Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Protection des données dans Amazon Connect
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans Amazon Connect. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Amazon Connect ou une autre entreprise Services AWS à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
**Topics**
+ [Données traitées par Amazon Connect](data-handled-by-connect.md)
+ [Chiffrement au repos dans Amazon Connect](encryption-at-rest.md)
+ [Chiffrement en transit dans Amazon Connect](encryption-in-transit.md)
+ [Gestion des clés dans Amazon Connect](key-management.md)
+ [Points de terminaison de VPC (AWS PrivateLink)](vpc-interface-endpoints.md)
+ [Amélioration du service et comment refuser d'utiliser vos données pour améliorer le service](data-opt-out.md)
# Données traitées par Amazon Connect
Les données détenues dans Amazon Connect sont séparées par l'ID de AWS compte et l'ID d'instance Amazon Connect. Cela garantit que les données ne peuvent être consultées que par les utilisateurs autorisés d’une instance Amazon Connect spécifique.
Amazon Connect traite une variété de données liées au centre de contact, y compris, mais sans s’y limiter, les catégories suivantes.
+ **Ressources et configurations** : cela inclut les files d'attente, les flux, les utilisateurs, les profils de routage et les modèles de tâches.
+ **Métadonnées de contact** : elles incluent le temps de connexion, le temps de traitement, le numéro source (ANI), le numéro de destination (DNIS) et les attributs de contact définis par l'utilisateur.
+ **Données de performance relatives à l'agent** — Cela inclut l'heure de connexion, les changements de statut et les contacts gérés.
+ **Streams audio d'appels téléphoniques** — Lorsque cette option est activée, cela inclut également les enregistrements d'appels.
+ **Transcriptions du chat** : incluses uniquement si cette option est activée dans les flux.
+ **Enregistrements d’écrans** : inclus uniquement si cette option est activée dans les flux.
+ **Pièces jointes** : incluses uniquement si cette option est activée au niveau de l’instance.
+ **Configuration de l’intégration** : inclut le nom, la description et les métadonnées définis par l’utilisateur lors de la création d’une intégration avec des applications externes.
+ **Documents de connaissances** : inclut les documents utilisés par les agents pour gérer les contacts.
+ **Empreintes vocales** : lorsqu’Amazon Connect Voice ID est activé, une empreinte vocale est créée à partir de la voix du client pour authentification ultérieure. De même, une empreinte vocale est créée lors de l’enregistrement d’un fraudeur dans le système Voice ID pour la détection future des fraudes.
+ **Audio des locuteurs et des fraudeurs** : lorsqu’Amazon Connect Voice ID est activé, l’audio utilisé pour inscrire les locuteurs et enregistrer les fraudeurs est stocké afin que Voice ID puisse les réinscrire et les réenregistrer à l’avenir lorsque cela sera nécessaire.
+ **Prévisions, plans de capacité et plannings** : inclus uniquement s’ils sont activés et créés.
Amazon Connect stocke les données d’identification personnelle (PII) suivantes relatives à vos clients :
+ Numéro de téléphone du client : ANI pour les appels entrants et DNIS pour les appels sortants ou les transferts.
+ Si vous utilisez la fonctionnalité Profils des clients Amazon Connect, toutes ces données peuvent potentiellement être des données d’identification personnelle. Ces données sont toujours chiffrées au repos à l’aide d’une clé gérée par le client ou d’une Clé détenue par AWS. Les données de la fonctionnalité Profils des clients Amazon Connect sont séparées en fonction de l’ID de compte AWS et du domaine. Plusieurs instances Amazon Connect peuvent partager un même domaine Profils des clients.
+ Pour les campagnes sortantes, Amazon Pinpoint transmet les numéros de téléphone des clients et les attributs pertinents à Amazon Connect. Du côté d’Amazon Connect, ceux-ci sont toujours chiffrés au repos à l’aide d’une clé gérée par le client ou d’une Clé détenue par AWS. Les données des campagnes sortantes sont séparées par ID d’instance Amazon Connect et sont chiffrées à l’aide de clés spécifiques à l’instance.
## Données d’application externe
Amazon vous AppIntegrations permet d'intégrer des applications externes. Il stocke les références à d'autres AWS ressources et aux métadonnées spécifiées par le service client. Aucune donnée n’est stockée sauf de manière fortuite pendant le traitement. Lors de la synchronisation périodique des données avec un service Amazon Connect, les données sont chiffrées à l’aide d’une clé gérée par le client et stockées temporairement pendant un mois.
