AAAAAAA1111111EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA5STZEFPSZEOW7NP3X",
"arn": "arn:aws:iam::111122223333:role/SampleRole",
"accountId": "111122223333",
"userName": "SampleUser"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-09-14T23:02:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-09-14T23:02:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "SampleIpAddress",
"userAgent": "Example Desktop/1.0 (V1; OS)",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
},
"retiringPrincipal": "voiceid.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"operations": [
"CreateGrant",
"Decrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyPair",
"GenerateDataKeyPairWithoutPlaintext",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
],
"granteePrincipal": "voiceid.amazonaws.com "
},
"responseElements": {
"grantId": "00000000000000000000000000000cce47be074a8c379ed39f22b155c6e86af82"
},
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T15:12:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "alias/sample-key-alias"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-12T23:59:34Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKeyWithoutPlaintext ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:26:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ ReEncrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"destinationEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationKeyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceAAD": "SampleSourceAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"destinationAAD": "SampleDestinationAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"sourceEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceKeyId": "arn:aws:kms:us-west-2:111122223333:key/55555555-3333-2222-1111-EXAMPLE22222"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-7777777777777"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
## 對外行銷活動靜態加密
對外行銷活動會存放客戶電話號碼和相關屬性。此資訊一律會使用客戶受管金鑰或 AWS 自有金鑰進行靜態加密。資料由 Amazon Connect 執行個體 ID 分隔,並由執行個體特定金鑰加密。
您可以在引入對外行銷活動時提供自己的客戶受管金鑰。
此服務會使用您的客戶受管金鑰來靜態加密敏感資料。此金鑰由您建立、擁有和完全管理,讓您完全控制其使用情況和安全性。
如果您未提供自己的客戶受管金鑰,則外撥行銷活動會使用執行個體 Amazon Connect 專屬的 AWS 擁有金鑰來加密靜態敏感資料。您無法檢視、管理、使用或稽核 AWS 擁有的金鑰。不過,您不需要採取任何動作或變更任何程式,即可保護加密您資料的金鑰。如需更多詳細資訊,請參閱 *AWS Key Management Service 開發人員指南*的 [AWS 擁有的金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。
AWS KMS 費用適用於客戶受管金鑰。如需定價的詳細資訊,請參閱 [AWS KMS 定價](https://aws.amazon.com/kms/pricing/)。
### 傳出行銷活動如何在 中使用授予 AWS KMS
對外行銷活動需要授權才能使用客戶受管金鑰。當您 使用 AWS 主控台或 `StartInstanceOnboardingJob` API 加入對外行銷活動 時,對外行銷活動會透過傳送`CreateGrant`請求至 來代表您建立授予 AWS KMS。中的授予 AWS KMS 用於授予 Amazon Connect 傳出行銷活動 服務連結角色對您帳戶中 KMS 金鑰的存取權。
對外行銷活動需要授權,才能在下列內部操作中使用客戶受管金鑰:
+ 將 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 請求傳送至 AWS KMS ,以驗證提供的對稱客戶受管金鑰 ID 是否有效。
+ 傳送 `GenerateDataKeyWithoutPlainText` 請求至 AWS KMS 以產生由客戶受管金鑰加密的資料金鑰。
