Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado en reposo en Amazon Connect
Los datos de contacto clasificados como PII, o los datos que representan el contenido del cliente que Amazon Connect almacena, se cifran en reposo (es decir, antes de colocarlos, almacenarlos o guardarlos en un disco) mediante claves de AWS KMS cifrado propiedad de. AWS Para obtener información sobre AWS KMS las claves, consulte ¿Qué es? AWS Key Management Service en la Guía para AWS Key Management Service desarrolladores. Los datos de contacto en el almacenamiento no temporal se cifran de forma que las claves de cifrado de datos generadas a partir de las claves de KMS no se compartan entre instancias de Amazon Connect.
El cifrado del servidor de Amazon S3 se utiliza para cifrar las grabaciones de las conversaciones (voz y chat). Las grabaciones de llamadas, grabaciones de pantalla y transcripciones se almacenan en dos fases:
-
Grabaciones realizadas de forma intermedia que se guardan en Amazon Connect durante y después del contacto, pero antes de la entrega.
-
Grabaciones entregadas en el bucket de Amazon S3.
Las grabaciones y las transcripciones de chat que se almacenan en el bucket de Amazon S3 se protegen mediante la clave de KMS que se configuró cuando se creó la instancia.
Para obtener más información sobre la administración de claves de Amazon Connect, consulte Administración de claves en Amazon Connect.
Contenido
Cifrado AppIntegrations de datos de Amazon en reposo
Cuando creas un DataIntegration cifrado con una clave gestionada por el cliente, Amazon AppIntegrations crea una concesión en tu nombre enviando una CreateGrant solicitud a AWS KMS. Las concesiones de AWS KMS entrada se utilizan para dar a Amazon AppIntegrations acceso a una clave de KMS de tu cuenta.
Puedes revocar el acceso a la concesión o eliminar el acceso de Amazon AppIntegrations a la clave gestionada por el cliente en cualquier momento. Si lo haces, Amazon no AppIntegrations podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos.
Los datos de aplicaciones externas que Amazon AppIntegrations procesa se cifran en reposo en un bucket de S3 mediante la clave gestionada por el cliente que proporcionaste durante la configuración. Los datos de configuración de la integración se cifran en reposo mediante una clave limitada en el tiempo y específica de la cuenta de usuario.
Amazon AppIntegrations requiere la autorización para utilizar la clave gestionada por el cliente en las siguientes operaciones internas:
-
Envía
GenerateDataKeyRequestAWS KMS a para generar claves de datos cifradas por tu clave gestionada por el cliente. -
Envíe
Decryptsolicitudes AWS KMS a para descifrar las claves de datos cifradas para que puedan usarse para cifrar sus datos.
Cifrado de Amazon Connect Cases en reposo
Todos los datos proporcionados por los clientes en los campos de casos, comentarios de casos, descripciones de los campos y plantillas almacenados en Amazon Connect Cases se cifran en reposo mediante claves de cifrado almacenadas en AWS Key Management Service (AWS KMS).
El servicio Amazon Connect Cases posee, administra, supervisa y rota las claves de cifrado (es decir, Claves propiedad de AWS) para cumplir con los altos estándares de seguridad. La carga útil de las transmisiones de eventos del caso se almacena temporalmente (normalmente durante unos segundos) en Amazon EventBridge antes de que esté disponible a través del bus predeterminado de la cuenta del cliente. EventBridge también cifra toda la carga útil en reposo mediante. Claves propiedad de AWS
Cifrado en reposo de Perfiles de clientes de Amazon Connect
Todos los datos de usuario almacenados en Perfiles de clientes de Amazon Connect se cifran en reposo. El cifrado de los perfiles de clientes de Amazon Connect en reposo proporciona una seguridad mejorada al cifrar todos los datos en reposo mediante claves de cifrado almacenadas en AWS Key Management Service (AWS KMS). Esta funcionalidad ayuda a reducir la carga y la complejidad operativas que conlleva la protección de información confidencial. Con el cifrado en reposo, puede crear aplicaciones sensibles a la seguridad que necesitan cumplimiento estricto de cifrado y requisitos normativos.
Las políticas de la organización, las normativas industriales o gubernamentales y los requisitos de conformidad suelen requerir el uso del cifrado en reposo para aumentar la seguridad de los datos de las aplicaciones. Los perfiles de clientes se AWS KMS integraron para permitir su estrategia de cifrado en reposo. Para obtener más información, consulte Conceptos de AWS Key Management Service en la Guía para desarrolladores de AWS Key Management Service .
Al crear un nuevo dominio, debe proporcionar una clave de KMS que el servicio utilizará para cifrar sus datos en tránsito y en reposo. Se crea la clave administrada por el cliente, que es de su propiedad y está administrada por usted. Usted tiene el control total sobre la clave gestionada por el cliente (de AWS KMS pago).