## Média d’appels téléphoniques
Amazon Connect est dans le chemin audio pour les appels gérés par le service. Il est donc chargé de relayer le flux médiatique de l’appel entre les participants. Cela peut inclure l’audio entre un client et un flux/IVR, l’audio entre un client et un agent, ou le mélange de l’audio entre plusieurs parties lors d’une conférence ou lors d’un transfert. Il existe deux types d’appels téléphoniques :
+ Appels RTCP. Inclut les appels clients entrants, les appels sortants passés par les agents à des clients et les appels vers le téléphone physique d’un agent, si cette option a été activée dans le Panneau de configuration du contact (CCP).
+ Appels par logiciel de téléphonie passés dans le navigateur de l’agent.
Les appels RTCP sont connectés entre Amazon Connect et divers opérateurs de télécommunications en utilisant soit des circuits privés entre Amazon Connect et nos fournisseurs, soit une connectivité Internet AWS existante. Pour les appels RTCP acheminés sur Internet public, la signalisation est chiffrée avec TLS et le support audio est chiffré avec SRTP.
Les appels par softphone sont établis vers le navigateur de l'agent par le biais d'une WebSocket connexion cryptée utilisant le protocole TLS. Le trafic audio vers le navigateur est chiffré en transit à l’aide de DTLS-SRTP.
## Enregistrements d’appels et d’écrans
Au niveau de l’instance, les fonctionnalités d’enregistrement d’appel et d’écran sont disponibles par défaut lorsqu’un compartiment Amazon S3 est créé pour elles. Vous déterminez quels contacts sont enregistrés en les spécifiant dans les flux. Cela permet de contrôler plus précisément quels contacts sont enregistrés.
Notez le comportement suivant pour les enregistrements d’appels :
+ La fonctionnalité d’enregistrement des appels inclut des options permettant de choisir d’enregistrer l’audio du client et du système pendant les interactions IVR ou toute combinaison d’audio du client, d’audio de l’agent ou des deux lors des interactions avec l’agent.
+ Au total, deux enregistrements sont possibles par contact : un pour les interactions automatisées (IVR) et un pour les interactions avec l’agent. L’activation ou la désactivation de l’enregistrement pour les interactions automatisées prend effet immédiatement. À l’inverse, la modification de l’enregistrement correspondant aux interactions avec l’agent ne prend effet qu’une fois que l’agent a rejoint l’appel.
+ L’audio de l’agent n’est pas transmis à Amazon Connect lorsque l’agent n’est pas en cours d’appel. Le 9 novembre 2023, Amazon Connect a déployé une optimisation visant à améliorer la productivité des agents en préconfigurant le flux multimédia de microphone du navigateur de l’agent avant l’arrivée du contact. Cette optimisation réduit le temps de configuration pour les appels entrants et sortants. Par conséquent, l’icône du microphone dans le navigateur de l’agent semble activée, même lorsque l’agent n’est pas en cours d’appel.
+ Lorsqu’un client est en attente pendant une interaction de l’agent, l’agent continue à être enregistré.
+ La conversation de transfert entre les agents est enregistrée.
+ Lorsqu’un appel est transféré pendant un flux ou une interaction IVR (par exemple, en utilisant le bloc Transférer vers un numéro de téléphone), l’enregistrement continue de capturer ce que le client dit et entend même après son transfert vers un système vocal externe.
+ Les transferts vers des numéros externes lors de l’interaction de l’agent ne sont pas enregistrés après que l’agent quitte l’appel.
+ Si l’agent désactive le son du micro, par exemple pour consulter une personne assise à côté de lui, sa conversation séparée n’est pas enregistrée.
L’enregistrement d’écran n’enregistre l’écran de l’agent que si le contact est activé pour l’enregistrement d’écran. L’enregistrement d’écran commence lorsque l’agent accepte un contact et se termine lorsque l’agent termine le travail après contact. L’enregistrement d’écran prend en charge les canaux suivants : voix, chat et tâche.
**Important**
Lors d’un appel vidéo ou d’une session de partage d’écran, les agents peuvent voir la vidéo ou le partage d’écran du client même lorsque le client est en attente. Il revient au client de traiter les données d’identification personnelle (PII) en conséquence. Si vous souhaitez modifier ce comportement, vous pouvez créer un CCP personnalisé et un widget de communication. Pour plus d’informations, consultez [Intégration des appels intégrés, Web et vidéo de manière native dans votre application mobile](config-com-widget2.md).
Vous pouvez limiter l’accès aux enregistrements d’appels et d’écrans en fonction des autorisations utilisateur. Les enregistrements peuvent être recherchés et lus sur le site Web Amazon Connect d'administration.
### Stockage des enregistrements d’appels et d’écrans
Les enregistrements d’appels et d’écrans sont stockés en deux phases :
+ Enregistrements intermédiaires conservés dans Amazon Connect pendant et après le contact, mais avant la livraison.
