Chiffrement au repos - Amazon Connect
Amazon AppIntegrations Amazon Connect CasesProfils des clients Amazon ConnectAmazon Q in ConnectChiffrement d'Amazon Connect Voice ID au reposCampagnes sortantesPrévisions, plans de capacité et plannings

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement au repos

Les données de contact classées comme des informations personnelles, ou les données représentant le contenu client stocké par Amazon Connect, sont chiffrées au repos (c'est-à-dire avant d'être placées, stockées ou enregistrées sur un disque) à l'aide de clés de AWS KMS chiffrement détenues par AWS. Pour plus d'informations sur AWS KMS les clés, voir Qu'est-ce que c'est AWS Key Management Service ? dans le Guide AWS Key Management Service du développeur. Les données de contact situées dans un stockage non temporaire sont chiffrées de telle sorte que les clés de chiffrement des données générées à partir des clés KMS ne soient pas partagées entre les instances Amazon Connect.

Le chiffrement côté serveur Amazon S3 est utilisé pour chiffrer les enregistrements de conversations (voix et chat). Les enregistrements d'appels et d'écrans, ainsi que les transcriptions, sont stockés en deux phases :

  • Enregistrements intermédiaires conservés dans Amazon Connect pendant et après le contact, mais avant la livraison.

  • Enregistrements livrés à votre compartiment Amazon S3.

Les enregistrements et les transcriptions de chat stockés dans votre compartiment Amazon S3 sont sécurisés à l'aide d'une clé KMS configurée lors de la création de votre instance.

Le chiffrement AppIntegrations des données Amazon est au repos

Lorsque vous créez une clé DataIntegration cryptée à l'aide d'une clé gérée par le client, Amazon AppIntegrations crée une subvention en votre nom en envoyant une CreateGrant demande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner à Amazon AppIntegrations l'accès à une clé KMS dans votre compte.

Vous pouvez révoquer l'accès à l'autorisation ou supprimer l'accès d'Amazon AppIntegrations à la clé gérée par le client à tout moment. Dans ce cas, Amazon ne AppIntegrations pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données.

Les données d'application externes traitées par Amazon AppIntegrations sont chiffrées au repos dans un compartiment S3 à l'aide de la clé gérée par le client que vous avez fournie lors de la configuration. Les données de configuration de l'intégration sont chiffrées au repos à l'aide d'une clé limitée dans le temps et spécifique au compte d'utilisateur.

Amazon a AppIntegrations besoin de l'autorisation pour utiliser la clé gérée par le client pour les opérations internes suivantes :

  • Envoyez GenerateDataKeyRequest AWS KMS à pour générer des clés de données chiffrées par la clé gérée par votre client.

  • Envoyez Decrypt des demandes AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.

Chiffrement de la fonctionnalité Cas Amazon Connect au repos

Toutes les données fournies par le client dans les champs de dossier, les commentaires de cas, les descriptions des champs et les modèles stockés par Amazon Connect Cases sont chiffrées au repos à l'aide des clés de chiffrement stockées dans AWS Key Management Service (AWS KMS).

Le service Amazon Connect Cases possède, gère, surveille et fait pivoter les clés de chiffrement (c'est-à-dire Clés détenues par AWS) afin de répondre aux normes de sécurité élevées. La charge utile des flux d'événements du dossier est temporairement (généralement pendant quelques secondes) stockée sur Amazon EventBridge avant d'être mise à disposition via le bus par défaut dans le compte client. EventBridge chiffre également l'intégralité de la charge utile au repos à l'aide de. Clés détenues par AWS

Chiffrement de la fonctionnalité Profils des clients Amazon Connect au repos

Toutes les données utilisateur stockées dans Profils des clients Amazon Connect sont chiffrées au repos. Le chiffrement au repos des profils clients Amazon Connect fournit une sécurité renforcée en chiffrant toutes vos données au repos à l'aide des clés de chiffrement stockées dans AWS Key Management Service (AWS KMS). Cette fonctionnalité réduit la lourdeur opérationnelle et la complexité induites par la protection des données sensibles. Le chiffrement au repos vous permet de créer des applications sensibles en matière de sécurité qui sont conformes aux exigences réglementaires et de chiffrement strictes.