Puede especificar una clave de cifrado cuando cree un nuevo dominio o tipo de objeto de perfil o bien cambiar las claves de cifrado de un recurso existente mediante la interfaz de la línea de comandos (AWS CLI) de AWS o la API de cifrado de Perfiles de clientes de Amazon Connect. Cuando elige una clave administrada por el cliente, Perfiles de clientes de Amazon Connect crea una concesión a la clave administrada por el cliente que le concede acceso a la clave administrada por el cliente.
AWS KMS se aplican cargos por una clave gestionada por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS KMS
Cifrado en reposo de Amazon Q in Connect
Todos los datos de usuario almacenados en Amazon Q in Connect se cifran en reposo con claves de cifrado almacenadas en AWS Key Management Service. Si opcionalmente proporciona una clave administrada por el cliente, Amazon Q in Connect la utiliza para cifrar el contenido de conocimiento almacenado en reposo fuera de los índices de búsqueda de Amazon Q in Connect. Amazon Q in Connect utiliza índices de búsqueda específicos por cliente y se cifran en reposo mediante el Claves propiedad de AWS almacenamiento en AWS Key Management Service. Además, puede utilizar Amazon Q in Connect CloudTrail para auditar cualquier acceso a los datos APIs.
AWS KMS se aplican cargos al usar una clave que usted proporciona. Para obtener más información acerca de los precios, consulte Precios de AWS KMS
Cifrado de Amazon Connect Voice ID en reposo
Amazon Connect Voice ID almacena las huellas vocales de los clientes que no pueden ser objeto de ingeniería inversa para obtener la voz del cliente inscrito o identificar a un cliente. Todos los datos de usuario almacenados en Amazon Connect Voice ID están cifrados en reposo. Al crear un nuevo dominio de Voice ID, debe proporcionar una clave administrada por el cliente que el servicio utiliza para cifrar sus datos en reposo. Se crea la clave administrada por el cliente, que es de su propiedad y está administrada por usted. Usted tiene pleno control sobre la clave.
Puede actualizar la clave KMS en el dominio de Voice ID mediante el update-domain comando de la interfaz de línea de AWS comandos (AWS CLI) o la API de UpdateDomainVoice ID.
Cuando cambie la clave de KMS, se desencadenará un proceso asincrónico para volver a cifrar los datos antiguos con la nueva clave de KMS. Una vez finalizado este proceso, todos los datos de su dominio se cifrarán con la nueva clave de KMS y podrá retirar la antigua de forma segura. Para obtener más información, consulte UpdateDomain.
Voice ID crea una concesión a la clave administrada por el cliente que le otorga acceso a la clave. Para obtener más información, consulte Cómo Amazon Connect Voice ID utiliza las concesiones en AWS KMS.
A continuación, se enumeran los datos que se cifran en reposo mediante la clave administrada por el cliente:
-
Huellas de voz: las huellas de voz generadas al inscribir a los interlocutores y registrar a los estafadores en el sistema.
-
Audio de interlocutores y estafadores: los datos de audio utilizados para inscribir a los interlocutores y registrar a los estafadores.
-
CustomerSpeakerId: La proporcionada por el cliente SpeakerId al inscribirlo en Voice ID.
-
Metadatos proporcionados por el cliente: incluyen cadenas de formato libre como
DomainDescription,Domain Name,Job Name, etc.
AWS KMS se aplican cargos por una clave administrada por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS KMS
Cómo Amazon Connect Voice ID utiliza las concesiones en AWS KMS
Amazon Connect Voice ID requiere una concesión para utilizar su clave administrada por el cliente. Cuando creas un dominio, Voice ID crea una concesión en tu nombre al enviar una CreateGrantsolicitud de visita a AWS KMS. La concesión se necesita para utilizar la clave administrada por el cliente para las siguientes operaciones internas:
-
Envía DescribeKeysolicitudes AWS KMS a para comprobar que la clave simétrica administrada por el cliente proporcionada es válida.
-
Envíe GenerateDataKeysolicitudes a la clave KMS para crear claves de datos con las que cifrar los objetos.
-
Envíe solicitudes de descifrado AWS KMS a para descifrar las claves de datos cifradas para que puedan usarse para cifrar sus datos.
-
Envíe ReEncryptsolicitudes al AWS KMS momento de actualizar la clave para volver a cifrar un conjunto limitado de datos con la nueva clave.
-
Guarde los archivos en S3 con la AWS KMS clave para cifrar los datos.
Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, Voice ID no podrá acceder a ninguno de los datos cifrados por la clave administrada por el cliente, lo que afectará a todas las operaciones que dependen de esos datos y provocará errores y fallos de AccessDeniedException en los flujos de trabajo asincrónicos.