+ Enregistrements livrés à votre compartiment Amazon S3.
Les enregistrements stockés dans votre compartiment Amazon S3 sont sécurisés à l’aide d’une clé KMS configurée lors de la création de votre instance.
En tout temps, vous gardez un contrôle total sur la sécurité des enregistrements d’appels livrés à votre compartiment Amazon S3.
### Accès aux enregistrements d’appels et d’écrans
Vous pouvez rechercher et écouter des enregistrements d’appels ou afficher des enregistrements d’écrans dans Amazon Connect. Pour déterminer quels utilisateurs peuvent le faire, affectez-leur les autorisations appropriées dans leur profil de sécurité. Si cette option AWS CloudTrail est activée, l'accès à des enregistrements spécifiques par les utilisateurs d'Amazon Connect est enregistré dans CloudTrail.
Les fonctionnalités d'Amazon S3 et AWS KMS d'IAM vous permettent de contrôler totalement qui a accès aux données d'enregistrement des appels.
## Métadonnées de contact
Amazon Connect stocke les métadonnées relatives aux contacts qui circulent dans le système et permet aux utilisateurs autorisés d’accéder à ces informations. La fonctionnalité Recherche de contacts vous permet de rechercher et d’afficher les données de contact, telles que les numéros de téléphone d’origine ou d’autres attributs définis par le flux, qui sont associés à un contact à des fins de diagnostic ou de création de rapports.
Les données de contact classées comme PII qui sont stockées par Amazon Connect sont chiffrées au repos à l’aide d’une clé limitée dans le temps et spécifique à l’instance Amazon Connect. Plus précisément, le numéro de téléphone d’origine du client est haché par chiffrement avec une clé spécifique à l’instance afin de permettre son utilisation dans la recherche de contacts. Pour la recherche de contacts, la clé de chiffrement n’est pas sensible au facteur temps.
Les données suivantes stockées par Amazon Connect sont considérées comme sensibles :
+ Numéro de téléphone d’origine
+ Numéro de téléphone sortant
+ Numéros externes composés par des agents pour les transferts
+ Numéros externes transférés par un flux
+ Nom du contact
+ Description du contact
+ Tous les attributs de contact
+ Toutes les références de contact
## Traitement Contact Lens en temps réel
Le contenu traité par Contact Lens en temps réel est chiffré, tant au repos qu’en transit. Les données sont chiffrées à l’aide de clés détenues par Contact Lens.
Contact Lens conserve les données (transcription, noms de catégories, etc.) du côté Amazon Connect pendant une courte période. Cela permet de garantir que l’API diffuse les données en continu, jusqu’à 24 heures après la fin du contact.
## Empreintes vocales et enregistrements audio Voice ID
Lorsque vous activez Amazon Connect Voice ID, celui-ci calcule les empreintes vocales à partir du discours de votre client afin de les authentifier à l’avenir, et stocke les données. De même, lorsque vous activez la détection des fraudes, il stocke l’empreinte vocale de chaque fraudeur enregistré dans Voice ID.
Lorsque vous inscrivez un client à Voice ID à des fins d’authentification et de détection des fraudes, vous devez spécifier un `CustomerSpeakerId` pour lui. Étant donné que Voice ID stocke les informations biométriques de chaque locuteur, nous vous recommandons vivement d’utiliser un identifiant ne contenant pas de données d’identification personnelle dans le champ `CustomerSpeakerId`.
## Audio des locuteurs et des fraudeurs
Lorsque vous activez Amazon Connect Voice ID, celui-ci stocke une version compacte de l’audio (appelée énoncé) qu’il a agrégée lors de l’inscription d’un locuteur ou de l’enregistrement d’un fraudeur. Cet audio sera utilisé à l’avenir chaque fois que les empreintes vocales des locuteurs et des fraudeurs devront être générées à nouveau. Les données sont conservées tant que le locuteur/fraudeur n’est pas supprimé. L’audio original utilisé pour l’inscription ou l’évaluation est supprimé au bout de 24 heures.
Les données sont conservées jusqu'à leur speaker/fraudster suppression ou leur désinscription.
## Campagnes sortantes
Pour les campagnes sortantes, Amazon Pinpoint transmet les numéros de téléphone des clients et les attributs pertinents à Amazon Connect. Sur Amazon Connect, ceux-ci sont toujours chiffrés au repos à l’aide d’une clé gérée par le client ou d’une Clé détenue par AWS. Les données des campagnes sortantes sont séparées par ID d’instance Amazon Connect et sont chiffrées à l’aide de clés spécifiques à l’instance.
