Secrets Manager 秘密的資源型政策範例適用於的資源型政策範例 AWS KMS key 將資源型政策連接至 Secrets Manager 秘密將資源型政策連接至您的 KMS 金鑰輪換 API 金鑰

管理秘密和資源政策

當您設定第三方語音提供者時，您需要在 Secrets Manager 中建立包含語音提供者 API 金鑰的秘密。建立秘密需要兩個步驟：

建立包含 API 金鑰的秘密。如需說明，請參閱建立 AWS Secrets Manager 秘密。
設定必要的許可：
- 將資源型政策連接至秘密。
- 將資源型政策連接至與秘密相關聯的 KMS 金鑰（而非 API 金鑰）。KMS 金鑰會保護秘密中的 API 金鑰。
這些政策允許 Amazon Connect 存取秘密中的 API 金鑰。請注意，您無法使用預設 aws/secretsmanager KMS 金鑰；您必須建立新的金鑰或使用現有的客戶受管金鑰。如需 KMS 金鑰如何保護秘密的詳細資訊，請參閱 Secrets Manager 中的秘密加密和解密。

請確定秘密的資源型政策包含 aws:SourceAccount和aws:SourceArn混淆代理人條件（請參閱混淆代理人問題)，且 KMS 金鑰的資源型政策包含 kms:EncryptionContext:SecretARN條件。這將確保 Amazon Connect 只能在單一特定執行個體的內容中存取您的 API 金鑰秘密，並且只能在該執行個體和特定秘密的內容中存取您的 KMS 金鑰。

Secrets Manager 秘密的資源型政策範例

以下是您可以連接到秘密的資源型政策範例。



{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///"
        }
      }
    }
  ]
}

適用於的資源型政策範例 AWS KMS key

以下是您可以連接到 KMS 金鑰的資源型政策範例。



{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///",
          "kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
        }
      }
    }
  ]
}

將資源型政策連接至 Secrets Manager 秘密

若要將資源型政策連接至您的秘密，請前往中的 Secrets Manager 主控台 AWS 管理主控台，導覽至您的秘密，選擇編輯許可或資源許可，然後直接在頁面上新增或修改資源政策，使其看起來與範例類似。您也可以透過 AWS CLIput-resource-policy命令連接資源政策，或以程式設計方式使用 PutResourcePolicy API 操作。

將資源型政策連接至您的 KMS 金鑰

若要將資源型政策連接至您的 KMS 金鑰，請前往內的 AWS Key Management Service 主控台 AWS 管理主控台，導覽至您的 KMS 金鑰並編輯您的金鑰政策，使其看起來像範例。您也可以透過 AWS CLIput-key-policy命令更新金鑰，或使用 PutKeyPolicy API 操作以程式設計方式更新金鑰。

輪換 API 金鑰

我們建議至少每 90 天輪換 API 金鑰，以將入侵風險降至最低，並針對緊急狀況維持良好實務的金鑰輪換程序。

若要輪換 API 金鑰，您必須輪換其中包含的秘密。如需如何輪換秘密的詳細資訊，請參閱《Secrets Manager 使用者指南》中的輪換 Secrets Manager 秘密。當您輪換 API 金鑰時，建議您先等待上一個金鑰的使用量降至零，再撤銷舊的 API 金鑰，以確保持續的請求不會受到影響。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

第三方 STT 提供者的端點和區域

建立 Amazon Q in Connect 意圖