加密对话日志 - Amazon Lex V1

如果您使用的是 Amazon Lex V2,请改为参阅 Amazon Lex V2 指南

 

如果您使用的是 Amazon Lex V1,我们建议您将机器人升级到 Amazon Lex V2。我们不再向 V1 添加新功能,强烈建议使用 V2 以获得全新的机器人。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

加密对话日志

您可以使用加密来帮助保护对话日志的内容。对于文本日志和音频日志,您可以使用 AWS KMS 客户托管式 CMK 来加密 CloudWatch Logs 日志组和 S3 存储桶中的数据。

注意

Amazon Lex 仅支持对称 CMK。不能使用非对称 CMK 来加密数据。

您可以使用 CloudWatch Logs 日志组上 Amazon Lex 用于加密文本日志的 AWS KMS 密钥来启用加密。您无法在日志设置中提供 AWS KMS 密钥来启用日志组的 AWS KMS 加密。有关更多信息,请参阅《Amazon CloudWatch Logs 用户指南》中的使用 AWS KMS 加密 CloudWatch Logs 中的日志数据

对于音频日志,您可使用 S3 存储桶上的默认加密,或指定 AWS KMS 密钥来加密音频对象。即使 S3 存储桶使用默认加密,您仍然可以指定不同的 AWS KMS 密钥来加密音频对象。有关更多信息,请参阅《Amazon Simple Storage Service 开发人员指南》中的 Amazon Lex 默认 S3 存储桶加密

如果您选择加密音频日志,则 Amazon Lex 需要 AWS KMS 权限。您需要将其他策略附加到用于对话日志的 IAM 角色。如果您在 S3 存储桶上使用默认加密,则该策略必须授予对为该存储桶配置的 AWS KMS 密钥的访问权限。如果您在音频日志设置中指定 AWS KMS 密钥,则必须授予对该密钥的访问权限。

如果您还没有为对话日志创建角色,请参阅用于对话日志的 IAM 策略

创建 IAM 策略以使用 AWS KMS 密钥加密音频日志

  1. 在名为 LexConversationLogsKMSPolicy.json 的当前目录中创建一个文档,向其中添加以下策略并保存。

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "kms:GenerateDataKey"
          ],
          "Resource": "kms-key-arn"
      }
  ]
}

  2. 在 AWS CLI 中,创建 IAM 策略,授予权限以使用 AWS KMS 密钥加密音频日志。

    aws iam create-policy \
    --policy-name kms-policy-name \
    --policy-document file://LexConversationLogsKMSPolicy.json

  3. 将该策略附加到您为对话日志创建的角色。

    aws iam attach-role-policy \
    --policy-arn arn:aws:iam::account-id:policy/kms-policy-name \
    --role-name role-name