Les politiques organisationnelles et les réglementations sectorielles ou gouvernementales, ainsi que les exigences de conformité, exigent souvent l'utilisation du chiffrement au repos pour augmenter la sécurité des données de vos applications. Profils clients intégrés AWS KMS pour activer sa stratégie de chiffrement au repos. Pour plus d'informations, consultez Concepts d'AWS Key Management Service dans le Guide du développeur AWS Key Management Service .

Lorsque vous créez un nouveau domaine, vous devez fournir une clé KMS que le service utilisera pour chiffrer vos données en transit et au repos. La clé gérée par le client est créée, détenue et gérée par vous-même. Vous avez le contrôle total de la clé gérée par le client (AWS KMS des frais s'appliquent).

Vous pouvez spécifier une clé de chiffrement lorsque vous créez un nouveau domaine ou type d'objet de profil, ou changer les clés de chiffrement sur une ressource existante à l'aide de l'interface de ligne de commande AWS (AWS CLI) ou de l'API de chiffrement de la fonctionnalité Profils des clients Amazon Connect. Lorsque vous choisissez une clé gérée par le client, la fonctionnalité Profils des clients Amazon Connect crée un octroi qui permet d'accéder à la clé gérée par le client.

AWS KMS des frais s'appliquent pour une clé gérée par le client. Pour de plus amples informations sur la tarification, veuillez consulter AWS KMS Tarification.

Chiffrement Amazon Q in Connect au repos

Toutes les données utilisateur stockées dans Amazon Q in Connect sont chiffrées au repos à l’aide des clés de chiffrement stockées dans AWS Key Management Service. Si vous fournissez éventuellement une clé gérée par le client, Amazon Q in Connect l’utilise pour chiffrer le contenu des connaissances stocké au repos en dehors des index de recherche Amazon Q in Connect. Amazon Q in Connect utilise des index de recherche dédiés par client et ceux-ci sont chiffrés au repos à l'aide de la Clés détenues par AWS technologie stored in AWS Key Management Service. En outre, vous pouvez l'utiliser CloudTrail pour auditer tout accès aux données à l'aide des API Amazon Q in Connect.

AWS KMS des frais s'appliquent lors de l'utilisation d'une clé que vous fournissez. Pour de plus amples informations sur la tarification, veuillez consulter AWS KMS Tarification.

Chiffrement d'Amazon Connect Voice ID au repos

Amazon Connect Voice ID stocke les empreintes vocales des clients qui ne peuvent pas être rétroconçues pour obtenir le discours du client inscrit ou identifier un client. Toutes les données utilisateur stockées dans Amazon Connect Voice ID sont chiffrées au repos. Lorsque vous créez un nouveau domaine Voice ID, vous devez fournir une clé géré par le client que le service utilise pour chiffrer vos données au repos. La clé gérée par le client est créée, détenue et gérée par vous-même. Vous disposez d'un contrôle total sur la clé.

Vous pouvez mettre à jour la clé KMS dans le domaine Voice ID à l'aide de la update-domain commande de l'interface de ligne de AWS commande (AWS CLI) ou de l'API UpdateDomainVoice ID.

Lorsque vous modifiez la clé KMS, un processus asynchrone est déclenché pour rechiffrer les anciennes données avec la nouvelle clé KMS. À l'issue de ce processus, toutes les données de votre domaine sont chiffrées selon la nouvelle clé KMS, et vous pouvez retirer l'ancienne clé en toute sécurité. Pour plus d'informations, consultez UpdateDomain.

Voice ID crée un octroi qui lui accorde l'accès à la clé gérée par le client. Pour plus d’informations, consultez Comment Amazon Connect Voice ID utilise les octrois dans AWS KMS.

Voici une liste des données chiffrées au repos à l'aide de la clé gérée par le client :

  • Empreintes vocales : empreintes vocales générées lors de l'inscription des locuteurs et de l'enregistrement des fraudeurs dans le système.

  • Audio des locuteurs et des fraudeurs : données audio utilisées pour inscrire les locuteurs et enregistrer les fraudeurs.