+ 將`Decrypt`請求傳送至 AWS KMS 以解密加密的資料金鑰,以便用來加密您的資料。
您可以隨時撤銷授予的存取權,或移除對外行銷活動對客戶受管金鑰的存取權。如果您這麼做,對外行銷活動就無法存取由客戶自管金鑰所加密的任何資料,因為這會影響與該資料相依的操作。
### 對外行銷活動的客戶受管金鑰政策
金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶自管金鑰時,可以指定金鑰政策。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[管理 KMS 金鑰的存取權](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)。
以下是金鑰政策範例,提供使用者權限,以使用客戶受管金鑰呼叫對外行銷活動 [StartInstanceOnboardingJob](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_StartInstanceOnboardingJob.html)、[PutDialRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutDialRequestBatch.html) 和 [PutOutboundRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutOutboundRequestBatch.html) API:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect outbound campaigns.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "connect-campaigns.us-east-1.amazonaws.com",
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "InstanceID"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*"
],
"Resource": "*"
}
]
}
```
------
如需有關在政策中指定許可的資訊,請參閱《 AWS Key Management Service 開發人員指南》中的在 [IAM 政策陳述式中指定 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)。
如需有關對金鑰存取進行故障診斷的資訊,請參閱《 AWS Key Management Service 開發人員指南》中的對[金鑰存取進行故障診斷](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)。
### 對外行銷活動加密內容
[加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)是選用的一組金鑰值對,其中包含有關資料的其他內容資訊。 AWS KMS 會使用加密內容作為[額外的已驗證資料](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html),以支援[已驗證的加密](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)。
在加密資料的請求中包含加密內容時, AWS KMS 會將加密內容繫結至加密的資料。若要解密資料,您必須在請求中包含相同的加密內容。
對外行銷活動在所有 AWS KMS 密碼編譯操作中使用相同加密內容,其中金鑰為 aws:accountId 和 aws:connect:instanceId,值為 AWS 帳戶 ID 和 Connect 執行個體 ID。
```
"encryptionContext": {
"aws:accountId": "111122223333",
"aws:connect:instanceId": "sample instance id"
}
```
您也可以在稽核記錄和記錄中使用加密內容,以識別客戶受管金鑰的使用方式。加密內容也會出現在 CloudTrail 或 Amazon CloudWatch Logs 所產生的日誌中。
#### 使用加密內容控制對客戶受管金鑰的存取
您也可以在金鑰政策和 IAM 政策中,使用加密內容來控制對對稱客戶受管金鑰的存取。您也可以在授予中使用加密內容條件。
對外行銷活動會在授予中使用加密內容限制,以控制對帳戶和區域中客戶自管金鑰的存取。授予條件會要求授予允許的操作使用指定的加密內容。
以下是授予特定加密內容之客戶受管金鑰存取權的金鑰政策陳述式範例。此政策陳述式中的條件會要求具有指定加密內容的加密內容條件。
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
}
}
}
```
### 監控對外行銷活動的加密金鑰
當您將 AWS KMS 客戶受管金鑰與對外行銷活動資源搭配使用時,您可以使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)或 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 來追蹤 Amazon Location 傳送的請求 AWS KMS。
下列範例是 CreateGrant、GenerateDataKeyWithoutPlainText、DescribeKey 和 Decrypt AWS CloudTrail 的事件,用於監控 Amazon Location 呼叫的 KMS 操作,以存取客戶受管金鑰加密的資料:
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
}
},
"granteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"retiringPrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"Encrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:586277393662:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"grantTokens": [
