As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em repouso no Amazon Connect
Os dados de contato classificados como PII, ou dados que representam o conteúdo do cliente armazenado pelo Amazon Connect, são criptografados em repouso (ou seja, antes de serem colocados, armazenados ou salvos em um disco) usando chaves de AWS KMS criptografia de propriedade da. AWS Para obter informações sobre AWS KMS chaves, consulte O que é AWS Key Management Service? no Guia do AWS Key Management Service desenvolvedor. Os dados de contato em armazenamento não temporário são criptografados de forma que as chaves de criptografia de dados geradas das chaves do KMS não sejam compartilhadas entre as instâncias do Amazon Connect.
A criptografia do lado do servidor do Amazon S3 é usada para criptografar gravações de conversas (voz e chat). As gravações de chamada, as gravações de tela e as transcrições são armazenadas em duas fases:
-
Gravações realizadas de forma intermediária no Amazon Connect durante e após a chamada, mas antes da entrega.
-
Gravações entregues ao bucket do Amazon S3.
As gravações armazenadas e as transcrições de chat que são armazenadas no bucket do Amazon S3 são protegidas usando uma chave do KMS configurada no momento da criação da instância.
Para obter mais informações sobre o gerenciamento de chaves no Amazon Connect, consulte Gerenciamento de chaves no Amazon Connect.
Conteúdo
Criptografia AppIntegrations de dados da Amazon em repouso
Quando você cria uma chave DataIntegration criptografada com uma chave gerenciada pelo cliente, a Amazon AppIntegrations cria uma concessão em seu nome enviando uma CreateGrant
solicitação para AWS KMS. Os subsídios AWS KMS são usados para dar AppIntegrations à Amazon acesso a uma chave KMS em sua conta.
Você pode revogar o acesso à concessão ou remover o acesso que a Amazon AppIntegrations tem à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, a Amazon não AppIntegrations poderá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados.
Os dados de aplicativos externos que a Amazon AppIntegrations processa são criptografados em repouso em um bucket do S3 usando a chave gerenciada pelo cliente que você forneceu durante a configuração. Os dados de configuração da integração são criptografados em repouso usando uma chave com limite de tempo e específica para a conta do usuário.
A Amazon AppIntegrations exige a concessão para usar a chave gerenciada pelo cliente para as seguintes operações internas:
-
Envie
GenerateDataKeyRequest
para AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente. -
Envie
Decrypt
solicitações AWS KMS para descriptografar chaves de dados criptografadas para que elas possam ser usadas para criptografar seus dados.
Criptografia em repouso de Chamados do Amazon Connect
Todos os dados fornecidos pelo cliente em campos de casos, comentários de casos, descrições dos campos e modelos armazenados pelo Amazon Connect Cases são criptografados em repouso usando chaves de criptografia armazenadas em AWS Key Management Service (AWS KMS).
O serviço Amazon Connect Cases possui, gerencia, monitora e alterna as chaves de criptografia (ou seja, Chaves pertencentes à AWS) para atender aos altos padrões de segurança. A carga útil dos fluxos de eventos do caso é armazenada temporariamente (normalmente por alguns segundos) na Amazon EventBridge antes de ser disponibilizada por meio do barramento padrão na conta do cliente. EventBridge também criptografa toda a carga útil em repouso usando. Chaves pertencentes à AWS
Criptografia em repouso do Amazon Connect Customer Profiles
Todos os dados de usuário armazenados no Amazon Connect Customer Profiles são criptografados em repouso. A criptografia de perfis de clientes do Amazon Connect em repouso fornece segurança aprimorada ao criptografar todos os seus dados em repouso usando chaves de criptografia armazenadas em AWS Key Management Service (AWS KMS). Essa funcionalidade ajuda a reduzir a carga e complexidade operacionais necessárias para proteger dados confidenciais. Com a criptografia de dados em repouso, você pode criar aplicativos confidenciais que atendem a requisitos rigorosos de conformidade e regulamentação de criptografia.
Políticas organizacionais, regulamentações setoriais ou governamentais e exigências de conformidade geralmente demandam o uso de criptografia em repouso para aumentar a segurança de dados de seus aplicativos. Perfis de clientes integrados AWS KMS para habilitar sua estratégia de criptografia em repouso. Para obter mais informações, consulte Conceitos do AWS Key Management Service no Guia do desenvolvedor do AWS Key Management Service .
