기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
저장 중 암호화
PII로 분류된 연락처 데이터 또는 Amazon Connect에서 저장 중인 고객 콘텐츠를 나타내는 데이터는 저장 시 (즉, 디스크에 저장, 저장 또는 저장되기 전) 에서 소유한 AWS KMS AWS암호화 키를 사용하여 암호화됩니다. AWS KMS 키에 대한 자세한 내용은 AWS Key Management Service무엇입니까를 참조하십시오. AWS Key Management Service 개발자 안내서에서 비임시 스토리지에 있는 고객 응대 데이터는 암호화되어 KMS 키에서 생성된 데이터 암호화 키가 Amazon Connect 인스턴스 간에 공유되지 않습니다.
Amazon S3 서버 측 암호화는 대화 녹음(음성 및 채팅)을 암호화하는 데 사용됩니다. 통화 녹음, 화면 녹화 및 녹취록은 두 단계로 저장됩니다.
-
고객 응대 중과 고객 응대 후, 그러나 제공 이전에 Amazon Connect 내에서 일시적으로 보류된 레코딩.
-
Amazon S3 버킷에 저장된 레코딩.
Amazon S3 버킷에 저장된 레코딩 및 채팅 기록은 인스턴스 생성 시 구성한 KMS 키를 사용하여 보호됩니다.
내용
Amazon 미사용 AppIntegrations 데이터 암호화
고객 관리 키로 DataIntegration 암호화된 키를 AppIntegrations 생성하면 Amazon이 CreateGrant 요청을 통해 사용자를 대신하여 승인을 생성합니다 AWS KMS. 권한 AWS KMS 부여는 Amazon이 사용자 계정의 KMS 키에 AppIntegrations 액세스할 수 있도록 하는 데 사용됩니다.
언제든지 권한 부여에 대한 액세스 권한을 취소하거나 Amazon이 고객 관리 키에 대해 AppIntegrations 가지고 있는 액세스 권한을 제거할 수 있습니다. 이렇게 하면 Amazon은 고객 관리 키로 암호화된 데이터에 액세스할 AppIntegrations 수 없으며, 이는 해당 데이터에 종속된 작업에 영향을 미칩니다.
Amazon에서 AppIntegrations 처리하는 외부 애플리케이션 데이터는 구성 중에 제공한 고객 관리 키를 사용하여 S3 버킷에 저장된 상태로 암호화됩니다. 통합 구성 데이터는 시간 제한이 있고 사용자 계정에 특정한 키를 사용하여 유휴 시 암호화됩니다.
AppIntegrations Amazon은 다음과 같은 내부 작업에 고객 관리 키를 사용하려면 승인을 받아야 합니다.
-
GenerateDataKeyRequest로 AWS KMS 전송하여 고객 관리 키로 암호화된 데이터 키를 생성하십시오. -
데이터를 암호화하는 AWS KMS 데 사용할 수 있도록 암호화된 데이터 키의 암호를 해독하라는
Decrypt요청을 보내십시오.
유휴 시 Amazon Connect Cases 데이터 암호화
Amazon Connect Cases에 저장된 케이스 필드, 케이스 설명, 필드 설명 및 템플릿의 모든 고객 제공 데이터는 AWS Key Management Service (AWS KMS) 에 저장된 암호화 키를 사용하여 저장 중에 암호화됩니다.