"EL7BPAGG-KDm8661M1pl55WcQD_9ZgFwYXN-SAMPLE"
]
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T19:09:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
## 預測、容量計劃及排程
當您建立預測、容量計劃和排程時,所有資料都會使用 中存放的加密金鑰進行靜態 AWS 擁有的金鑰 加密 AWS Key Management Service。
# 在 Amazon Connect 中傳輸加密
與 Amazon Connect 交換的所有資料都會使用產業標準 TLS 加密,在使用者的網頁瀏覽器與 Amazon Connect 之間在傳輸中受到保護。[哪個版本的 TLS?](infrastructure-security.md#supported-version-tls)
由 AWS KMS處理時,外部資料會另外加密。
當 Amazon Connect 與 AWS 服務整合 AWS Lambda時,例如 Amazon Kinesis 或 Amazon Polly,資料一律會使用 TLS 在傳輸中加密。
將事件資料從外部應用程式轉送至 Amazon Connect 時,一律使用 TLS 在傳輸過程中加密。
# Amazon Connect 中的金鑰管理
您可以指定 AWS KMS 金鑰,包括自備金鑰 (BYOK),以使用 Amazon S3 輸入/輸出儲存貯體進行信封加密。
當您將 AWS KMS 金鑰與 Amazon Connect 中的 S3 儲存位置建立關聯時,API 發起人的許可 (或主控台使用者的許可) 會用來在金鑰上建立授予,並將對應的 Amazon Connect 執行個體服務角色做為承授者主體。對於該 Amazon Connect 執行個體的服務連結角色,授權允許該角色使用金鑰進行加密和解密。例如:
+ 如果您呼叫 [DisassociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_DisassociateInstanceStorageConfig.html) API 來取消 AWS KMS 金鑰與 Amazon Connect 中 S3 儲存位置的關聯,則會從金鑰中移除授予。
+ 如果您呼叫 [AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html) API,將 AWS KMS 金鑰與 Amazon Connect 中的 S3 儲存位置建立關聯,但您沒有 `kms:CreateGrant`許可,則關聯將會失敗。
使用 [https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html](https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html) CLI 命令列出指定 客戶受管金鑰的所有授權。
如需 AWS KMS 金鑰的相關資訊,請參閱[什麼是 AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 中的 *AWS Key Management Service 開發人員指南*。
## 連接 AI 代理器
Connect AI 代理器會使用 BYOK 或服務擁有的金鑰,將靜態加密的知識文件存放在 S3 中。知識文件會使用服務擁有的金鑰,在 Amazon OpenSearch Service 中進行靜態加密。Connect AI 代理器會使用 BYOK 或服務擁有的金鑰來存放代理程式查詢和呼叫文字記錄。
Connect AI 代理器使用的知識文件由 AWS KMS 金鑰加密。
## Amazon AppIntegrations
Amazon AppIntegrations 不支援 BYOK 來加密組態資料。同步外部應用程式資料時,您必須定期使用 BYOK。Amazon AppIntegrations 需要授予才能使用客戶受管金鑰。當您建立資料整合時,Amazon AppIntegrations AWS KMS 會代表您將`CreateGrant`請求傳送至 。您可以隨時撤銷授予的存取權,或移除服務對客戶受管金鑰的存取權。如果您這麼做,Amazon AppIntegrations 將無法存取由客戶受管金鑰所加密的任何資料,因為這會影響 Amazon Connect 服務與該資料的相依性。
## 客戶設定檔
對於客戶設定檔,您可以指定用於加密資料的 AWS KMS 金鑰。如果您未指定客戶受管金鑰,Amazon Connect Customer Profiles 預設會使用 AWS擁有的加密金鑰,為您的靜態資料提供加密。
為新的或現有的網域開啟資料存放區之前,您必須設定 AWS KMS key。
您也可以為您的物件類型定義個別 KMS 金鑰。加密客戶資料時,如果存在,我們會使用物件類型 KMS 金鑰。否則,我們使用網域的 KMS 金鑰。
啟用 Data Vault 之後,您就無法更新網域或物件類型的 KMS 金鑰。雖然您可以使用新金鑰建立新的物件類型,但您無法修改現有的金鑰設定。
## Voice ID
若要使用 Amazon Connect Voice ID,必須在建立 Amazon Connect Voice ID 網域時提供客戶受管金鑰 KMS 金鑰 (BYOK),該網域用於加密客戶所有的靜態資料。
## 傳出活動
傳出行銷活動會使用 AWS 擁有的金鑰 或客戶受管金鑰加密所有敏感資料。當您建立、擁有和管理客戶受管金鑰時,您可以完全控制客戶受管金鑰 (需AWS KMS 付費)。
# Amazon Connect 和界面 VPC 端點 (AWS PrivateLink)
您可以建立界面 VPC 端點,以在您的 VPC 與 Amazon Connect 子端點之間建立私有連線。以下是支援的端點:
+ Amazon AppIntegrations
+ 客戶設定檔
+ 傳出活動
+ Voice ID
+ 連接 AI 代理器
+ Amazon Connect Service
介面端點採用 [AWS PrivateLink](https://aws.amazon.com/privatelink)技術,可讓您在沒有網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線的情況下私密存取 Amazon Connect APIs。VPC 中的執行個體不需要公有 IP 地址,即可透過與 AWS PrivateLink整合的 Amazon Connect API 通訊。