Ao criar um domínio, você deve fornecer uma chave do KMS para ser usada pelo serviço para criptografar dados em trânsito e em repouso. A chave gerenciada pelo cliente é criada e gerenciada por você e pertence a você. Você tem controle total sobre a chave gerenciada pelo cliente (AWS KMS taxas aplicáveis).
É possível especificar uma chave de criptografia quando você cria um tipo de objeto de domínio ou perfil ou alterna as chaves de criptografia em um recurso existente usando a AWS Command Line Interface (AWS CLI) ou a API de criptografia do Amazon Connect Customer Profiles. Quando você escolhe uma chave gerenciada pelo cliente, o Amazon Connect Customer Profiles cria uma concessão que autoriza o acesso à chave gerenciada pelo cliente.
AWS KMS cobranças se aplicam a uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte Preços do AWS KMS
Criptografia do Amazon Q in Connect em repouso
Todos os dados de usuário armazenados no Amazon Q in Connect são criptografados em repouso usando chaves de criptografia armazenadas no AWS Key Management Service. Se você fornecer opcionalmente uma chave gerenciada pelo cliente, o Amazon Q in Connect a utilizará para criptografar o conteúdo de conhecimento armazenado em repouso fora dos índices de pesquisa do Amazon Q in Connect. O Amazon Q in Connect usa índices de pesquisa dedicados por cliente e eles são criptografados em repouso usando o recurso de Chaves pertencentes à AWS armazenamento em AWS Key Management Service. Além disso, você pode CloudTrail auditar qualquer acesso a dados usando o Amazon Q in Connect APIs.
AWS KMS cobranças se aplicam ao usar uma chave fornecida por você. Para obter mais informações sobre preços, consulte Preços do AWS KMS
Criptografia em repouso do Amazon Connect Voice ID
O Amazon Connect Voice ID armazena impressões de voz quando não é possível aplicar engenharia reversa para obter a fala do cliente inscrito ou identificar um cliente. Todos os dados de usuário armazenados no Amazon Connect Voice ID são criptografados em repouso. Ao criar um domínio do Voice ID, você deve fornecer uma chave gerenciada pelo cliente para ser usada pelo serviço para criptografar dados em repouso. A chave gerenciada pelo cliente é criada e gerenciada por você e pertence a você. Você tem controle total sobre a chave.
Você pode atualizar a chave KMS no domínio do Voice ID usando o update-domain
AWS comando na Interface de Linha de Comando (AWS CLI) ou UpdateDomaina API Voice ID.
Quando você alterar a chave do KMS, um processo assíncrono será acionado para recriptografar os dados antigos com a nova chave do KMS. Depois que esse processo for concluído, todos os dados do domínio serão criptografados com a nova chave do KMS, e você poderá retirar a chave antiga com segurança. Para obter mais informações, consulte UpdateDomain.
O Voice ID cria uma concessão para a chave gerenciada pelo cliente que concede acesso à chave. Para obter mais informações, consulte Como o Amazon Connect Voice ID usa concessões no AWS KMS.
Veja a seguir uma lista de dados que são criptografados em repouso usando a chave gerenciada pelo cliente:
-
Impressões de voz: as impressões de voz geradas ao inscrever os locutores e registrar os fraudadores no sistema.
-
Áudio do locutor e do fraudador: os dados de áudio usados para inscrever os locutores e registrar os fraudadores.
-
CustomerSpeakerId: o fornecido pelo cliente SpeakerId ao inscrever o cliente no Voice ID.
-
Metadados fornecidos pelo cliente: incluem strings de caracteres de formato livre, como
Domain
,Description
,Domain Name
,Job Name
e muitas outras.
AWS KMS cobranças se aplicam a uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte Preços do AWS KMS
Como o Amazon Connect Voice ID usa concessões no AWS KMS
O Amazon Connect Voice ID exige uma concessão para usar a chave gerenciada pelo cliente. Quando você cria um domínio, o Voice ID cria uma concessão em seu nome enviando uma CreateGrantsolicitação de visualização para AWS KMS. A concessão é obrigatória para usar a chave gerenciada pelo cliente para as seguintes operações internas:
-
Envie DescribeKeysolicitações AWS KMS para verificar se a ID simétrica da chave gerenciada pelo cliente fornecida é válida.
-
Envie GenerateDataKeysolicitações para a chave KMS para criar chaves de dados com as quais criptografar objetos.
-
Envie solicitações de descriptografia para AWS KMS descriptografar as chaves de dados criptografadas para que elas possam ser usadas para criptografar seus dados.