## Modèles de tâches
Tout traitement des ressources de modèles de tâches dans Amazon Connect est chiffré, tant au repos qu’en transit. Les données sont cryptées avec un AWS KMS key.
## Prévisions, plans de capacité et plannings
Lorsque des prévisions, des plans de capacité et des plannings sont générés, ils sont toujours chiffrés, tant au repos qu’en transit. Les données sont cryptées avec un AWS KMS key.
# Chiffrement au repos dans Amazon Connect
Les données de contact classées comme des informations personnelles, ou les données représentant le contenu client stocké par Amazon Connect, sont chiffrées au repos (c'est-à-dire avant d'être placées, stockées ou enregistrées sur un disque) à l'aide de clés de AWS KMS chiffrement détenues par AWS. Pour plus d'informations sur AWS KMS les clés, voir [Qu'est-ce que c'est AWS Key Management Service ?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) dans le *Guide AWS Key Management Service du développeur*. Les données de contact situées dans un stockage non temporaire sont chiffrées de telle sorte que les clés de chiffrement des données générées à partir des clés KMS ne soient pas partagées entre les instances Amazon Connect.
Le chiffrement côté serveur Amazon S3 est utilisé pour chiffrer les enregistrements de conversations (voix et chat). Les enregistrements d’appels et d’écrans, ainsi que les transcriptions, sont stockés en deux phases :
+ Enregistrements intermédiaires conservés dans Amazon Connect pendant et après le contact, mais avant la livraison.
+ Enregistrements livrés à votre compartiment Amazon S3.
Les enregistrements et les transcriptions de chat stockés dans votre compartiment Amazon S3 sont sécurisés à l’aide d’une clé KMS configurée lors de la création de votre instance.
Pour plus d’informations sur la gestion des clés dans Amazon Connect, consultez [Gestion des clés dans Amazon Connect](key-management.md).
**Topics**
+ [Amazon AppIntegrations](#encryption-at-rest-appintegrations)
+ [Cas Amazon Connect](#encryption-at-rest-cases)
+ [Profils des clients Amazon Connect](#encryption-at-rest-customer-profiles)
+ [Connectez les agents AI](#encryption-at-rest-wisdom)
+ [Chiffrement d’Amazon Connect Voice ID au repos](#encryption-at-rest-voiceid)
+ [Chiffrement au repos des campagnes sortantes](#encryption-at-rest-outboundcommunications)
+ [Prévisions, plans de capacité et plannings](#forecasts-encryption-at-rest-)
## Le chiffrement AppIntegrations des données Amazon est au repos
Lorsque vous créez une clé DataIntegration cryptée à l'aide d'une clé gérée par le client, Amazon AppIntegrations crée une subvention en votre nom en envoyant une `CreateGrant` demande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner à Amazon AppIntegrations l'accès à une clé KMS dans votre compte.
Vous pouvez révoquer l'accès à l'autorisation ou supprimer l'accès d'Amazon AppIntegrations à la clé gérée par le client à tout moment. Dans ce cas, Amazon ne AppIntegrations pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données.
Les données d'application externes traitées par Amazon AppIntegrations sont chiffrées au repos dans un compartiment S3 à l'aide de la clé gérée par le client que vous avez fournie lors de la configuration. Les données de configuration de l’intégration sont chiffrées au repos à l’aide d’une clé limitée dans le temps et spécifique au compte d’utilisateur.
Amazon a AppIntegrations besoin de l'autorisation pour utiliser la clé gérée par le client pour les opérations internes suivantes :
+ Envoyez `GenerateDataKeyRequest` AWS KMS à pour générer des clés de données chiffrées par la clé gérée par votre client.
+ Envoyez `Decrypt` des demandes AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.
## Chiffrement de la fonctionnalité Cas Amazon Connect au repos
Toutes les données fournies par le client dans les champs de dossier, les commentaires de cas, les descriptions des champs et les modèles stockés par Amazon Connect Cases sont chiffrées au repos à l'aide des clés de chiffrement stockées dans AWS Key Management Service (AWS KMS).
Le service Amazon Connect Cases possède, gère, surveille et fait pivoter les clés de chiffrement (c'est-à-dire Clés détenues par AWS) afin de répondre aux normes de sécurité élevées. La charge utile des flux d'événements du dossier est temporairement (généralement pendant quelques secondes) stockée sur Amazon EventBridge avant d'être mise à disposition via le bus par défaut dans le compte client. EventBridge chiffre également l'intégralité de la charge utile au repos à l'aide de. Clés détenues par AWS
## Chiffrement de la fonctionnalité Profils des clients Amazon Connect au repos
Toutes les données utilisateur stockées dans Profils des clients Amazon Connect sont chiffrées au repos. Le chiffrement au repos des profils clients Amazon Connect fournit une sécurité renforcée en chiffrant toutes vos données au repos à l'aide des clés de chiffrement stockées dans AWS Key Management Service (AWS KMS). Cette fonctionnalité réduit la lourdeur opérationnelle et la complexité induites par la protection des données sensibles. Le chiffrement au repos vous permet de créer des applications sensibles en matière de sécurité qui sont conformes aux exigences réglementaires et de chiffrement strictes.