  • CustomerSpeakerID : le numéro fourni par le client SpeakerId lors de son inscription à Voice ID.

  • Métadonnées fournies par le client : elles incluent des chaînes au format libre telles que Domain Description, Domain Name, Job Name, etc..

AWS KMS des frais s'appliquent pour une clé gérée par le client. Pour de plus amples informations sur la tarification, veuillez consulter AWS KMS Tarification.

Comment Amazon Connect Voice ID utilise les octrois dans AWS KMS

Amazon Connect Voice ID nécessite un octroi pour utiliser la clé gérée par le client. Lorsque vous créez un domaine, Voice ID crée une subvention en votre nom en envoyant une CreateGrantdemande de consultation à AWS KMS. L'octroi est requis pour utiliser la clé gérée par le client pour les opérations internes suivantes :

  • Envoyez DescribeKeydes demandes AWS KMS à pour vérifier que l'ID de clé symétrique géré par le client fourni est valide.

  • Envoyez GenerateDatades demandes de clé à KMS Key pour créer des clés de données avec lesquelles chiffrer des objets.

  • Envoyez des demandes de déchiffrement AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.

  • Envoyez ReEncryptdes demandes au AWS KMS moment de la mise à jour de la clé pour rechiffrer un ensemble limité de données à l'aide de la nouvelle clé.

  • Stockez les fichiers dans S3 à l'aide de la AWS KMS clé pour chiffrer les données.

Vous pouvez révoquer l'accès à l'octroi ou supprimer l'accès du service à la clé gérée par le client à tout moment. Dans ce cas, Voice ID ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affecte toutes les opérations qui dépendent de ces données et entraîne des erreurs et des échecs AccessDeniedException dans les flux de travail asynchrones.

Stratégie de clé gérée par le client pour Voice ID

Les politiques de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez Gestion de l'accès aux clés KMS dans le Guide du développeur AWS Key Management Service .

Voici un exemple de stratégie de clé qui donne à un utilisateur les autorisations dont il a besoin pour appeler toutes les API Voice ID à l'aide de la clé gérée par le client :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow key access to Amazon Connect VoiceID.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "your_user_or_role_ARN"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "voiceid.region.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Pour plus d'informations sur la spécification des autorisations dans une politique, consultez la section Spécification des clés KMS dans les déclarations de politique IAM du guide du AWS Key Management Service développeur.

Pour plus d'informations sur la résolution des problèmes d'accès par clé, consultez la section Résolution des problèmes d'accès par clé dans le Guide du AWS Key Management Service développeur.

Contexte de chiffrement de Voice ID

Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur contenant des informations contextuelles supplémentaires sur les données. AWS KMS utilise le contexte de chiffrement comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié.

Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande.

Voice ID utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques, où la clé est la ressource Amazon Resource Name (ARN) Amazon Resource Name (ARN) Amazon Resource Name (ARN) aws:voiceid:domain:arn et la valeur.

"encryptionContext": {
   "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}

Vous pouvez également utiliser le contexte de chiffrement dans les enregistrements d'audit et les journaux pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par CloudTrail ou Amazon CloudWatch Logs.

Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le client

Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l'accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi.

Amazon Connect Voice ID utilise une contrainte de contexte de chiffrement dans les octrois pour contrôler l'accès à la clé gérée par le client dans votre compte ou région. La contrainte d'octroi exige que les opérations autorisées par l'octroi utilisent le contexte de chiffrement spécifié.

Vous trouverez ci-dessous des exemples de déclarations de stratégie de clé permettant d'accorder l'accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette déclaration de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},
{
     "Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
         "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId""
          }
     }
}

Surveillance de vos clés de chiffrement pour Voice ID

Lorsque vous utilisez une clé gérée par le AWS KMS client avec Voice ID, vous pouvez utiliser AWS CloudTrailAmazon CloudWatch Logs pour suivre les demandes auxquelles Voice ID envoie AWS KMS.