-
Envie ReEncryptsolicitações para AWS KMS quando a chave for atualizada para recriptografar um conjunto limitado de dados usando a nova chave.
-
Armazene arquivos no S3 usando a AWS KMS chave para criptografar os dados.
É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, o Voice ID não poderá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afetará todas as operações que dependam desses dados, causando erros AccessDeniedException
e falhas nos fluxos de trabalho assíncronos.
Política de chave gerenciada pelo cliente para o Voice ID
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Para obter mais informações, consulte Managing access to KMS keys no Guia do desenvolvedor do AWS Key Management Service .
A seguir está um exemplo de política de chaves que dá ao usuário as permissões necessárias para ligar para todas as IDs de voz APIs usando a chave gerenciada pelo cliente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow key access to Amazon Connect VoiceID.", "Effect": "Allow", "Principal": { "AWS": "
your_user_or_role_ARN
" }, "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "voiceid.region
.amazonaws.com" ] } } } ] }
Para obter informações sobre como especificar permissões em uma política, consulte Especificação de chaves KMS nas declarações de política do IAM no Guia do AWS Key Management Service desenvolvedor.
Para obter informações sobre como solucionar problemas de acesso por chave, consulte Solução de problemas de acesso por chave no Guia do AWS Key Management Service desenvolvedor.
Contexto de criptografia do Voice ID
Um contexto de criptografia é um conjunto opcional de pares de valores-chave que contêm informações contextuais adicionais sobre os dados. AWS KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada.
Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto da criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação.
O Voice ID usa o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas, onde a chave está aws:voiceid:domain:arn
e o valor é o recurso Amazon Resource Name (ARN) Amazon Resource Name (ARN).
"encryptionContext": { "aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId" }
Também é possível usar o contexto de criptografia em registros e logs de auditoria para identificar como a chave gerenciada pelo cliente está sendo usada. O contexto de criptografia também aparece nos registros gerados pelo CloudTrail ou Amazon CloudWatch Logs.
Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar o contexto de criptografia nas políticas de chave e políticas do IAM como condições para controlar o acesso à sua chave simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.
O Amazon Connect Voice ID utiliza uma restrição ao contexto de criptografia em concessões para controlar o acesso à chave gerenciada pelo cliente em sua conta ou região. A restrição da concessão exige que as operações permitidas pela concessão usem o contexto de criptografia especificado.
Veja a seguir exemplos de declarações de políticas de chave para conceder acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição nesta declaração de política exige que as concessões tenham uma restrição de contexto de criptografia que especifique o contexto de criptografia.
{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable CreateGrant", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"" } } }
Monitorar chaves de criptografia para o Voice ID
Ao usar uma chave gerenciada pelo AWS KMS cliente com o Voice ID, você pode usar o AWS CloudTrailAmazon CloudWatch Logs para rastrear as solicitações para as quais o Voice ID envia AWS KMS.
Os exemplos a seguir são um exemplo de AWS CloudTrail evento de CreateGrant
operação chamada pelo Voice ID para acessar dados criptografados pela chave gerenciada pelo cliente:
Criptografia de campanhas externas em repouso
As campanhas externas armazenam números de telefone de clientes e atributos relevantes. Essas informações são sempre criptografadas em repouso, usando uma chave gerenciada pelo cliente ou uma AWS chave própria. Os dados são separados pelo ID da Amazon Connect instância e criptografados por chaves específicas da instância.
Você pode fornecer sua própria chave gerenciada pelo cliente ao integrar campanhas externas.
O serviço usa sua chave gerenciada pelo cliente para criptografar dados confidenciais em repouso. Essa chave é criada, de propriedade e totalmente gerenciada por você, oferecendo controle total sobre seu uso e segurança.
Se você não fornecer sua própria chave gerenciada pelo cliente, as campanhas de saída criptografarão dados confidenciais em repouso usando uma chave AWS própria específica para sua Amazon Connect instância. Você não pode visualizar, gerenciar, usar ou auditar chaves AWS de propriedade. No entanto, você não precisa realizar nenhuma ação ou alterar nenhum programa para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte chaves AWS próprias no Guia do AWS Key Management Service desenvolvedor.
