Amazon Connect 中的密钥管理 - Amazon Connect
Amazon Q in ConnectAmazon AppIntegrationsCustomer ProfilesVoice ID出站活动

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Connect 中的密钥管理

您可以指定 AWS KMS 密钥,包括自带密钥 (BYOK),用于对 Amazon S3 输入/输出存储桶进行信封加密。

当您将 AWS KMS 密钥与 Amazon Connect 中的 S3 存储位置关联时,API 调用者的权限(或控制台用户的权限)将使用相应的 Amazon Connect 实例服务角色作为被授权者委托人创建对密钥的授权。对于特定于 Amazon Connect 实例的服务相关角色,此授权允许角色使用密钥进行加密和解密。例如:

  • 如果您调用 DisassociateInstanceStorageConfigAPI 将 AWS KMS 密钥与 Amazon Connect 中的 S3 存储位置断开关联,则会从密钥中移除授权。

  • 如果您调用 AssociateInstanceStorageConfigAPI 将 AWS KMS 密钥关联到 Amazon Connect 中的 S3 存储位置,但您没有 kms:CreateGrant权限,则关联将失败。

使用 list-grants CLI 命令列出指定 客户托管式密钥的所有授权。

有关 AWS KMS 密钥的信息,请参阅什么是 AWS Key Management Service? 在《AWS 密钥管理服务开发人员指南》中。

Amazon Q in Connect

Amazon Q 的 Connect 使用 BYOK 或服务拥有的密钥将静态加密的知识文档存储在 S3 中。知识文档在 Amazon OpenSearch 服务中使用服务拥有的密钥进行静态加密。Amazon Q 的 Connect 使用 BYOK 或服务拥有的密钥存储座席查询和通话转录。

Amazon Q 在 Connect 中使用的知识文档由 AWS KMS 密钥加密。

Amazon AppIntegrations

Amazon AppIntegrations 不支持 BYOK 对配置数据进行加密。当同步外部应用程序数据时,需要定期执行 BYOK。Amazon AppIntegrations 需要获得授权才能使用您的客户托管密钥。当您创建数据集成时,Amazon AppIntegrations 会代表您向发送CreateGrant请求。 AWS KMS 您可以随时撤销授予访问权限,或删除服务对客户托管密钥的访问权限。如果您这样做,亚马逊将 AppIntegrations 无法访问由客户托管密钥加密的任何数据,这会影响依赖该数据的Amazon Connect服务。

Customer Profiles

对于客户档案,您可以指定 AWS KMS 密钥,包括自带密钥 (BYOK),用于对 Amazon S3 输入/输出存储桶进行信封加密。

Voice ID

要使用 Amazon Connect Voice ID,在创建 Amazon Connect Voice ID 域时必须提供客户托管密钥 KMS 密钥(BYOK),该密钥用于静态加密所有客户数据。

出站活动

出站活动使用 AWS 拥有的密钥 或客户托管密钥对所有敏感数据进行加密。由于客户托管密钥由您创建、拥有和管理,因此您可以完全控制客户托管密钥(AWS KMS 收费)。