如需詳細資訊,請參閱 [AWS PrivateLink 指南](https://docs.aws.amazon.com/vpc/latest/privatelink/)。
## 為 Amazon Connect 建立界面 VPC 端點
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI),建立介面端點。如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」。
Amazon Connect 支援以下服務名稱:
+ com.amazonaws.*region*.app-integrations
+ com.amazonaws.*region*.cases
+ com.amazonaws.*region*.profile
+ com.amazonaws.*region*.connect-campaigns
+ com.amazonaws.*region*.voiceid
+ com.amazonaws.*region*.wisdom (適用於 Connect AI 代理器)。
+ com.amazonaws.*region*.connect
+ com.amazonaws.*region*.connect-fips (用於建立符合聯邦資訊處理標準 (FIPS) 的 Amazon Connect Service 端點。)
如果您為該介面端點啟用私有 DNS,您可以使用其區域的預設 DNS 名稱,向 Amazon Connect 發出 API 請求。例如,voiceid.us-east-1.amazonaws.com。詳情請參閱《AWS PrivateLink 指南》**中的 [DNS 主機名稱](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#interface-endpoint-dns-hostnames)。
## 建立 VPC 端點政策
您可以將端點政策連接到控制存取權的 VPC 端點。此政策會指定下列資訊:
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。
如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[使用端點政策控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」。
### 範例:VPC 端點政策
以下 VPC 端點政策為所有資源上的所有主體授予存取權,讓他們存取所列的 Amazon Connect Voice ID 動作。
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"voiceid:CreateDomain",
"voiceid:EvaluateSession",
"voiceid:ListSpeakers"
],
"Resource":"*",
"Principal":"*"
}
]
}
```
以下是另一個範例。在此範例中,VPC 端點政策為所有資源上的所有主體授予存取權,讓他們存取所列的對外行銷動作。
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"connect-campaigns:CreateCampaign",
"connect-campaigns:DeleteCampaign",
"connect-campaigns:ListCampaigns"
],
"Resource":"*",
"Principal":"*"
}
]
}
```
# Amazon Connect Service Improvement 以及如何選擇退出使用您的資料來改善服務
當您啟用 Amazon Connect 時,我們可能會使用 Amazon Connect 處理的內容來開發和改善您的體驗。
允許 AWS 使用您的內容以改善服務的優點:
透過讓您的內容可用於改善 Amazon Connect,您可以協助我們更快地創新、自訂功能以滿足您的需求,並提供更好的支援。更具體地說,這讓我們能夠增強服務以:
+ 更快速提供更智慧的功能 - 根據您的實際使用模式和特定需求改善 Connect
+ 主動預防問題 - 在問題影響您的體驗和業務成果之前識別並解決問題
+ 更快解決問題 - 更快診斷和修正出現的問題
所有這些都有助於 Amazon Connect 與您合作,以持續改善您的業務效能。
啟用下列 Amazon Connect 功能時,我們可以使用您的內容來開發和改善您的體驗。這些功能層級選擇退出將於 2026 年 3 月 31 日終止:
+ **Amazon Connect Contact Lens**
+ **Amazon Connect Customer Profiles**
+ **Amazon Connect 預測、容量規劃和排程**
+ **外撥行銷活動**
+ **Connect AI 代理器**
只有 Amazon 員工才能存取資料。您的信任、隱私權和內容的安全性是我們的最高優先順序,並確保我們的使用符合我們對您的承諾。如需更多資訊,請參閱 [ 資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。
您可以隨時選擇不使用您的資料來使用 AWS Organizations 選擇退出政策來開發和改善 Amazon Connect。如需有關如何選擇退出的資訊,請參閱《AWS Organizations 使用者指南》**中的 [AI 服務選擇退出政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)。
若要檢查您的選擇退出狀態,請檢閱您的組織設定的選擇退出政策。[按一下此處](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html#ai-opt-out-policy-syntax-reference)以進一步了解選擇退出政策語法和範例。
**注意**
若要使用選擇退出政策, AWS 您的帳戶必須由 集中管理 AWS Organizations。如果您尚未為 AWS 帳戶建立組織,請參閱*AWS Organizations 《 使用者指南*》中的[建立和管理組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org)。
選擇退出的結果:
+ 不會使用 來改善 AWS 服務。