Verschlüsselung im Ruhezustand in Amazon Connect - Amazon Connect
Amazon AppIntegrations Amazon Connect CasesAmazon Connect Customer ProfilesAmazon Q in ConnectVerschlüsselung von Amazon Connect Voice ID im RuhezustandVerschlüsselung ausgehender Kampagnen im RuhezustandPrognosen, Kapazitätspläne und Zeitpläne

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung im Ruhezustand in Amazon Connect

Als PII eingestufte Kontaktdaten oder Daten, die Kundeninhalte darstellen, die von Amazon Connect gespeichert werden, werden im Ruhezustand (d. h. bevor sie gespeichert, gespeichert oder auf einer Festplatte gespeichert werden) mit AWS KMS Verschlüsselungsschlüsseln verschlüsselt, die Eigentum von AWS sind. Informationen zu AWS KMS Schlüsseln finden Sie unter Was ist AWS Key Management Service? im AWS Key Management Service Entwicklerhandbuch. Kontaktdaten im nicht temporären Speicher werden so verschlüsselt, dass aus den KMS-Schlüsseln generierte Datenverschlüsselungsschlüssel nicht von Amazon-Connect-Instances gemeinsam genutzt werden.

Die serverseitige Amazon-S3-Verschlüsselung wird zum Verschlüsseln von Gesprächsaufzeichnungen (Sprache und Chat) verwendet. Anruf- und Bildschirmaufzeichnungen sowie Transkripte werden in zwei Phasen gespeichert:

  • Aufzeichnungen, die innerhalb von Amazon Connect während und nach dem Anruf, aber vor der Auslieferung zwischengeschaltet werden.

  • Aufzeichnungen, die an Ihren Amazon-S3-Bucket geliefert werden.

Die Aufzeichnungen und Chat-Transkripte, die in Ihrem Amazon-S3-Bucket gespeichert sind, werden mit einem KMS-Schlüssel gesichert, der beim Erstellen der Instance konfiguriert wurde.

Weitere Informationen zur Schlüsselverwaltung in Amazon Connect finden Sie unterSchlüsselverwaltung in Amazon Connect.

AppIntegrations Amazon-Datenverschlüsselung im Ruhezustand

Wenn Sie einen mit einem vom Kunden verwalteten, DataIntegration verschlüsselten Schlüssel erstellen, AppIntegrations erstellt Amazon in Ihrem Namen einen Zuschuss, indem es eine CreateGrant Anfrage an sendet AWS KMS. Zuschüsse AWS KMS werden verwendet, um Amazon AppIntegrations Zugriff auf einen KMS-Schlüssel in Ihrem Konto zu gewähren.

Sie können den Zugriff auf den Zuschuss jederzeit widerrufen oder den Zugriff, den Amazon auf den vom Kunden verwalteten Schlüssel AppIntegrations hat, entfernen. Wenn Sie dies tun, AppIntegrations kann Amazon auf keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind.

Externe Anwendungsdaten, die Amazon AppIntegrations verarbeitet, werden im Ruhezustand in einem S3-Bucket mit dem vom Kunden verwalteten Schlüssel verschlüsselt, den Sie bei der Konfiguration angegeben haben. Integrationskonfigurationsdaten werden im Ruhezustand mithilfe eines Schlüssels verschlüsselt, der zeitlich begrenzt und spezifisch für das Benutzerkonto ist.

Amazon AppIntegrations benötigt den Zuschuss, um den vom Kunden verwalteten Schlüssel für die folgenden internen Operationen zu verwenden:

  • Senden Sie anGenerateDataKeyRequest, AWS KMS um Datenschlüssel zu generieren, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt sind.

  • Senden Sie Decrypt Anfragen AWS KMS zur Entschlüsselung verschlüsselter Datenschlüssel an, damit diese zur Verschlüsselung Ihrer Daten verwendet werden können.

Verschlüsselung von Amazon Connect Cases im Ruhezustand

Alle vom Kunden bereitgestellten Daten in Kundenvorgangsfeldern, Fallkommentaren, Beschreibungen der Felder und Vorlagen, die von Amazon Connect Cases gespeichert werden, werden im Ruhezustand mit Verschlüsselungsschlüsseln verschlüsselt, die in AWS Key Management Service (AWS KMS) gespeichert sind.