Amazon Connect Cases 서비스는 엄격한 보안 표준을 충족하기 위해 암호화 키 (즉, AWS 소유 키) 를 소유, 관리, 모니터링 및 교체합니다. 사례 이벤트 스트림의 페이로드는 고객 계정의 기본 버스를 통해 EventBridge 제공되기 전에 Amazon에 임시 (일반적으로 몇 초 동안) 저장됩니다. EventBridge 또한 를 사용하여 저장된 전체 페이로드를 암호화합니다. AWS 소유 키
유휴 시 Amazon Connect Customer Profiles 데이터 암호화
Amazon Connect Customer Profiles에 저장된 사용자 데이터는 유휴 시 암호화됩니다. Amazon Connect 고객 프로필 저장 중 암호화는 AWS Key Management Service (AWS KMS) 에 저장된 암호화 키를 사용하여 저장된 모든 데이터를 암호화하여 보안을 강화합니다. 이 기능을 사용하면 중요한 데이터 보호와 관련된 운영 부담 및 복잡성을 줄일 수 있습니다. 저장 시 암호화를 사용하면 엄격한 암호화 규정 준수 및 규제 요구 사항이 필요한, 보안에 민감한 애플리케이션을 구축할 수 있습니다.
조직의 정책, 업계나 정부 규범 및 규정 준수 요건에 따라 유휴 시 암호화를 사용하여 애플리케이션의 데이터 보안을 강화해야 할 수 있습니다. 고객 프로필이 통합되어 AWS KMS 저장 시 암호화 전략을 사용할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 AWS Key Management Service 개념 섹션을 참조하세요.
새 도메인을 생성할 때 서비스에서 전송 중 및 유휴 시 데이터를 암호화하는 데 사용할 KMS 키를 제공해야 합니다. 고객 관리형 키는 사용자가 생성, 소유, 관리합니다. 고객 관리 키를 완전히 제어할 수 있습니다 (AWS KMS 요금 적용).
새 도메인 또는 프로필 객체 유형을 생성할 때 암호화 키를 지정하거나 AWS Command Line Interface(AWS CLI) 또는 Amazon Connect Customer Profiles Encryption API를 사용하여 기존 리소스에서 암호화 키를 전환할 수 있습니다. 고객 관리형 키를 선택하면 Amazon Connect Customer Profiles은 고객 관리형 키에 대한 액세스 권한을 부여하는 권한을 고객 관리형 키에 생성합니다.
AWS KMS 고객 관리 키에는 요금이 부과됩니다. 요금에 대한 자세한 내용은 AWS KMS 요금
저장 시 Amazon Q in Connect 암호화
Amazon Q in Connect에 저장된 모든 사용자 데이터는 AWS Key Management Service에 저장된 암호화 키를 사용하여 저장 시 암호화됩니다. 필요에 따라 고객 관리형 키를 입력하는 경우 Amazon Q in Connect는 이 키를 사용하여 Amazon Q in Connect 검색 인덱스 외부에 저장 시 저장된 기술 콘텐츠를 암호화합니다. Amazon Q in Connect는 고객당 전용 검색 인덱스를 사용하며 AWS 소유 키 저장된 인덱스를 사용하여 저장 시 암호화됩니다. AWS Key Management Service또한 Connect API의 Amazon Q를 사용하여 모든 데이터 액세스를 감사하는 CloudTrail 데 사용할 수 있습니다.
AWS KMS 제공한 키를 사용할 때는 요금이 부과됩니다. 요금에 대한 자세한 내용은 AWS KMS
요금
Amazon Connect Voice ID 유휴 시 암호화
Amazon Connect Voice ID는 등록된 고객의 음성을 얻거나 고객을 식별하기 위해 리버스 엔지니어링할 수 없는 고객 음성 지문을 저장합니다. Amazon Connect Voice ID에 저장된 사용자 데이터는 유휴 시 암호화됩니다. 새 Voice ID 도메인을 만들 때는 서비스에서 저장된 데이터를 암호화하는 데 사용하는 고객 관리형 키를 제공해야 합니다. 고객 관리형 키는 사용자가 생성, 소유, 관리합니다. 키에 대해 사용자가 모든 것을 제어합니다.
