Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi saat istirahat di Amazon Connect
Data kontak yang diklasifikasikan sebagai PII, atau data yang mewakili konten pelanggan yang disimpan oleh Amazon Connect, dienkripsi saat istirahat (yaitu, sebelum dimasukkan, disimpan, atau disimpan ke disk) menggunakan kunci AWS KMS enkripsi yang dimiliki oleh. AWS Untuk informasi tentang AWS KMS kunci, lihat Apa itu AWS Key Management Service? di Panduan AWS Key Management Service Pengembang. Data kontak dalam penyimpanan non-sementara dienkripsi sedemikian rupa sehingga kunci enkripsi data yang dihasilkan dari kunci KMS tidak dibagikan di seluruh instans Amazon Connect.
Enkripsi sisi server Amazon S3 digunakan untuk mengenkripsi rekaman percakapan (suara dan obrolan). Rekaman panggilan, rekaman layar, dan transkrip disimpan dalam dua fase:
-
Rekaman disimpan secara perantara dalam Amazon Connect selama dan setelah kontak, tetapi sebelum pengiriman.
-
Rekaman dikirim ke bucket Amazon S3 Anda.
Rekaman dan transkrip obrolan yang disimpan di bucket Amazon S3 Anda diamankan menggunakan kunci KMS yang dikonfigurasi saat instance Anda dibuat.
Untuk informasi selengkapnya tentang manajemen kunci di Amazon Connect, lihatManajemen kunci di Amazon Connect.
Daftar Isi
Enkripsi AppIntegrations data Amazon saat istirahat
Saat Anda membuat kunci DataIntegration terenkripsi dengan kunci yang dikelola pelanggan, Amazon AppIntegrations membuat hibah atas nama Anda dengan mengirimkan CreateGrant permintaan ke. AWS KMS Hibah AWS KMS digunakan untuk memberi Amazon AppIntegrations akses ke kunci KMS di akun Anda.
Anda dapat mencabut akses ke hibah, atau menghapus akses yang AppIntegrations dimiliki Amazon ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, Amazon tidak AppIntegrations dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut.
Data aplikasi eksternal yang AppIntegrations diproses Amazon dienkripsi saat diam di bucket S3 menggunakan kunci terkelola pelanggan yang Anda berikan selama konfigurasi. Data konfigurasi integrasi dienkripsi saat istirahat menggunakan kunci yang terbatas waktu dan khusus untuk akun pengguna.
Amazon AppIntegrations mewajibkan hibah untuk menggunakan kunci yang dikelola pelanggan untuk operasi internal berikut:
-
Kirim
GenerateDataKeyRequestke AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda. -
Kirim
Decryptpermintaan ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.
Enkripsi Amazon Connect Cases saat istirahat
Semua data yang diberikan pelanggan dalam bidang kasus, komentar kasus, deskripsi bidang, dan templat yang disimpan oleh Kasus Amazon Connect dienkripsi saat istirahat menggunakan kunci enkripsi yang disimpan di AWS Key Management Service ().AWS KMS
Layanan Amazon Connect Cases memiliki, mengelola, memantau, dan memutar kunci enkripsi (yaitu, Kunci milik AWS) untuk memenuhi standar keamanan yang tinggi. Muatan aliran peristiwa kasus sementara (biasanya selama beberapa detik) disimpan di Amazon EventBridge sebelum tersedia melalui bus default di akun pelanggan. EventBridge juga mengenkripsi seluruh muatan saat istirahat menggunakan. Kunci milik AWS
Enkripsi Profil Pelanggan Amazon Connect saat istirahat
Semua data pengguna yang disimpan di Amazon Connect Customer Profiles dienkripsi saat istirahat. Enkripsi Profil Pelanggan Amazon Connect saat istirahat memberikan keamanan yang ditingkatkan dengan mengenkripsi semua data Anda saat istirahat menggunakan kunci enkripsi yang disimpan di AWS Key Management Service ()AWS KMS. Fungsi ini membantu mengurangi beban operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Dengan enkripsi saat diam, Anda dapat membuat aplikasi yang sensitif terhadap keamanan yang memenuhi persyaratan kepatuhan dan peraturan enkripsi yang ketat.
Kebijakan organisasi, peraturan industri atau pemerintah, dan persyaratan kepatuhan kerap mewajibkan penggunaan enkripsi saat diam untuk meningkatkan keamanan data aplikasi Anda. Profil Pelanggan terintegrasi dengan AWS KMS untuk mengaktifkan strategi enkripsi saat istirahat. Untuk informasi selengkapnya, lihat AWS Key Management Service Konsep di Panduan AWS Key Management Service Pengembang.