Der Service Amazon Connect Cases besitzt, verwaltet, überwacht und rotiert die Verschlüsselungsschlüssel (d. h. AWS-eigene Schlüssel), um die hohen Sicherheitsstandards zu erfüllen. Die Nutzdaten der Fallereignisströme werden vorübergehend (normalerweise für einige Sekunden) in Amazon gespeichert, EventBridge bevor sie über den Standardbus im Kundenkonto verfügbar gemacht werden. EventBridge verschlüsselt auch die gesamte Nutzlast im Ruhezustand mit. AWS-eigene Schlüssel

Verschlüsselung von Amazon Connect Customer Profiles im Ruhezustand

Alle Benutzerdaten, die in Amazon Connect Customer Profiles gespeichert sind, werden im Ruhezustand verschlüsselt. Die Verschlüsselung von Amazon Connect Connect-Kundenprofilen im Ruhezustand bietet erhöhte Sicherheit, da alle Ihre Daten im Ruhezustand mithilfe von Verschlüsselungsschlüsseln verschlüsselt werden, die in AWS Key Management Service (AWS KMS) gespeichert sind. Diese Funktionalität trägt zur Verringerung des Betriebsaufwands und der Komplexität bei, die mit dem Schutz sensibler Daten einhergeht. Mit der Verschlüsselung ruhender Daten können Sie sicherheitsrelevante Anwendungen erstellen, die eine strenge Einhaltung der Verschlüsselungsvorschriften und der gesetzlichen Bestimmungen erfordern.

Richtlinien der Organisation, Vorschriften der Branche oder Behörde und Compliance-Anforderungen schreiben oft die Verschlüsselung ruhender Daten vor, um den Datenschutz Ihrer Anwendungen zu erhöhen. Kundenprofile sind integriert AWS KMS , um die Strategie zur Verschlüsselung im Ruhezustand zu ermöglichen. Weitere Informationen finden Sie unter AWS Key Management Service -Konzepte im AWS Key Management Service -Entwicklerhandbuch.

Wenn Sie eine neue Domain erstellen, müssen Sie einen KMS-Schlüssel angeben, mit dem der Dienst Ihre Daten bei der Übertragung und im Speicher verschlüsselt. Ein kundenverwalteter Schlüssel wird von Ihnen erstellt, besessen und verwaltet. Sie haben die volle Kontrolle über den vom Kunden verwalteten Schlüssel (es AWS KMS fallen Gebühren an).

Sie können einen Verschlüsselungsschlüssel angeben, wenn Sie eine neue Domain oder einen neuen Profilobjekttyp erstellen oder die Verschlüsselungsschlüssel einer vorhandenen Ressource wechseln, indem Sie die AWS -Befehlszeilenschnittstelle (AWS CLI) oder die Encryption-API von Amazon Connect Customer Profiles verwenden. Wenn Sie einen vom Kunden verwalteten Schlüssel auswählen, erstellt Amazon Connect Customer Profiles eine Genehmigung dafür, mit der Zugriff auf den vom Kunden verwalteten Schlüssel gewährt wird.

AWS KMS Für einen vom Kunden verwalteten Schlüssel fallen Gebühren an. Weitere Informationen zu Preisen finden Sie unter AWS KMS Preise.

Verschlüsselung von Amazon Q in Connect im Ruhezustand

Alle Benutzerdaten, die in Amazon Q in Connect gespeichert sind, werden im Ruhezustand mit Verschlüsselungsschlüsseln verschlüsselt, die in AWS Key Management Service gespeichert sind. Wenn Sie optional einen vom Kunden verwalteten Schlüssel angeben, verwendet Amazon Q in Connect diesen, um Wissensinhalte zu verschlüsseln, die außerhalb der Amazon–Q-i-Connect-Suchindizes gespeichert sind. Amazon Q in Connect verwendet spezielle Suchindizes pro Kunde und sie werden im Ruhezustand mithilfe von AWS-eigene Schlüssel Stored in verschlüsselt AWS Key Management Service. Darüber hinaus können Sie jeden CloudTrail Datenzugriff mithilfe von Amazon Q in Connect überprüfen APIs.