명령줄 인터페이스 (AWS CLI) 또는 UpdateDomain음성 ID API의 update-domain 명령을 사용하여 음성 ID 도메인의 KMS 키를 업데이트할 수 있습니다. AWS
KMS 키를 변경하면 비동기 프로세스가 트리거되어 이전 데이터를 새 KMS 키로 다시 암호화합니다. 이 프로세스가 완료되면 도메인의 모든 데이터가 새 KMS 키로 암호화되므로 이전 키는 안전하게 사용을 중지할 수 있습니다. 자세한 내용은 을 참조하십시오. UpdateDomain
음성 ID는 고객 관리형 키에 대한 액세스 권한을 부여하는 권한을 생성합니다. 자세한 정보는 Amazon Connect Voice ID가 AWS KMS에서 권한을 사용하는 방법을 참조하세요.
다음은 고객 관리형 키를 사용하여 유휴 시 암호화되는 데이터 목록입니다.
-
음성 지문: 화자를 등록하고 시스템에 사기범을 등록하는 동안 생성된 음성 인쇄입니다.
-
화자 및 사기범의 오디오: 화자를 등록하고 사기범을 등록하는 데 사용되는 오디오 데이터입니다.
-
CustomerSpeakerID: 고객을 Voice ID에 등록할 SpeakerId 때 고객이 제공한 정보입니다.
-
고객 제공 메타데이터: 여기에는
Domain,Description,Domain Name,Job Name등의 자유 형식 문자열이 포함됩니다.
AWS KMS 고객 관리 키에는 요금이 부과됩니다. 요금에 대한 자세한 내용은 AWS KMS 요금
Amazon Connect Voice ID가 AWS KMS에서 권한을 사용하는 방법
Amazon Connect Voice ID는 고객 관리형 키를 사용하려면 권한 부여가 필요합니다. 도메인을 생성하면 Voice ID가 참조 CreateGrant요청을 로 전송하여 사용자를 대신하여 권한 부여를 생성합니다 AWS KMS. 다음 내부 작업에 고객 관리형 키를 사용하려면 이 권한이 필요합니다.
-
제공된 대칭 고객 관리 키 ID가 유효한지 확인하기 AWS KMS 위해 DescribeKey요청을 보내십시오.
-
KMS 키에 GenerateData키 요청을 전송하여 객체를 암호화하는 데 사용할 데이터 키를 생성합니다.
-
암호화된 데이터 키를 복호화하여 데이터를 암호화하는 AWS KMS 데 사용할 수 있도록 복호화 요청을 로 전송합니다.
-
키가 AWS KMS 업데이트되면 ReEncrypt요청을 전송하여 새 키를 사용하여 제한된 데이터 세트를 다시 암호화하십시오.
-
데이터를 암호화하는 AWS KMS 키를 사용하여 S3에 파일을 저장합니다.
언제든지 권한 부여에 대한 액세스 권한을 취소하거나 고객 관리형 키에 대한 서비스 액세스를 제거할 수 있습니다. 그렇게 하면 Voice ID는 고객 관리형 키로 암호화된 데이터에 액세스할 수 없으며, 이는 해당 데이터에 의존하는 모든 작업에 영향을 미치고 비동기식 워크플로에서 AccessDeniedException 오류 및 실패로 이어집니다.
Voice ID에 대한 고객 관리형 키 정책
키 정책은 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 생성할 때 키 정책을 지정할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 KMS 키에 대한 액세스 관리를 참조하세요.
다음은 고객에게 고객 관리형 키를 사용하여 모든 Voice ID API를 호출하는 데 필요한 권한을 부여하는 키 정책의 예입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow key access to Amazon Connect VoiceID.", "Effect": "Allow", "Principal": { "AWS": "your_user_or_role_ARN" }, "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "voiceid.region.amazonaws.com" ] } } } ] }
정책에서 권한을 지정하는 방법에 대한 자세한 내용은 개발자 안내서의 IAM 정책 설명에 KMS 키 AWS Key Management Service 지정을 참조하십시오.
키 액세스 문제 해결에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 액세스 문제 해결을 참조하십시오.