Les politiques organisationnelles et les réglementations sectorielles ou gouvernementales, ainsi que les exigences de conformité, exigent souvent l’utilisation du chiffrement au repos pour augmenter la sécurité des données de vos applications. Profils clients intégrés AWS KMS pour activer sa stratégie de chiffrement au repos. Pour plus d’informations, consultez [Concepts d’AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) dans le Guide du développeur AWS Key Management Service .
Lorsque vous créez un nouveau domaine, vous devez fournir une [clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) que le service utilisera pour chiffrer vos données en transit et au repos. La clé gérée par le client est créée, détenue et gérée par vous-même. Vous avez le contrôle total de la clé gérée par le client (AWS KMS des frais s'appliquent).
Vous pouvez spécifier une clé de chiffrement lorsque vous créez un nouveau domaine ou type d’objet de profil, ou changer les clés de chiffrement sur une ressource existante à l’aide de l’interface de ligne de commande AWS (AWS CLI) ou de l’API de chiffrement de la fonctionnalité Profils des clients Amazon Connect. Lorsque vous choisissez une clé gérée par le client, la fonctionnalité Profils des clients Amazon Connect crée un octroi qui permet d’accéder à la clé gérée par le client.
AWS KMS des frais s'appliquent pour une clé gérée par le client. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS KMS](https://aws.amazon.com/kms/pricing/).
## Le chiffrement des agents Connect AI au repos
Toutes les données utilisateur stockées dans les agents Connect AI sont chiffrées au repos à l'aide des clés de chiffrement stockées dans AWS Key Management Service. Si vous fournissez éventuellement une clé gérée par le client, les agents Connect AI l'utilisent pour chiffrer le contenu des connaissances stocké au repos en dehors des index de recherche des agents Connect AI. Les agents Connect AI utilisent des index de recherche dédiés par client et ils sont chiffrés au repos à l'aide de la Clés détenues par AWS technologie stored in AWS Key Management Service. En outre, vous pouvez l'utiliser CloudTrail pour auditer tout accès aux données à l'aide des agents Connect AI APIs.
AWS KMS des frais s'appliquent lors de l'utilisation d'une clé que vous fournissez. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS KMS](https://aws.amazon.com/kms/pricing/).
## Chiffrement d’Amazon Connect Voice ID au repos
Amazon Connect Voice ID stocke les empreintes vocales des clients qui ne peuvent pas être rétroconçues pour obtenir le discours du client inscrit ou identifier un client. Toutes les données utilisateur stockées dans Amazon Connect Voice ID sont chiffrées au repos. Lorsque vous créez un nouveau domaine Voice ID, vous devez fournir une clé géré par le client que le service utilise pour chiffrer vos données au repos. La clé gérée par le client est créée, détenue et gérée par vous-même. Vous disposez d’un contrôle total sur la clé.
Vous pouvez mettre à jour la clé KMS dans le domaine Voice ID à l'aide de la `update-domain` commande de l'interface de ligne de AWS commande (AWS CLI) ou de l'API [UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html)Voice ID.
Lorsque vous modifiez la clé KMS, un processus asynchrone est déclenché pour rechiffrer les anciennes données avec la nouvelle clé KMS. À l’issue de ce processus, toutes les données de votre domaine sont chiffrées selon la nouvelle clé KMS, et vous pouvez retirer l’ancienne clé en toute sécurité. Pour de plus amples informations, veuillez consulter [UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html).
Voice ID crée un octroi qui lui accorde l’accès à la clé gérée par le client. Pour plus d’informations, consultez [Comment Amazon Connect Voice ID utilise les subventions dans AWS KMS](#voiceid-uses-grants).
Voici une liste des données chiffrées au repos à l’aide de la clé gérée par le client :
+ **Empreintes vocales** : empreintes vocales générées lors de l’inscription des locuteurs et de l’enregistrement des fraudeurs dans le système.
+ **Audio des locuteurs et des fraudeurs** : données audio utilisées pour inscrire les locuteurs et enregistrer les fraudeurs.
+ **CustomerSpeakerId**: fourni par le client SpeakerId lors de son inscription à Voice ID.