Les exemples suivants sont un exemple d' AWS CloudTrail événement pour une CreateGrant opération appelée par Voice ID pour accéder à des données chiffrées par votre clé gérée par le client :

CreateGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROA5STZEFPSZEOW7NP3X:SampleUser1",
        "arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
        "accountId": "111122223333",
        "accessKeyId": "AAAAAAA1111111EXAMPLE",  
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROA5STZEFPSZEOW7NP3X",
                "arn": "arn:aws:iam::111122223333:role/SampleRole",
                "accountId": "111122223333",
                "userName": "SampleUser"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-09-14T23:02:23Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-09-14T23:02:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "SampleIpAddress",
    "userAgent": "Example Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "constraints": {
            "encryptionContextSubset": {
                "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
            }
        },
        "retiringPrincipal": "voiceid.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
        "operations": [
            "CreateGrant",
            "Decrypt",
            "DescribeKey",
            "GenerateDataKey",
            "GenerateDataKeyPair",
            "GenerateDataKeyPairWithoutPlaintext",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
        ],
        "granteePrincipal": "voiceid.amazonaws.com "
    },
    "responseElements": {
        "grantId": "00000000000000000000000000000cce47be074a8c379ed39f22b155c6e86af82"
    },
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
DescribeKey
{
    "eventVersion": "1.08",
    "userIdentity": {
      "type": "AWSService",
      "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-13T15:12:39Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "keyId": "alias/sample-key-alias"
    },
    "responseElements": null,
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": true,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::KMS::Key",
        "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
Decrypt
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-12T23:59:34Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
            "encryptionContext": {
                "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
            },
            "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
        },
        "responseElements": null,
        "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
        "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
        "readOnly": true,
        "resources": [{
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
        }],
        "eventType": "AwsApiCall",
        "managementEvent": true,
        "recipientAccountId": "111122223333",
        "sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
        "eventCategory": "Management"
    }
GenerateDataKeyWithoutPlaintext
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-13T00:26:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKeyWithoutPlaintext",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
        "encryptionContext": {
            "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
        },
        "keySpec": "AES_256"
    },
    "responseElements": null,
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": true,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::KMS::Key",
        "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
    "eventCategory": "Management"
}
ReEncrypt
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-13T00:59:05Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ReEncrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "destinationEncryptionContext": {
            "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
        },
        "destinationKeyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
        "sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "sourceAAD": "SampleSourceAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
        "destinationAAD": "SampleDestinationAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
        "sourceEncryptionContext": {
            "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
        },
        "destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "sourceKeyId": "arn:aws:kms:us-west-2:111122223333:key/55555555-3333-2222-1111-EXAMPLE22222"
    },
    "responseElements": null,
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": true,
    "resources": [{
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
        },
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-7777777777777"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
    "eventCategory": "Management"
}

Campagnes sortantes

Pour les campagnes sortantes, Amazon Pinpoint transmet les numéros de téléphone des clients et les attributs pertinents à Amazon Connect. Sur Amazon Connect, ceux-ci sont toujours chiffrés au repos à l'aide d'une clé gérée par le client ou d'une Clé détenue par AWS. Les données des campagnes sortantes sont séparées par ID d'instance Amazon Connect et sont chiffrées à l'aide de clés spécifiques à l'instance.

Vous pouvez fournir votre propre clé gérée par le client lors de l'intégration à des campagnes sortantes.

Le service utilise cette clé gérée par le client pour chiffrer les données sensibles au repos. La clé gérée par le client est créée, détenue et gérée par vous-même. Vous disposez d'un contrôle total sur la clé gérée par le client.

Si vous ne fournissez pas votre propre clé gérée par le client, les campagnes sortantes cryptent les données sensibles au repos à l'aide d'une clé Clé détenue par AWS spécifique à votre instance Amazon Connect.

AWS KMS des frais s'appliquent pour une clé gérée par le client. Pour de plus amples informations sur la tarification, veuillez consulter AWS KMS Tarification.

Prévisions, plans de capacité et plannings

Lorsque vous créez des prévisions, des plans de capacité et des plannings, toutes les données sont chiffrées au repos à l'aide des clés de Clé détenue par AWS chiffrement stockées dans AWS Key Management Service.