AWS KMS Bei Verwendung eines von Ihnen bereitgestellten Schlüssels fallen Gebühren an. Weitere Informationen zu Preisen finden Sie unter AWS KMS Preise.

Verschlüsselung von Amazon Connect Voice ID im Ruhezustand

Amazon Connect Voice ID speichert Stimmabdrücke von Kunden, die nicht rückentwickelt werden können, um Sprachmuster des registrierten Kunden zu erhalten oder einen Kunden zu identifizieren. Die in Amazon Connect Voice ID gespeicherten Benutzerdaten werden im Ruhezustand verschlüsselt. Wenn Sie eine neue Voice-ID-Domain erstellen, müssen Sie einen KMS-Schlüssel angeben, mit dem der Dienst Ihre Daten bei der Übertragung und im Speicher verschlüsselt. Ein kundenverwalteter Schlüssel wird von Ihnen erstellt, besessen und verwaltet. Sie haben volle Kontrolle über den Schlüssel.

Sie können den KMS-Schlüssel in der Voice ID-Domäne aktualisieren, indem Sie den update-domain Befehl in der AWS Befehlszeilenschnittstelle (AWS CLI) oder die UpdateDomainVoice ID-API verwenden.

Wenn Sie den KMS-Schlüssel ändern, wird ein asynchroner Prozess ausgelöst, um die alten Daten mit dem neuen KMS-Schlüssel erneut zu verschlüsseln. Nach Abschluss dieses Vorgangs werden alle Daten Ihrer Domain mit dem neuen KMS-Schlüssel verschlüsselt, und Sie können den alten Schlüssel problemlos zurückziehen. Weitere Informationen finden Sie unter UpdateDomain.

Voice ID erstellt eine Genehmigung für den vom Kunden verwalteten Schlüssel, der diesem Zugriff auf den Schlüssel gewährt. Weitere Informationen finden Sie unter So verwendet Amazon Connect Voice ID Genehmigungen in AWS KMS.

Im Folgenden finden Sie eine Liste der Daten, die im Ruhezustand mit dem vom Kunden verwalteten Schlüssel verschlüsselt werden:

  • Stimmabdrücke: Die Stimmabdrücke, die bei der Registrierung von Sprechern und der Registrierung von Betrügern im System generiert wurden.

  • Audio von Sprechern und Betrügern: Die Audiodaten, die für die Registrierung von Sprechern und Betrügern verwendet wurden.

  • CustomerSpeakerId: Der Kunde hat ihn SpeakerId bei der Registrierung des Kunden für Voice ID angegeben.

  • Vom Kunden bereitgestellte Metadaten: Dazu gehören formlose Zeichenketten wie Domain, Description, Domain Name, Job Name und andere.

AWS KMS Für einen vom Kunden verwalteten Schlüssel fallen Gebühren an. Weitere Informationen zu Preisen finden Sie unter AWS KMS Preise.

So verwendet Amazon Connect Voice ID Genehmigungen in AWS KMS

Amazon Connect Voice ID erfordert eine Genehmigung, um Ihren vom Kunden verwalteten Schlüssel zu verwenden. Wenn Sie eine Domain erstellen, gewährt Voice ID in Ihrem Namen einen Zuschuss, indem es eine CreateGrantSee-Anfrage an sendet AWS KMS. Die Genehmigung wird benötigt, um Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:

  • Senden Sie DescribeKeyAnfragen, um AWS KMS zu überprüfen, ob die angegebene symmetrische, vom Kunden verwaltete Schlüssel-ID gültig ist.

  • Senden Sie GenerateDataKeyAnfragen an den KMS-Schlüssel, um Datenschlüssel zu erstellen, mit denen Objekte verschlüsselt werden können.

  • Senden Sie Entschlüsselungsanforderungen an AWS KMS , um die verschlüsselten Datenschlüssel zu entschlüsseln, sodass sie zum Verschlüsseln Ihrer Daten verwendet werden können.