+ **Métadonnées fournies par le client** : elles incluent des chaînes au format libre telles que `Domain` `Description`, `Domain Name`, `Job Name`, etc..
AWS KMS des frais s'appliquent pour une clé gérée par le client. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS KMS](https://aws.amazon.com/kms/pricing/).
### Comment Amazon Connect Voice ID utilise les subventions dans AWS KMS
Amazon Connect Voice ID nécessite un octroi pour utiliser la clé gérée par le client. Lorsque vous créez un domaine, Voice ID crée une subvention en votre nom en envoyant une [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)demande de consultation à AWS KMS. L’octroi est requis pour utiliser la clé gérée par le client pour les opérations internes suivantes :
+ Envoyez [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)des demandes AWS KMS à pour vérifier que l'ID de clé symétrique géré par le client fourni est valide.
+ Envoyez [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)des demandes à KMS Key pour créer des clés de données avec lesquelles chiffrer des objets.
+ Envoyez des demandes de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.
+ Envoyez [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)des demandes au AWS KMS moment de la mise à jour de la clé pour rechiffrer un ensemble limité de données à l'aide de la nouvelle clé.
+ Stockez les fichiers dans S3 à l'aide de la AWS KMS clé pour chiffrer les données.
Vous pouvez révoquer l’accès à l’octroi ou supprimer l’accès du service à la clé gérée par le client à tout moment. Dans ce cas, Voice ID ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affecte toutes les opérations qui dépendent de ces données et entraîne des erreurs et des échecs `AccessDeniedException` dans les flux de travail asynchrones.
### Stratégie de clé gérée par le client pour Voice ID
Les stratégies de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d’informations, consultez [Gestion de l’accès aux clés KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) dans le *Guide du développeur AWS Key Management Service *.
Voici un exemple de politique clé qui donne à un utilisateur les autorisations dont il a besoin pour appeler tous les identifiants vocaux à APIs l'aide de la clé gérée par le client :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect VoiceID.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"voiceid.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
Pour plus d'informations sur la spécification des autorisations dans une politique, consultez la section [Spécification des clés KMS dans les déclarations de politique IAM](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html) du guide du AWS Key Management Service développeur.
Pour plus d'informations sur la résolution des problèmes d'accès par clé, consultez la section [Résolution des problèmes d'accès par clé](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) dans le Guide du AWS Key Management Service développeur.
### Contexte de chiffrement de Voice ID
Un [contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) est un ensemble facultatif de paires clé-valeur contenant des informations contextuelles supplémentaires sur les données. AWS KMS utilise le contexte de chiffrement comme [données authentifiées supplémentaires](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html) pour prendre en charge le chiffrement [authentifié.](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)
Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande.
Voice ID utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques, où la clé est la ressource Amazon Resource Name (ARN) Amazon Resource Name (ARN) [Amazon Resource Name (ARN) `aws:voiceid:domain:arn`](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) et la valeur.
```
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
```
Vous pouvez également utiliser le contexte de chiffrement dans les enregistrements d’audit et les journaux pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par Amazon Logs CloudTrail ou Amazon CloudWatch Logs.
#### Contrôle de l’accès à votre clé gérée par le client à l’aide du contexte de chiffrement
Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l’accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi.
Amazon Connect Voice ID utilise une contrainte de contexte de chiffrement dans les octrois pour contrôler l’accès à la clé gérée par le client dans votre compte ou région. La contrainte d’octroi exige que les opérations autorisées par l’octroi utilisent le contexte de chiffrement spécifié.
Vous trouverez ci-dessous des exemples d’instructions de stratégie de clé permettant d’accorder l’accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette déclaration de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId""
}
}
}
```
### Surveillance de vos clés de chiffrement pour Voice ID
Lorsque vous utilisez une clé gérée par le AWS KMS client avec Voice ID, vous pouvez utiliser [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) pour suivre les demandes auxquelles Voice ID envoie AWS KMS.
