Amazon Connect 中的金鑰管理 - Amazon Connect
Amazon Q in ConnectAmazon AppIntegrations客戶設定檔Voice ID傳出活動

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Connect 中的金鑰管理

您可以指定 AWS KMS 金鑰,包括自帶金鑰 (BYOK),以使用 Amazon S3 輸入/輸出儲存貯體進行信封加密。

當您將 AWS KMS 金鑰與 Amazon Connect 中的 S3 儲存位置建立關聯時,API 發起人的許可 (或主控台使用者的許可) 會用來在金鑰上建立授予,並將對應的 Amazon Connect 執行個體服務角色做為承授者主體。對於該 Amazon Connect 執行個體特定的服務連結角色,授予允許該角色使用 金鑰進行加密和解密。例如:

  • 如果您呼叫 DisassociateInstanceStorageConfig API 來取消 AWS KMS 金鑰與 Amazon Connect 中 S3 儲存位置的關聯,則會從金鑰中移除授予。

  • 如果您呼叫 AssociateInstanceStorageConfig API,將 AWS KMS 金鑰與 Amazon Connect 中的 S3 儲存位置建立關聯,但您沒有 kms:CreateGrant 許可,關聯將會失敗。

使用 list-grants CLI 命令列出指定 的所有授予 客戶受管金鑰。

如需 AWS KMS 金鑰的相關資訊,請參閱 AWS Key Management Service 開發人員指南中的什麼是 AWS Key Management Service?

Amazon Q in Connect

Amazon Q in Connect 使用 BYOK 或服務擁有的金鑰,將靜態加密的知識文件儲存在 S3 中。知識文件會使用服務擁有的金鑰,在 Amazon OpenSearch Service 中進行靜態加密。Amazon Q in Connect 會使用 BYOK 或服務擁有的金鑰儲存客服人員查詢和呼叫文字記錄。

Amazon Q in Connect 使用的知識文件由 AWS KMS 金鑰加密。

Amazon AppIntegrations

Amazon AppIntegrations 不支援 BYOK 加密組態資料。同步外部應用程式資料時,您必須定期使用 BYOK。Amazon AppIntegrations 需要授予才能使用客戶受管金鑰。當您建立資料整合時,Amazon AppIntegrations AWS KMS 會代表您將CreateGrant請求傳送至 。您可以隨時撤銷授予的存取權,或移除服務對客戶受管金鑰的存取權。如果您這麼做,Amazon AppIntegrations 將無法存取由客戶受管金鑰所加密的任何資料,因為這會影響 Amazon Connect 服務與該資料的相依性。

客戶設定檔

對於客戶設定檔,您可以指定 AWS KMS 金鑰,包括自帶金鑰 (BYOK),以使用 Amazon S3 輸入/輸出儲存貯體進行信封加密。

Voice ID

若要使用 Amazon Connect Voice ID,必須在建立 Amazon Connect Voice ID 網域時提供客戶受管金鑰 KMS 金鑰 (BYOK),該網域用於加密客戶所有的靜態資料。

傳出活動

傳出行銷活動會使用 AWS 擁有的金鑰 或客戶受管金鑰加密所有敏感資料。當客戶受管金鑰由您建立、擁有和管理時,您可以完全控制客戶受管金鑰 (需支付AWS KMS 費用)。