Amazon Connect 中的金鑰管理 - Amazon Connect
Amazon Q in ConnectAmazon AppIntegrations客戶設定檔Voice ID傳出活動

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Connect 中的金鑰管理

您可以指定 AWS KMS 金鑰,包括自備金鑰 (BYOK),以使用 Amazon S3 輸入/輸出儲存貯體進行信封加密。

當您將 AWS KMS 金鑰與 Amazon Connect 中的 S3 儲存位置建立關聯時,API 發起人的許可 (或主控台使用者的許可) 會用來在金鑰上建立授予,並將對應的 Amazon Connect 執行個體服務角色做為承授者主體。對於該 Amazon Connect 執行個體的服務連結角色,授權允許該角色使用金鑰進行加密和解密。例如:

  • 如果您呼叫 DisassociateInstanceStorageConfig API 來取消 AWS KMS 金鑰與 Amazon Connect 中 S3 儲存位置的關聯,則會從金鑰中移除授予。

  • 如果您呼叫 AssociateInstanceStorageConfig API,將 AWS KMS 金鑰與 Amazon Connect 中的 S3 儲存位置建立關聯,但您沒有 kms:CreateGrant許可,則關聯將會失敗。

使用 list-grants CLI 命令列出指定 客戶受管金鑰的所有授權。

如需 AWS KMS 金鑰的相關資訊,請參閱 AWS Key Management Service 開發人員指南中的什麼是 AWS Key Management Service?

Amazon Q in Connect

Amazon Q in Connect 使用 BYOK 或服務擁有的金鑰,將靜態加密的知識文件儲存在 S3 中。知識文件會使用服務擁有的金鑰,在 Amazon OpenSearch Service 中進行靜態加密。Amazon Q in Connect 會使用 BYOK 或服務擁有的金鑰儲存客服人員查詢和呼叫文字記錄。

Amazon Q in Connect 使用的知識文件由 AWS KMS 金鑰加密。

Amazon AppIntegrations

Amazon AppIntegrations 不支援 BYOK 來加密組態資料。同步外部應用程式資料時,您必須定期使用 BYOK。Amazon AppIntegrations 需要授予才能使用客戶受管金鑰。當您建立資料整合時,Amazon AppIntegrations AWS KMS 會代表您將CreateGrant請求傳送至 。您可以隨時撤銷授予的存取權,或移除服務對客戶受管金鑰的存取權。如果您這麼做,Amazon AppIntegrations 將無法存取由客戶受管金鑰所加密的任何資料,因為這會影響 Amazon Connect 服務與該資料的相依性。

客戶設定檔

對於客戶設定檔,您可以指定用於加密資料的 AWS KMS 金鑰。如果您未指定客戶受管金鑰,Amazon Connect Customer Profiles 預設會使用 AWS擁有的加密金鑰為您的靜態資料提供加密。

為新的或現有的網域開啟資料存放區之前,您必須設定 AWS KMS key。

您也可以為您的物件類型定義個別 KMS 金鑰。加密客戶資料時,如果有,我們會使用物件類型 KMS 金鑰。否則,我們使用網域的 KMS 金鑰。

啟用 Data Vault 之後,您就無法更新網域或物件類型的 KMS 金鑰。雖然您可以使用新金鑰建立新的物件類型,但您無法修改現有的金鑰設定。

Voice ID

若要使用 Amazon Connect Voice ID,必須在建立 Amazon Connect Voice ID 網域時提供客戶受管金鑰 KMS 金鑰 (BYOK),該網域用於加密客戶所有的靜態資料。

傳出活動

傳出行銷活動會使用 AWS 擁有的金鑰 或客戶受管金鑰加密所有敏感資料。當您建立、擁有和管理客戶受管金鑰時,您可以完全控制客戶受管金鑰 (需支付AWS KMS 費用)。