  • Senden Sie ReEncryptAnfragen an den AWS KMS Zeitpunkt, an dem der Schlüssel aktualisiert wird, um einen begrenzten Datensatz mit dem neuen Schlüssel erneut zu verschlüsseln.

  • Speichern Sie Dateien in S3, indem Sie den AWS KMS Schlüssel verwenden, um die Daten zu verschlüsseln.

Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, kann Voice ID nicht auf die mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen. Dies wirkt sich auf alle Vorgänge aus, die von diesen Daten abhängig sind, was zu AccessDeniedException-Fehlern und Ausfällen in den asynchronen ArbeitsFlowsn führt.

Richtlinie für vom Kunden verwaltete Schlüssel in Voice ID

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf KMS-Schlüssel im AWS Key Management Service -Entwicklerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Schlüsselrichtlinie, die einem Benutzer die erforderlichen Berechtigungen gibt, um All Voice ID APIs mithilfe des vom Kunden verwalteten Schlüssels anzurufen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow key access to Amazon Connect VoiceID.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "your_user_or_role_ARN"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "voiceid.region.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Informationen zum Angeben von Berechtigungen in einer Richtlinie finden Sie unter Spezifizieren von KMS-Schlüsseln in IAM-Richtlinienerklärungen im AWS Key Management Service Entwicklerhandbuch.

Informationen zur Problembehandlung beim Schlüsselzugriff finden Sie unter Problembehandlung beim Schlüsselzugriff im AWS Key Management Service Entwicklerhandbuch.

Voice-ID-Verschlüsselungsclient

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten. AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen.

Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext an die verschlüsselten Daten. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.

Voice ID verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel aws:voiceid:domain:arn und der Wert die Ressource Amazon Resource Name (ARN) Amazon Resource Name (ARN) ist.

"encryptionContext": {
   "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}

Sie können den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um festzustellen, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von Amazon CloudWatch Logs generiert wurden CloudTrail .

Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel

Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen verwenden, um den Zugriff auf Ihren symmetrischen, vom Kunden verwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.

Amazon Connect Voice ID verwendet eine Einschränkung des Verschlüsselungskontextes bei Zuweisungen, um den Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.

Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen vom Kunden verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},
{
     "Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
         "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId""
          }
     }
}

Überwachen von Verschlüsselungsschlüsseln für Voice ID

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Voice ID verwenden, können Sie AWS CloudTrailoder Amazon CloudWatch Logs verwenden, um Anfragen zu verfolgen, an die Voice ID gesendet wird AWS KMS.

Die folgenden Beispiele sind ein AWS CloudTrail Beispielereignis für einen CreateGrant Vorgang, der von Voice ID aufgerufen wird, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:

CreateGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROA5STZEFPSZEOW7NP3X:SampleUser1",
        "arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
        "accountId": "111122223333",
        "accessKeyId": "AAAAAAA1111111EXAMPLE",  
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROA5STZEFPSZEOW7NP3X",
                "arn": "arn:aws:iam::111122223333:role/SampleRole",
                "accountId": "111122223333",
                "userName": "SampleUser"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-09-14T23:02:23Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-09-14T23:02:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "SampleIpAddress",
    "userAgent": "Example Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "constraints": {
            "encryptionContextSubset": {
                "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
            }
        },
        "retiringPrincipal": "voiceid.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
        "operations": [
            "CreateGrant",
            "Decrypt",
            "DescribeKey",
            "GenerateDataKey",
            "GenerateDataKeyPair",
            "GenerateDataKeyPairWithoutPlaintext",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
        ],
        "granteePrincipal": "voiceid.amazonaws.com "
    },
    "responseElements": {
        "grantId": "00000000000000000000000000000cce47be074a8c379ed39f22b155c6e86af82"
    },
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
DescribeKey
{
    "eventVersion": "1.08",
    "userIdentity": {
      "type": "AWSService",
      "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-13T15:12:39Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "keyId": "alias/sample-key-alias"
    },
    "responseElements": null,
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": true,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::KMS::Key",
        "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
Decrypt
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-12T23:59:34Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
            "encryptionContext": {
                "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
            },
            "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
        },
        "responseElements": null,
        "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
        "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
        "readOnly": true,
        "resources": [{
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
        }],
        "eventType": "AwsApiCall",
        "managementEvent": true,
        "recipientAccountId": "111122223333",
        "sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
        "eventCategory": "Management"
    }
GenerateDataKeyWithoutPlaintext
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-13T00:26:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKeyWithoutPlaintext",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
        "encryptionContext": {
            "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
        },
        "keySpec": "AES_256"
    },
    "responseElements": null,
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": true,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::KMS::Key",
        "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
    "eventCategory": "Management"
}
ReEncrypt
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "voiceid.amazonaws.com"
    },
    "eventTime": "2021-10-13T00:59:05Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ReEncrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "voiceid.amazonaws.com",
    "userAgent": "voiceid.amazonaws.com",
    "requestParameters": {
        "destinationEncryptionContext": {
            "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
        },
        "destinationKeyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
        "sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "sourceAAD": "SampleSourceAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
        "destinationAAD": "SampleDestinationAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
        "sourceEncryptionContext": {
            "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
        },
        "destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "sourceKeyId": "arn:aws:kms:us-west-2:111122223333:key/55555555-3333-2222-1111-EXAMPLE22222"
    },
    "responseElements": null,
    "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
    "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
    "readOnly": true,
    "resources": [{
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
        },
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-7777777777777"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
    "eventCategory": "Management"
}

Verschlüsselung ausgehender Kampagnen im Ruhezustand

In ausgehenden Kampagnen werden Kunden-Telefonnummern und relevante Attribute gespeichert. Diese Informationen werden im Ruhezustand immer verschlüsselt, wobei entweder ein vom Kunden verwalteter Schlüssel oder ein AWS eigener Schlüssel verwendet wird. Die Daten werden durch die Amazon Connect Instanz-ID getrennt und durch instanzspezifische Schlüssel verschlüsselt.

Sie können Ihren eigenen, vom Kunden verwalteten Schlüssel angeben, wenn Sie Outbound-Kampagnen starten.

Der Service verwendet Ihren vom Kunden verwalteten Schlüssel, um sensible Daten im Speicher zu verschlüsseln. Dieser Schlüssel wird von Ihnen erstellt, gehört und wird vollständig von Ihnen verwaltet, sodass Sie die vollständige Kontrolle über seine Verwendung und Sicherheit haben.

Wenn Sie keinen eigenen, vom Kunden verwalteten Schlüssel bereitstellen, verschlüsselt Outbound Campaigns vertrauliche Daten im Speicher mithilfe eines eigenen Schlüssels, der AWS für Ihre Amazon Connect Instanz spezifisch ist. Sie können AWS eigene Schlüssel nicht anzeigen, verwalten, verwenden oder prüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme ändern, um die Schlüssel zu schützen, mit denen Ihre Daten verschlüsselt werden. Weitere Informationen finden Sie AWS im AWS Key Management Service Entwicklerhandbuch unter Eigene Schlüssel.

AWS KMS Für einen vom Kunden verwalteten Schlüssel fallen Gebühren an. Weitere Informationen zu Preisen finden Sie unter AWS KMS Preise.

Wie werden Zuschüsse für ausgehende Kampagnen verwendet AWS KMS

Für ausgehende Kampagnen ist ein Zuschuss erforderlich, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können. Wenn Sie ausgehende Kampagnen über die AWS Konsole oder die StartInstanceOnboardingJob API starten, erstellt Outbound Campaigns in Ihrem Namen einen Zuschuss, indem Sie eine CreateGrant Anfrage an senden. AWS KMS Eingeschriebene Zuschüsse AWS KMS werden verwendet, um der serviceverknüpften Rolle für Amazon Connect ausgehende Kampagnen Zugriff auf einen KMS-Schlüssel in Ihrem Konto zu gewähren.