Saat membuat domain baru, Anda harus memberikan kunci KMS yang akan digunakan layanan untuk mengenkripsi data Anda dalam perjalanan dan saat istirahat. Kunci yang dikelola pelanggan dibuat, dimiliki, dan dikelola oleh Anda. Anda memiliki kendali penuh atas kunci yang dikelola pelanggan (AWS KMS dikenakan biaya).
Anda dapat menentukan kunci enkripsi saat membuat jenis objek domain atau profil baru atau mengganti kunci enkripsi pada sumber daya yang ada dengan menggunakan Antarmuka Baris AWS Perintah (AWS CLI), atau Amazon Connect Customer Profiles Encryption API. Saat Anda memilih kunci yang dikelola pelanggan, Profil Pelanggan Amazon Connect akan membuat hibah ke kunci terkelola pelanggan yang memberinya akses ke kunci yang dikelola pelanggan.
AWS KMS biaya berlaku untuk kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, silakan lihat harga AWS KMS
Enkripsi Amazon Q in Connect saat istirahat
Semua data pengguna yang disimpan di Amazon Q di Connect dienkripsi saat istirahat menggunakan kunci enkripsi yang disimpan di. AWS Key Management Service Jika Anda memberikan kunci terkelola pelanggan secara opsional, Amazon Q in Connect menggunakannya untuk mengenkripsi konten pengetahuan yang disimpan di luar Amazon Q di indeks pencarian Connect. Amazon Q in Connect menggunakan indeks penelusuran khusus per pelanggan dan indeks tersebut dienkripsi saat istirahat dengan menggunakan Kunci milik AWS storage in. AWS Key Management Service Selain itu, Anda dapat menggunakan CloudTrail untuk mengaudit akses data apa pun menggunakan Amazon Q di Connect APIs.
AWS KMS biaya berlaku saat menggunakan kunci yang Anda berikan. Untuk informasi selengkapnya tentang harga, silakan lihat harga AWS KMS
Enkripsi ID Suara Amazon Connect saat istirahat
Amazon Connect Voice ID menyimpan cetak suara pelanggan yang tidak dapat direkayasa balik untuk mendapatkan pidato pelanggan yang terdaftar atau mengidentifikasi pelanggan. Semua data pengguna yang disimpan di Amazon Connect Voice ID dienkripsi saat istirahat. Saat membuat domain ID Suara baru, Anda harus memberikan kunci terkelola pelanggan yang digunakan layanan untuk mengenkripsi data Anda saat istirahat. Kunci yang dikelola pelanggan dibuat, dimiliki, dan dikelola oleh Anda. Anda memiliki kendali penuh atas kunci.
Anda dapat memperbarui kunci KMS di domain ID Suara dengan menggunakan update-domain perintah di Antarmuka Baris AWS Perintah (AWS CLI), atau API ID UpdateDomainSuara.
Ketika Anda mengubah kunci KMS, proses asinkron akan dipicu untuk mengenkripsi ulang data lama dengan kunci KMS baru. Setelah proses ini selesai, semua data domain Anda akan dienkripsi di bawah kunci KMS baru, dan Anda dapat dengan aman menghentikan kunci lama. Untuk informasi selengkapnya, lihat UpdateDomain.
ID Suara membuat hibah ke kunci terkelola pelanggan yang memberinya akses ke kunci. Untuk informasi selengkapnya, lihat Bagaimana Amazon Connect Voice ID menggunakan hibah di AWS KMS.
Berikut ini adalah daftar data yang dienkripsi saat istirahat menggunakan kunci yang dikelola pelanggan:
-
Voiceprints: Voiceprints dihasilkan saat mendaftarkan speaker dan mendaftarkan penipu ke dalam sistem.
-
Audio speaker dan penipu: Data audio yang digunakan untuk mendaftarkan speaker dan mendaftarkan penipu.
-
CustomerSpeakerId: Pelanggan yang disediakan SpeakerId saat mendaftarkan pelanggan ke Voice ID.
-
Metadata yang disediakan pelanggan: Ini termasuk string bentuk bebas seperti,,, dan banyak lagi.