Voice ID 암호화 컨텍스트
암호화 컨텍스트는 데이터에 대한 추가 컨텍스트 정보를 포함하는 선택적 키-값 쌍 집합입니다. AWS KMS 암호화 컨텍스트를 인증된 추가 데이터로 사용하여 인증된 암호화를 지원합니다.
데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우, AWS KMS 는 암호화된 데이터에 암호화 컨텍스트를 바인딩합니다. 데이터 복호화를 위해, 이 요청에 동일한 암호화 컨텍스트를 포함합니다.
"encryptionContext": { "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId" }
감사 기록 및 로그의 암호화 컨텍스트를 사용하여 고객 관리형 키가 어떻게 사용되고 있는지 파악할 수도 있습니다. 암호화 컨텍스트는 CloudTrail 또는 Amazon Logs에서 생성한 CloudWatch 로그에도 나타납니다.
암호화 컨텍스트를 사용하여 고객 관리형 키에 대한 액세스 제어
그러나 키 정책 및 IAM 정책에서 암호화 컨텍스트를 조건으로 사용하여 대칭형 고객 관리형 키에 대한 액세스를 제어할 수도 있습니다. 또한 권한 부여에서 암호화 컨텍스트 제약 조건을 사용할 수 있습니다.
Amazon Connect Voice ID는 권한 부여 시 암호화 컨텍스트 제약 조건을 사용하여 계정 또는 리전의 고객 관리형 키에 대한 액세스를 제어합니다. 권한 부여 제약 조건에 따라 권한 부여가 허용하는 작업은 지정된 암호화 컨텍스트를 사용해야 합니다.
다음은 특정 암호화 컨텍스트에서 고객 관리형 키에 대한 액세스 권한을 부여하는 키 정책 설명의 예입니다. 이 정책 설명의 조건에 따라 권한 부여에는 암호화 컨텍스트를 지정하는 암호화 컨텍스트 제약 조건이 있어야 합니다.
{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable CreateGrant", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"" } } }
Voice ID에 대한 암호화 키 모니터링 대상
Voice ID와 함께 AWS KMS 고객 관리 키를 사용하는 AWS CloudTrail경우 Amazon CloudWatch Logs를 사용하여 Voice ID가 보내는 요청을 추적할 수 AWS KMS있습니다.
다음은 고객 관리 키로 암호화된 데이터에 액세스하기 위해 Voice ID에서 호출하는 예제 CreateGrant 작업 AWS CloudTrail 이벤트입니다.
아웃바운드 캠페인
아웃바운드 캠페인의 경우, Amazon Pinpoint는 고객 전화번호와 관련 속성을 Amazon Connect에 전달합니다. Amazon Connect 측에서는 고객 관리형 키 또는 AWS 소유 키를 사용하여 항상 유휴 시 암호화됩니다. 아웃바운드 캠페인 데이터는 Amazon Connect 인스턴스 ID로 분리되며 인스턴스별 키로 암호화됩니다.
아웃바운드 캠페인에 온보딩할 때 고유한 고객 관리형 키를 제공할 수 있습니다.
이 서비스는 이 고객 관리형 키를 사용하여 저장된 민감한 데이터를 암호화합니다. 고객 관리형 키는 사용자가 생성, 소유, 관리합니다. 고객 관리형 키에 대한 모든 권한은 사용자에게 있습니다.
자체 고객 관리 키를 제공하지 않는 경우, 아웃바운드 캠페인은 AWS 소유 키 특정 Amazon Connect 인스턴스를 사용하여 저장된 민감한 데이터를 암호화합니다.
AWS KMS 고객 관리 키에는 요금이 부과됩니다. 요금에 대한 자세한 내용은 AWS KMS 요금
예측, 용량 계획 및 일정
예측, 용량 계획 및 일정을 생성하면 저장된 AWS 소유 키 암호화 키를 사용하여 저장된 모든 데이터가 암호화됩니다. AWS Key Management Service