AWS KMS cobranças se aplicam a uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte Preços do AWS KMS
Como as campanhas externas usam subsídios em AWS KMS
As campanhas externas exigem um subsídio para usar sua chave gerenciada pelo cliente. Quando você integra campanhas externas usando o AWS console ou a StartInstanceOnboardingJob
API, as campanhas externas criam uma concessão em seu nome enviando uma CreateGrant
solicitação para. AWS KMS As concessões AWS KMS são usadas para dar à função vinculada ao serviço Amazon Connect Outbound Campaigns acesso a uma chave KMS em sua conta.
As campanhas externas exigem que a concessão use a chave gerenciada pelo cliente para as seguintes operações internas:
-
Envie DescribeKeysolicitações AWS KMS para verificar se a ID simétrica da chave gerenciada pelo cliente fornecida é válida.
-
Envie uma
GenerateDataKeyWithoutPlainText
solicitação AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente. -
Envie
Decrypt
solicitações AWS KMS para descriptografar chaves de dados criptografadas para que elas possam ser usadas para criptografar seus dados.
Você pode revogar o acesso à concessão ou remover o acesso que as campanhas externas têm à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, as campanhas externas não poderão acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados.
Política de chaves gerenciada pelo cliente para campanhas externas
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Para obter mais informações, consulte Managing access to KMS keys no Guia do desenvolvedor do AWS Key Management Service .
A seguir está um exemplo de política de chaves que dá ao usuário as permissões necessárias para ligar para campanhas StartInstanceOnboardingJobexternas PutDialRequestBatche PutOutboundRequestBatchAPI usando a chave gerenciada pelo cliente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow key access to Amazon Connect outbound campaigns.", "Effect": "Allow", "Principal": { "AWS": "your_user_or_role_ARN" }, "Action": [ "kms:Decrypt", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "connect-campaigns.<region>.amazonaws.com" ] }, "StringEquals": { "kms:EncryptionContext:aws:accountId": "111122223333", "kms:EncryptionContext:aws:connect:instanceId": "sample instance id" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:Describe*" ], "Resource": "*" } ] }
Para obter informações sobre como especificar permissões em uma política, consulte Especificação de chaves KMS nas declarações de política do IAM no Guia do AWS Key Management Service desenvolvedor.
Para obter informações sobre como solucionar problemas de acesso por chave, consulte Solução de problemas de acesso por chave no Guia do AWS Key Management Service desenvolvedor.
Contexto de criptografia de campanhas externas
Um contexto de criptografia é um conjunto opcional de pares de valores-chave que contêm informações contextuais adicionais sobre os dados. AWS KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada.
Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto da criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação.
As campanhas externas usam o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas, em que as chaves são aws:accountID e aws:connect:instanceID e o valor é o id da conta aws e o ID da instância do Connect.
"encryptionContext": { "aws:accountId": "111122223333", "aws:connect:instanceId": "sample instance id" }
Também é possível usar o contexto de criptografia em registros e logs de auditoria para identificar como a chave gerenciada pelo cliente está sendo usada. O contexto de criptografia também aparece nos registros gerados pelo CloudTrail ou Amazon CloudWatch Logs.
Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar o contexto de criptografia nas políticas de chave e políticas do IAM como condições para controlar o acesso à sua chave simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.
As campanhas externas usam uma restrição de contexto de criptografia nas concessões para controlar o acesso à chave gerenciada pelo cliente em sua conta ou região. A restrição da concessão exige que as operações permitidas pela concessão usem o contexto de criptografia especificado.
Veja a seguir exemplos de declarações de políticas de chave para conceder acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição nesta declaração de política exige que as concessões tenham uma restrição de contexto de criptografia que especifique o contexto de criptografia.
{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable CreateGrant", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:accountId": "111122223333", "kms:EncryptionContext:aws:connect:instanceId": "sample instance id" } } }
Monitorando suas chaves de criptografia para campanhas externas
Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos de campanhas externas, você pode usar o AWS CloudTrailAmazon CloudWatch Logs para rastrear solicitações enviadas para AWS KMS a Amazon Location.
Os exemplos a seguir são AWS CloudTrail eventos para CreateGrant, GenerateDataKeyWithoutPlainText DescribeKey, e Decrypt para monitorar operações KMS chamadas pela Amazon Location para acessar dados criptografados pela chave gerenciada pelo cliente:
Previsões, planos de capacidade e programações
Quando você cria previsões, planos de capacidade e cronogramas, todos os dados são criptografados em repouso usando chaves de Chave pertencente à AWS criptografia armazenadas em. AWS Key Management Service