Amazon Connect 中的密钥管理 - Amazon Connect
Amazon Q in ConnectAmazon AppIntegrationsCustomer ProfilesVoice ID出站活动

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Connect 中的密钥管理

您可以指定 AWS KMS 密钥,包括自带密钥 (BYOK),用于对 Amazon S3 输入/输出存储桶进行信封加密。

当您将 AWS KMS 密钥与 Amazon Connect 中的 S3 存储位置关联时,API调用者的权限(或控制台用户的权限)将使用相应的 Amazon Connect 实例服务角色作为被授权者委托人的密钥创建授权。对于特定于该 Amazon Connect 实例的服务关联角色,该授权允许该角色使用密钥进行加密和解密。例如:

  • 如果您调用DisassociateInstanceStorageConfigAPI来解除 AWS KMS 密钥与 Amazon Connect 中的 S3 存储位置的关联,则会从密钥中移除授权。

  • 如果您调用将 AWS KMS 密钥关联AssociateInstanceStorageConfigAPI到 Amazon Connect 中的 S3 存储位置,但您没有 kms:CreateGrant权限,则关联将失败。

使用list-grantsCLI命令列出指定的所有授权 客户托管式密钥。

有关 AWS KMS 密钥的信息,请参阅什么是 AWS Key Management Service? 在《AWS 密钥管理服务开发人员指南》中。

Amazon Q in Connect

Amazon Q in Connect 存储使用BYOK或服务拥有的密钥在 S3 中进行静态加密的知识文档。知识文档在 Amazon OpenSearch 服务中使用服务拥有的密钥进行静态加密。Amazon Q in Connect 使用BYOK或服务拥有的密钥存储代理查询和通话记录。

Amazon Q 在 Connect 中使用的知识文档由 AWS KMS 密钥加密。

Amazon AppIntegrations

Amazon AppIntegrations 不支持BYOK对配置数据进行加密。同步外部应用程序数据时,需要定期进行同步。BYOKAmazon AppIntegrations 需要获得授权才能使用您的客户托管密钥。当您创建数据集成时,Amazon AppIntegrations 会代表您向发送CreateGrant请求。 AWS KMS 您可以随时撤销授予访问权限,或删除服务对客户托管密钥的访问权限。如果您这样做,亚马逊将 AppIntegrations 无法访问由客户托管密钥加密的任何数据,这会影响依赖该数据的Amazon Connect服务。

Customer Profiles

对于客户档案,您可以指定 AWS KMS 密钥,包括自带密钥 (BYOK),用于对 Amazon S3 输入/输出存储桶进行信封加密。

Voice ID

要使用 Amazon Connect 语音识别码,必须在创建 Amazon Connect 语音识别域时提供客户托管密KMS钥 (BYOK),该域用于加密所有静态客户数据。

出站活动

出站活动使用 AWS 拥有的密钥 或客户托管密钥对所有敏感数据进行加密。由于客户托管密钥由您创建、拥有和管理,因此您可以完全控制客户托管密钥(AWS KMS 收费)。