DomainDescriptionDomain NameJob Name
AWS KMS biaya berlaku untuk kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, silakan lihat harga AWS KMS
Bagaimana Amazon Connect Voice ID menggunakan hibah di AWS KMS
ID Suara Amazon Connect memerlukan hibah untuk menggunakan kunci yang dikelola pelanggan. Saat Anda membuat domain, ID Suara akan membuat hibah atas nama Anda dengan mengirimkan CreateGrantpermintaan lihat AWS KMS. Hibah diperlukan untuk menggunakan kunci yang dikelola pelanggan Anda untuk operasi internal berikut:
-
Kirim DescribeKeypermintaan AWS KMS untuk memverifikasi bahwa ID kunci terkelola pelanggan simetris yang diberikan valid.
-
Kirim GenerateDataKeypermintaan ke kunci KMS untuk membuat kunci data yang dapat digunakan untuk mengenkripsi objek.
-
Kirim permintaan Dekripsi ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.
-
Kirim ReEncryptpermintaan ke AWS KMS saat kunci diperbarui untuk mengenkripsi ulang kumpulan data terbatas menggunakan kunci baru.
-
Simpan file di S3 menggunakan AWS KMS kunci untuk mengenkripsi data.
Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, ID Suara tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci terkelola pelanggan, yang memengaruhi semua operasi yang bergantung pada data tersebut, yang menyebabkan AccessDeniedException kesalahan dan kegagalan dalam alur kerja asinkron.
Kebijakan kunci terkelola pelanggan untuk ID Suara
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke kunci KMS di Panduan AWS Key Management Service Pengembang.
Berikut ini adalah contoh kebijakan kunci yang memberi pengguna izin yang mereka perlukan untuk memanggil semua ID Suara APIs menggunakan kunci yang dikelola pelanggan:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect VoiceID.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"voiceid.region.amazonaws.com"
]
}
}
}
]
}Untuk informasi tentang menentukan izin dalam kebijakan, lihat Menentukan kunci KMS dalam pernyataan kebijakan IAM di Panduan Pengembang. AWS Key Management Service
Untuk informasi tentang akses kunci pemecahan masalah, lihat Memecahkan masalah akses kunci di Panduan Pengembang. AWS Key Management Service
Konteks enkripsi ID suara
Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data. AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi.
Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.
ID Suara menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi, di mana kuncinya adalah aws:voiceid:domain:arn dan nilainya adalah sumber daya Amazon Resource Name (ARN) Amazon Resource Name (ARN).
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi juga muncul di log yang dihasilkan oleh CloudTrail atau Amazon CloudWatch Logs.
Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda
Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM sebagai kondisi untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah.
ID Suara Amazon Connect menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci yang dikelola pelanggan di akun atau Wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.
Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId""
}
}
}Memantau kunci enkripsi Anda untuk ID Suara
Saat menggunakan kunci yang dikelola AWS KMS pelanggan dengan ID Suara, Anda dapat menggunakan AWS CloudTrailatau CloudWatch Log Amazon untuk melacak permintaan yang dikirimkan oleh ID Suara AWS KMS.
Contoh berikut adalah contoh AWS CloudTrail peristiwa untuk CreateGrant operasi yang dipanggil oleh ID Suara untuk mengakses data yang dienkripsi oleh kunci terkelola pelanggan Anda:
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA5STZEFPSZEOW7NP3X:SampleUser1",
"arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
"accountId": "111122223333",
"accessKeyId": "AAAAAAA1111111EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA5STZEFPSZEOW7NP3X",
"arn": "arn:aws:iam::111122223333:role/SampleRole",
"accountId": "111122223333",
"userName": "SampleUser"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-09-14T23:02:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-09-14T23:02:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "SampleIpAddress",
"userAgent": "Example Desktop/1.0 (V1; OS)",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
},
"retiringPrincipal": "voiceid.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"operations": [
"CreateGrant",
"Decrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyPair",
"GenerateDataKeyPairWithoutPlaintext",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
],
"granteePrincipal": "voiceid.amazonaws.com "
},
"responseElements": {
"grantId": "00000000000000000000000000000cce47be074a8c379ed39f22b155c6e86af82"
},
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}Enkripsi kampanye keluar saat istirahat
Kampanye keluar menyimpan nomor telepon pelanggan dan atribut yang relevan. Informasi ini selalu dienkripsi saat istirahat, menggunakan kunci yang dikelola pelanggan atau kunci yang AWS dimiliki. Data dipisahkan oleh ID Amazon Connect instance dan dienkripsi oleh kunci spesifik instance.
Anda dapat memberikan kunci terkelola pelanggan Anda sendiri saat melakukan orientasi ke kampanye Outbound.