Für ausgehende Kampagnen muss der Zuschuss den vom Kunden verwalteten Schlüssel für die folgenden internen Operationen verwenden:

  • Senden Sie DescribeKeyAnfragen an, AWS KMS um zu überprüfen, ob die angegebene symmetrische, vom Kunden verwaltete Schlüssel-ID gültig ist.

  • Senden Sie eine GenerateDataKeyWithoutPlainText Anfrage an, AWS KMS um Datenschlüssel zu generieren, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt werden.

  • Senden Sie Decrypt Anfragen AWS KMS zur Entschlüsselung verschlüsselter Datenschlüssel an, damit diese zur Verschlüsselung Ihrer Daten verwendet werden können.

Sie können jederzeit den Zugriff auf den Zuschuss widerrufen oder den Zugriff ausgehender Kampagnen auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, können ausgehende Kampagnen nicht auf die mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind.

Vom Kunden verwaltete wichtige Richtlinie für ausgehende Kampagnen

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf KMS-Schlüssel im AWS Key Management Service -Entwicklerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Schlüsselrichtlinie, mit der ein Benutzer die erforderlichen Berechtigungen erhält, um ausgehende Kampagnen aufzurufen StartInstanceOnboardingJob, PutDialRequestBatchsowie eine PutOutboundRequestBatchAPI mithilfe des vom Kunden verwalteten Schlüssels: 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow key access to Amazon Connect outbound campaigns.",
      "Effect": "Allow",
      "Principal": {
        "AWS": "your_user_or_role_ARN"
      },
      "Action": [
        "kms:Decrypt",
        "kms:CreateGrant"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "connect-campaigns.<region>.amazonaws.com"
          ]
        },
        "StringEquals": {
            "kms:EncryptionContext:aws:accountId": "111122223333",
            "kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
        }
      }
    },
    {
        "Sid": "Allow direct access to key metadata to the account",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
            "arn:aws:iam::111122223333:root"
            ]
        },
        "Action": [
            "kms:Describe*"
        ],
        "Resource": "*"
     }
  ]
}

Informationen zum Angeben von Berechtigungen in einer Richtlinie finden Sie unter Angabe von KMS-Schlüsseln in IAM-Richtlinienerklärungen im AWS Key Management Service Entwicklerhandbuch.

Informationen zur Problembehandlung beim Schlüsselzugriff finden Sie unter Problembehandlung beim Schlüsselzugriff im AWS Key Management Service Entwicklerhandbuch.

Verschlüsselungskontext für ausgehende Kampagnen

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten. AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen.

Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext an die verschlüsselten Daten. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.

Ausgehende Kampagnen verwenden bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei die Schlüssel aws:accountID und aws:connect:instanceId lauten und der Wert die aws-Konto-ID und die Connect-Instanz-ID ist. 

"encryptionContext": {
   "aws:accountId": "111122223333",
   "aws:connect:instanceId": "sample instance id"
}

Sie können den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um festzustellen, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von Amazon CloudWatch Logs generiert wurden CloudTrail .

Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel

Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen verwenden, um den Zugriff auf Ihren symmetrischen, vom Kunden verwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.

Bei ausgehenden Kampagnen wird der Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region anhand des Verschlüsselungskontextes eingeschränkt. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.

Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen vom Kunden verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert. 

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},
{
     "Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
         "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:accountId": "111122223333",
             "kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
          }
     }
}

Überwachung Ihrer Verschlüsselungsschlüssel für ausgehende Kampagnen

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Ressourcen für ausgehende Kampagnen verwenden, können Sie AWS CloudTrailoder Amazon CloudWatch Logs verwenden, um Anfragen zu verfolgen, an die Amazon Location sendet. AWS KMS

Die folgenden Beispiele sind AWS CloudTrail Ereignisse für CreateGrant, GenerateDataKeyWithoutPlainText DescribeKey, und Decrypt zur Überwachung von KMS-Vorgängen, die von Amazon Location aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:

CreateGrant
{
  "eventVersion": "1.09",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAIGDTESTANDEXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "userName": "Admin"
      },
      "attributes": {
        "creationDate": "2024-08-27T18:40:57Z",
        "mfaAuthenticated": "false"
      }
    },
    "invokedBy": "connect-campaigns.amazonaws.com"
  },
  "eventTime": "2024-08-27T18:46:29Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "CreateGrant",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "connect-campaigns.amazonaws.com",
  "userAgent": "connect-campaigns.amazonaws.com",
  "requestParameters": {
    "constraints": {
      "encryptionContextSubset": {
        "aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "aws:accountId": "111122223333"
      }
    },
    "granteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
    "retiringPrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "operations": [
      "Decrypt",
      "Encrypt",
      "DescribeKey",
      "GenerateDataKey",
      "GenerateDataKeyWithoutPlaintext",
      "ReEncryptFrom",
      "ReEncryptTo"
    ]
  },
  "responseElements": {
    "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
  },
  "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "readOnly": false,
  "resources": [
    {
      "accountId": "111122223333",
      "type": "AWS::KMS::Key",
      "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "eventCategory": "Management",
  "sessionCredentialFromConsole": "true"
}
GenerateDataKeyWithoutPlainText
{
  "eventVersion": "1.09",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
    "arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
    "accountId": "111122223333",
    "accessKeyId": "AROAIGDTESTANDEXAMPLE",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAIGDTESTANDEXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
        "accountId": "111122223333",
        "userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
      },
      "attributes": {
        "creationDate": "2024-08-27T18:46:29Z",
        "mfaAuthenticated": "false"
      }
    },
    "invokedBy": "connect-campaigns.amazonaws.com"
  },
  "eventTime": "2024-08-27T18:46:29Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKeyWithoutPlaintext",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "connect-campaigns.amazonaws.com",
  "userAgent": "connect-campaigns.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
      "aws:accountId": "111122223333"
    },
    "keyId": "arn:aws:kms:us-west-2:586277393662:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "keySpec": "AES_256"
  },
  "responseElements": null,
  "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "readOnly": true,
  "resources": [
    {
      "accountId": "111122223333",
      "type": "AWS::KMS::Key",
      "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "eventCategory": "Management"
}
DescribeKey
{
  "eventVersion": "1.09",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
    "arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
    "accountId": "111122223333",
    "accessKeyId": "AROAIGDTESTANDEXAMPLE",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAIGDTESTANDEXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
        "accountId": "111122223333",
        "userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
      },
      "attributes": {
        "creationDate": "2024-08-27T18:46:29Z",
        "mfaAuthenticated": "false"
      }
    },
    "invokedBy": "connect-campaigns.amazonaws.com"
  },
  "eventTime": "2024-08-27T18:46:29Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "DescribeKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "connect-campaigns.amazonaws.com",
  "userAgent": "connect-campaigns.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "grantTokens": [
      "EL7BPAGG-KDm8661M1pl55WcQD_9ZgFwYXN-SAMPLE"
    ]
  },
  "responseElements": null,
  "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "readOnly": true,
  "resources": [
    {
      "accountId": "111122223333",
      "type": "AWS::KMS::Key",
      "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "eventCategory": "Management"
}
Decrypt
{
  "eventVersion": "1.09",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AKIAIOSFODNN7EXAMPLE3",
        "arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "userName": "Admin"
      },
      "attributes": {
        "creationDate": "2024-08-27T18:40:57Z",
        "mfaAuthenticated": "false"
      }
    },
    "invokedBy": "connect-campaigns.amazonaws.com"
  },
  "eventTime": "2024-08-27T19:09:02Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "connect-campaigns.amazonaws.com",
  "userAgent": "connect-campaigns.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
      "aws:accountId": "111122223333"
    },
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
  },
  "responseElements": null,
  "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "readOnly": true,
  "resources": [
    {
      "accountId": "111122223333",
      "type": "AWS::KMS::Key",
      "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "eventCategory": "Management",
  "sessionCredentialFromConsole": "true"
}

Prognosen, Kapazitätspläne und Zeitpläne

Wenn Sie Prognosen, Kapazitätspläne und Zeitpläne erstellen, werden alle Daten im Ruhezustand mithilfe von AWS-eigener Schlüssel Verschlüsselungsschlüsseln verschlüsselt, die in AWS Key Management Service gespeichert sind.