Política de claves administrada por el cliente para Voice ID
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves de KMS en la Guía para desarrolladores de AWS Key Management Service .
A continuación se muestra un ejemplo de política de claves que otorga al usuario los permisos que necesita para llamar a todos los Voice ID APIs con la clave administrada por el cliente:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect VoiceID.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"voiceid.region.amazonaws.com"
]
}
}
}
]
}Para obtener información sobre cómo especificar los permisos en una política, consulte Especificar las claves de KMS en las declaraciones de política de IAM de la Guía para AWS Key Management Service desarrolladores.
Para obtener información sobre cómo solucionar problemas de acceso a claves, consulte Solución de problemas de acceso a claves en la Guía para AWS Key Management Service desarrolladores.
Contexto de cifrado de Voice ID
Un contexto de cifrado es un conjunto opcional de pares clave-valor que contienen información contextual adicional sobre los datos. AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales para respaldar el cifrado autenticado.
Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.
El Voice ID utiliza el mismo contexto de cifrado en todas las operaciones AWS KMS criptográficas, donde la clave es aws:voiceid:domain:arn y el valor es el recurso Amazon Resource Name (ARN) Amazon Resource Name (ARN).
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}También puede utilizar el contexto de cifrado en registros de auditoría y en registros para identificar cómo se utiliza la clave administrada por el cliente. El contexto de cifrado también aparece en los registros generados por CloudTrail Amazon CloudWatch Logs.
Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente
Puede utilizar el contexto de cifrado en políticas de claves y políticas de IAM como condiciones para controlar el acceso a su clave simétrica administrada por el cliente. Puede usar también una restricción de contexto de cifrado en una concesión.
Amazon Connect Voice ID utiliza el contexto de cifrado para restringir las concesiones que permiten el acceso a la clave administrada por el cliente en su cuenta o región. La restricción de concesión requiere que las operaciones que permite la concesión utilicen el contexto de cifrado especificado.
Los siguientes son ejemplos de declaraciones de política de claves para conceder acceso a una clave administrada por el cliente para un contexto de cifrado específico. La condición de esta declaración de política exige que las concesiones tengan una restricción de contexto de cifrado que especifique el contexto de cifrado.
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId""
}
}
}Supervisar las claves de cifrado para Voice ID
Cuando utilizas una clave gestionada por el AWS KMS cliente con Voice ID, puedes utilizar AWS CloudTrailAmazon CloudWatch Logs para realizar un seguimiento de las solicitudes a las que envía Voice ID AWS KMS.
El siguiente ejemplo es un ejemplo de un AWS CloudTrail evento de CreateGrant operación llamado por Voice ID para acceder a los datos cifrados por la clave gestionada por el cliente:
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA5STZEFPSZEOW7NP3X:SampleUser1",
"arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
"accountId": "111122223333",
"accessKeyId": "AAAAAAA1111111EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA5STZEFPSZEOW7NP3X",
"arn": "arn:aws:iam::111122223333:role/SampleRole",
"accountId": "111122223333",
"userName": "SampleUser"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-09-14T23:02:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-09-14T23:02:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "SampleIpAddress",
"userAgent": "Example Desktop/1.0 (V1; OS)",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
},
"retiringPrincipal": "voiceid.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"operations": [
"CreateGrant",
"Decrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyPair",
"GenerateDataKeyPairWithoutPlaintext",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
],
"granteePrincipal": "voiceid.amazonaws.com "
},
"responseElements": {
"grantId": "00000000000000000000000000000cce47be074a8c379ed39f22b155c6e86af82"
},
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}El cifrado de las campañas salientes está inactivo
Las campañas salientes almacenan los números de teléfono de los clientes y los atributos relevantes. Esta información siempre se cifra en reposo, mediante una clave gestionada por el cliente o una clave AWS propia. Los datos se separan por el ID de la Amazon Connect instancia y se cifran mediante claves específicas de la instancia.
Puedes proporcionar tu propia clave gestionada por el cliente al incorporarte a las campañas de Outbound.
El servicio utiliza tu clave gestionada por el cliente para cifrar los datos confidenciales en reposo. Usted crea esta clave, es de su propiedad y la administra en su totalidad, lo que le brinda un control total sobre su uso y seguridad.
Si no proporcionas tu propia clave gestionada por el cliente, Outbound Campaigns cifra los datos confidenciales en reposo mediante una AWS clave propia específica de tu Amazon Connect instancia. No puedes ver, administrar, usar ni auditar las claves AWS propias. Sin embargo, no tienes que realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran tus datos. Para obtener más información, consulta las claves AWS propias en la Guía para AWS Key Management Service desarrolladores.