Les exemples suivants sont un exemple d' AWS CloudTrail événement pour une `CreateGrant` opération appelée par Voice ID pour accéder à des données chiffrées par votre clé gérée par le client :
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA5STZEFPSZEOW7NP3X:SampleUser1",
"arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
"accountId": "111122223333",
"accessKeyId": "AAAAAAA1111111EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA5STZEFPSZEOW7NP3X",
"arn": "arn:aws:iam::111122223333:role/SampleRole",
"accountId": "111122223333",
"userName": "SampleUser"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-09-14T23:02:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-09-14T23:02:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "SampleIpAddress",
"userAgent": "Example Desktop/1.0 (V1; OS)",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
},
"retiringPrincipal": "voiceid.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"operations": [
"CreateGrant",
"Decrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyPair",
"GenerateDataKeyPairWithoutPlaintext",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
],
"granteePrincipal": "voiceid.amazonaws.com "
},
"responseElements": {
"grantId": "00000000000000000000000000000cce47be074a8c379ed39f22b155c6e86af82"
},
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T15:12:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "alias/sample-key-alias"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-12T23:59:34Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKeyWithoutPlaintext ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:26:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ ReEncrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"destinationEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationKeyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceAAD": "SampleSourceAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"destinationAAD": "SampleDestinationAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"sourceEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceKeyId": "arn:aws:kms:us-west-2:111122223333:key/55555555-3333-2222-1111-EXAMPLE22222"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-7777777777777"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
## Chiffrement au repos des campagnes sortantes
Les campagnes sortantes stockent les numéros de téléphone des clients et les attributs pertinents. Ces informations sont toujours chiffrées au repos à l’aide d’une clé gérée par le client ou d’une clé détenue par AWS . Les données sont séparées par l'ID de l' Amazon Connect instance et sont chiffrées par des clés spécifiques à l'instance.
Vous pouvez fournir votre propre clé gérée par le client lors de l’intégration à des campagnes sortantes.
Le service utilise votre clé gérée par le client pour chiffrer les données sensibles au repos. Cette clé est créée, détenue et gérée par vous-même. Vous pouvez ainsi contrôler totalement son utilisation et sa sécurité.
Si vous ne fournissez pas votre propre clé gérée par le client, les campagnes sortantes cryptent les données sensibles au repos à l'aide d'une AWS clé propre à votre Amazon Connect instance. Vous ne pouvez pas afficher, gérer, utiliser ou auditer les clés AWS détenues. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d’informations, consultez [Clés détenues par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dans le *Guide du développeur AWS Key Management Service *.
AWS KMS des frais s'appliquent pour une clé gérée par le client. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS KMS](https://aws.amazon.com/kms/pricing/).
### Comment les campagnes sortantes utilisent les subventions dans AWS KMS
Les campagnes sortantes nécessitent une autorisation pour utiliser votre clé gérée par le client. Lorsque vous participez à des campagnes sortantes à l'aide de la AWS console ou de l'`StartInstanceOnboardingJob`API, Outbound Campaigns crée une subvention en votre nom en envoyant une `CreateGrant` demande à. AWS KMS Les subventions AWS KMS sont utilisées pour donner au rôle Amazon Connect lié au service des campagnes sortantes l'accès à une clé KMS dans votre compte.
Les campagnes sortantes requièrent l’octroi pour utiliser la clé gérée par le client pour les opérations internes suivantes :
+ Envoyez [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)des demandes AWS KMS à pour vérifier que l'ID de clé symétrique géré par le client fourni est valide.
+ Envoyer une demande `GenerateDataKeyWithoutPlainText` à AWS KMS pour générer des clés de données chiffrées par la clé gérée par votre client.
+ Envoyez `Decrypt` des demandes AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.
Vous pouvez révoquer l’accès à l’octroi ou supprimer l’accès des campagnes sortantes à la clé gérée par le client à tout moment. Dans ce cas, les campagnes sortantes ne peuvent accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affecte les opérations qui dépendent de ces données.
### Stratégie de clé gérée par le client pour les campagnes sortantes
Les stratégies de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d’informations, consultez [Gestion de l’accès aux clés KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) dans le *Guide du développeur AWS Key Management Service *.
Voici un exemple de politique clé qui donne à un utilisateur les autorisations dont il a besoin pour lancer des campagnes sortantes [StartInstanceOnboardingJob](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_StartInstanceOnboardingJob.html), [PutDialRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutDialRequestBatch.html)ainsi qu'une [PutOutboundRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutOutboundRequestBatch.html)API utilisant la clé gérée par le client :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect outbound campaigns.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "connect-campaigns.us-east-1.amazonaws.com",
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "InstanceID"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*"
],
"Resource": "*"
}
]
}
```
------
Pour plus d'informations sur la spécification des autorisations dans une politique, consultez la section [Spécification des clés KMS dans les déclarations de politique IAM](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html) du guide du AWS Key Management Service développeur.
Pour plus d'informations sur la résolution des problèmes d'accès par clé, consultez la section [Résolution des problèmes d'accès par clé](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) dans le Guide du AWS Key Management Service développeur.
### Contexte de chiffrement des campagnes sortantes
Un [contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) est un ensemble facultatif de paires clé-valeur contenant des informations contextuelles supplémentaires sur les données. AWS KMS utilise le contexte de chiffrement comme [données authentifiées supplémentaires](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html) pour prendre en charge le chiffrement [authentifié.](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)
Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande.
