As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciamento de chaves no Amazon Connect
Você pode especificar AWS KMS chaves, incluindo traga suas próprias chaves (BYOK), para usar na criptografia de envelopes com buckets de entrada/saída do Amazon S3.
Quando você associa a AWS KMS chave ao local de armazenamento do S3 no Amazon Connect, as permissões do API chamador (ou as permissões do usuário do console) são usadas para criar uma concessão na chave com a função de serviço da instância do Amazon Connect correspondente como principal beneficiário. Para a função vinculada ao serviço específica dessa instância do Amazon Connect, a concessão permite que a função use a chave para criptografia e decodificação. Por exemplo:
-
Se você ligar DisassociateInstanceStorageConfigAPIpara dissociar a AWS KMS chave do local de armazenamento S3 no Amazon Connect, a concessão será removida da chave.
-
Se você ligar AssociateInstanceStorageConfigAPIpara associar a AWS KMS chave ao local de armazenamento do S3 no Amazon Connect, mas não tiver a kms: CreateGrant permissão, a associação falhará.
Use o list-grants
Para obter informações sobre AWS KMS chaves, consulte O que é AWS Key Management Service? no Guia do desenvolvedor do AWS Key Management Service.
Amazon Q in Connect
O Amazon Q in Connect armazena documentos de conhecimento que são criptografados em repouso no S3 usando uma chave BYOK ou uma chave de propriedade do serviço. Os documentos de conhecimento são criptografados em repouso no Amazon OpenSearch Service usando uma chave de propriedade do serviço. O Amazon Q in Connect armazena consultas de agentes e transcrições de chamadas usando uma chave BYOK ou uma chave de propriedade do serviço.
Os documentos de conhecimento usados pelo Amazon Q in Connect são criptografados por uma AWS KMS chave.
Amazon AppIntegrations
A Amazon AppIntegrations não oferece suporte BYOK à criptografia de dados de configuração. Ao sincronizar dados de aplicativos externos, é necessário que você o faça periodicamente. BYOK A Amazon AppIntegrations exige uma concessão para usar sua chave gerenciada pelo cliente. Quando você cria uma integração de dados, a Amazon AppIntegrations envia uma CreateGrant solicitação AWS KMS em seu nome. É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, a Amazon AppIntegrations não poderá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta os serviços do Amazon Connect que dependem desses dados.
Customer Profiles
Para perfis de clientes, você pode especificar AWS KMS chaves, incluindo trazer suas próprias chaves (BYOK), para usar na criptografia de envelopes com buckets de entrada/saída do Amazon S3.
Voice ID
Para usar o Amazon Connect Voice ID, é obrigatório fornecer uma KMS chave gerenciada pelo cliente (BYOK) ao criar um domínio do Amazon Connect Voice ID, que é usado para criptografar todos os dados do cliente em repouso.
Campanhas externas
As campanhas externas criptografam todos os dados confidenciais usando uma chave gerenciada pelo cliente Chave pertencente à AWS ou uma chave gerenciada pelo cliente. Como a chave gerenciada pelo cliente é criada, de propriedade e gerenciada por você, você tem controle total sobre a chave gerenciada pelo cliente (AWS KMS cobranças aplicáveis).