AWS KMS se aplican cargos por una clave gestionada por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS KMS
Cómo utilizan las campañas salientes las subvenciones en AWS KMS
Las campañas salientes requieren una subvención para usar la clave gestionada por el cliente. Cuando participas en campañas salientes mediante la AWS consola o la StartInstanceOnboardingJob API, Outbound Campaigns crea una subvención en tu nombre enviando una CreateGrant solicitud a. AWS KMS Las subvenciones entrantes se AWS KMS utilizan para permitir que el rol vinculado al servicio de campañas Amazon Connect salientes acceda a una clave de KMS de tu cuenta.
Las campañas salientes requieren la concesión para utilizar la clave gestionada por el cliente en las siguientes operaciones internas:
-
Envíe DescribeKeysolicitudes AWS KMS a para comprobar que el identificador de clave simétrico gestionado por el cliente proporcionado es válido.
-
Envíe una
GenerateDataKeyWithoutPlainTextsolicitud AWS KMS a para generar claves de datos cifradas por su clave gestionada por el cliente. -
Envíe
Decryptsolicitudes AWS KMS para descifrar las claves de datos cifradas para que puedan usarse para cifrar sus datos.
Puedes revocar el acceso a la concesión o eliminar el acceso que las campañas salientes tienen a la clave gestionada por el cliente en cualquier momento. Si lo haces, las campañas salientes no podrán acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos.
Política clave gestionada por el cliente para las campañas salientes
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves de KMS en la Guía para desarrolladores de AWS Key Management Service .
A continuación se muestra un ejemplo de política clave que proporciona al usuario los permisos que necesita para realizar llamadas a las campañas StartInstanceOnboardingJobsalientes PutDialRequestBatchy a la PutOutboundRequestBatchAPI mediante la clave gestionada por el cliente:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect outbound campaigns.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"connect-campaigns.<region>.amazonaws.com"
]
},
"StringEquals": {
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"kms:Describe*"
],
"Resource": "*"
}
]
}Para obtener información sobre cómo especificar los permisos en una política, consulte Especificar las claves de KMS en las declaraciones de política de IAM en la Guía AWS Key Management Service para desarrolladores.
Para obtener información sobre cómo solucionar problemas de acceso a claves, consulte Solución de problemas de acceso a claves en la Guía para AWS Key Management Service desarrolladores.
El contexto de cifrado de las campañas salientes
Un contexto de cifrado es un conjunto opcional de pares clave-valor que contienen información contextual adicional sobre los datos. AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales para respaldar el cifrado autenticado.
Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.
Las campañas salientes utilizan el mismo contexto de cifrado en todas las operaciones AWS KMS criptográficas, donde la clave son AWS:AccountID y AWS:Connect:InstanceID y el valor es el ID de cuenta de AWS y el ID de instancia de Connect.
"encryptionContext": {
"aws:accountId": "111122223333",
"aws:connect:instanceId": "sample instance id"
}También puede utilizar el contexto de cifrado en registros de auditoría y en registros para identificar cómo se utiliza la clave administrada por el cliente. El contexto de cifrado también aparece en los registros generados por CloudTrail Amazon CloudWatch Logs.
Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente
Puede utilizar el contexto de cifrado en políticas de claves y políticas de IAM como condiciones para controlar el acceso a su clave simétrica administrada por el cliente. Puede usar también una restricción de contexto de cifrado en una concesión.
Las campañas salientes utilizan una restricción de contexto de cifrado en las subvenciones para controlar el acceso a la clave gestionada por el cliente en su cuenta o región. La restricción de concesión requiere que las operaciones que permite la concesión utilicen el contexto de cifrado especificado.
Los siguientes son ejemplos de declaraciones de política de claves para conceder acceso a una clave administrada por el cliente para un contexto de cifrado específico. La condición de esta declaración de política exige que las concesiones tengan una restricción de contexto de cifrado que especifique el contexto de cifrado.
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
}
}
}Supervisar las claves de cifrado para las campañas de Outbound
Cuando utilizas una clave gestionada por el AWS KMS cliente con los recursos de tus campañas salientes, puedes utilizar AWS CloudTrailAmazon CloudWatch Logs para realizar un seguimiento de las solicitudes a las que Amazon Location envía. AWS KMS
Los siguientes ejemplos son AWS CloudTrail eventos para CreateGrant, GenerateDataKeyWithoutPlainText DescribeKey, y Decrypt para monitorear las operaciones de KMS llamadas por Amazon Location para acceder a los datos cifrados por la clave administrada por el cliente:
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
}
},
"granteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"retiringPrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"Encrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
Previsiones, planes de capacidad y programaciones
Al crear previsiones, planes de capacidad y cronogramas, todos los datos en reposo se cifran mediante las claves de Clave propiedad de AWS cifrado almacenadas en AWS Key Management Service.