Layanan ini menggunakan kunci yang dikelola pelanggan Anda untuk mengenkripsi data sensitif saat istirahat. Kunci ini dibuat, dimiliki, dan dikelola sepenuhnya oleh Anda, memberi Anda kendali penuh atas penggunaan dan keamanannya.
Jika Anda tidak memberikan kunci terkelola pelanggan Anda sendiri, kampanye Outbound mengenkripsi data sensitif saat istirahat menggunakan kunci AWS milik khusus untuk instans Anda. Amazon Connect Anda tidak dapat melihat, mengelola, menggunakan, atau mengaudit kunci AWS yang dimiliki. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat kunci yang AWS dimiliki di Panduan AWS Key Management Service Pengembang.
AWS KMS biaya berlaku untuk kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, silakan lihat harga AWS KMS
Bagaimana kampanye keluar menggunakan hibah di AWS KMS
Kampanye keluar memerlukan hibah untuk menggunakan kunci yang dikelola pelanggan Anda. Saat Anda melakukan onboard ke kampanye keluar menggunakan AWS konsol atau StartInstanceOnboardingJob API, kampanye Outbound akan membuat hibah atas nama Anda dengan mengirimkan permintaan ke. CreateGrant AWS KMS Hibah AWS KMS digunakan untuk memberikan akses peran terkait layanan kampanye Amazon Connect Outbound ke kunci KMS di akun Anda.
Kampanye keluar memerlukan hibah untuk menggunakan kunci yang dikelola pelanggan untuk operasi internal berikut:
-
Kirim DescribeKeypermintaan AWS KMS untuk memverifikasi bahwa ID kunci terkelola pelanggan simetris yang diberikan valid.
-
Kirim
GenerateDataKeyWithoutPlainTextpermintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda. -
Kirim
Decryptpermintaan ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.
Anda dapat mencabut akses ke hibah, atau menghapus akses yang dimiliki kampanye keluar ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, kampanye keluar tidak dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut.
Kebijakan kunci yang dikelola pelanggan untuk kampanye keluar
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke kunci KMS di Panduan AWS Key Management Service Pengembang.
Berikut ini adalah contoh kebijakan kunci yang memberi pengguna izin yang mereka butuhkan untuk memanggil kampanye keluar StartInstanceOnboardingJob, PutDialRequestBatchdan PutOutboundRequestBatchAPI menggunakan kunci yang dikelola pelanggan:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect outbound campaigns.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"connect-campaigns.<region>.amazonaws.com"
]
},
"StringEquals": {
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"kms:Describe*"
],
"Resource": "*"
}
]
}Untuk informasi tentang menentukan izin dalam kebijakan, lihat Menentukan kunci KMS dalam pernyataan kebijakan IAM di Panduan Pengembang. AWS Key Management Service
Untuk informasi tentang akses kunci pemecahan masalah, lihat Memecahkan masalah akses kunci di Panduan Pengembang. AWS Key Management Service
Konteks enkripsi kampanye keluar
Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data. AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi.
Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.
Kampanye keluar menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi, di mana kuncinya adalah AWS:AccountID dan AWS:connect:instanceID dan nilainya adalah id akun aws dan id instance Connect.
"encryptionContext": {
"aws:accountId": "111122223333",
"aws:connect:instanceId": "sample instance id"
}Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi juga muncul di log yang dihasilkan oleh CloudTrail atau Amazon CloudWatch Logs.
Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda
Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM sebagai kondisi untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah.
Kampanye keluar menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci yang dikelola pelanggan di akun atau wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.
Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
}
}
}Memantau kunci enkripsi Anda untuk kampanye Outbound
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan dengan sumber daya kampanye keluar, Anda dapat menggunakan AWS CloudTrailatau CloudWatch Log Amazon untuk melacak permintaan yang dikirimkan oleh Lokasi Amazon. AWS KMS
Contoh berikut adalah AWS CloudTrail peristiwa untuk CreateGrant,, GenerateDataKeyWithoutPlainText DescribeKey, dan Dekripsi untuk memantau operasi KMS yang dipanggil oleh Lokasi Amazon untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda:
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
}
},
"granteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"retiringPrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"Encrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
Prakiraan, rencana kapasitas, dan jadwal
Saat Anda membuat prakiraan, rencana kapasitas, dan jadwal, semua data dienkripsi saat istirahat menggunakan kunci Kunci milik AWS enkripsi yang disimpan. AWS Key Management Service