Les campagnes sortantes utilisent le même contexte de chiffrement dans toutes les opérations cryptographiques AWS KMS , où les clés sont aws:accountId et aws:connect:instanceId et la valeur est l’identifiant du compte AWS et l’identifiant de l’instance Connect.
```
"encryptionContext": {
"aws:accountId": "111122223333",
"aws:connect:instanceId": "sample instance id"
}
```
Vous pouvez également utiliser le contexte de chiffrement dans les enregistrements d’audit et les journaux pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par Amazon Logs CloudTrail ou Amazon CloudWatch Logs.
#### Utilisation du contexte de chiffrement pour contrôler l’accès à votre clé gérée par le client
Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l’accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi.
Les campagnes sortantes contrôlent l’accès à la clé gérée par le client dans votre compte ou région à l’aide d’une contrainte de contexte de chiffrement dans les octrois. La contrainte d’octroi exige que les opérations autorisées par l’octroi utilisent le contexte de chiffrement spécifié.
Vous trouverez ci-dessous des exemples d’instructions de stratégie de clé permettant d’accorder l’accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette instruction de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
}
}
}
```
### Surveillance de vos clés de chiffrement pour les campagnes sortantes
Lorsque vous utilisez une clé gérée par le AWS KMS client avec les ressources de vos campagnes sortantes, vous pouvez utiliser [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) pour suivre les demandes envoyées AWS KMS par Amazon Location.
Les exemples suivants sont AWS CloudTrail des événements pour CreateGrant, GenerateDataKeyWithoutPlainText DescribeKey, et Decrypt destinés à surveiller les opérations KMS appelées par Amazon Location afin d'accéder aux données chiffrées par votre clé gérée par le client :
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
}
},
"granteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"retiringPrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"Encrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:586277393662:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"grantTokens": [
"EL7BPAGG-KDm8661M1pl55WcQD_9ZgFwYXN-SAMPLE"
]
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T19:09:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
## Prévisions, plans de capacité et plannings
Lorsque vous créez des prévisions, des plans de capacité et des plannings, toutes les données sont chiffrées au repos à l'aide des clés de Clé détenue par AWS chiffrement stockées dans AWS Key Management Service.
# Chiffrement en transit dans Amazon Connect
Toutes les données échangées avec Amazon Connect sont protégées en transit entre le navigateur Web de l’utilisateur et Amazon Connect en utilisant le chiffrement TLS standard de l’industrie. [Quelle version de TLS ?](infrastructure-security.md#supported-version-tls)
Les données externes sont également chiffrées lors de leur traitement par AWS KMS.
Lorsqu'Amazon Connect s'intègre à AWS des services tels qu' AWS Lambda Amazon Kinesis ou Amazon Polly, les données sont toujours chiffrées en transit à l'aide du protocole TLS.
Lorsque des données d’événement sont transférées depuis des applications externes vers Amazon Connect, elles sont toujours chiffrées en transit à l’aide de TLS.
# Gestion des clés dans Amazon Connect
Vous pouvez spécifier AWS KMS des clés, notamment apporter vos propres clés (BYOK), à utiliser pour le chiffrement des enveloppes avec les input/output buckets Amazon S3.
Lorsque vous associez la AWS KMS clé à l'emplacement de stockage S3 dans Amazon Connect, les autorisations de l'appelant de l'API (ou les autorisations de l'utilisateur de la console) sont utilisées pour créer une concession sur la clé avec le rôle de service d'instance Amazon Connect correspondant en tant que bénéficiaire principal. Pour le rôle lié au service spécifique à cette instance Amazon Connect, l’octroi permet au rôle d’utiliser la clé pour le chiffrement et le déchiffrement. Par exemple :
+ Si vous appelez l'[DisassociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_DisassociateInstanceStorageConfig.html)API pour dissocier la AWS KMS clé de l'emplacement de stockage S3 dans Amazon Connect, l'autorisation est supprimée de la clé.
+ Si vous appelez l'[AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html)API pour associer la AWS KMS clé à l'emplacement de stockage S3 dans Amazon Connect mais que vous n'en avez pas l'`kms:CreateGrant`autorisation, l'association échouera.
Utilisez la commande CLI [https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html](https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html) pour répertorier toutes les autorisations pour la clé gérée par le client spécifiée.
Pour plus d'informations sur AWS KMS les clés, voir [Qu'est-ce que c'est AWS Key Management Service ?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) dans le *Guide du développeur du service de gestion des AWS clés*.
## Connectez les agents AI
Les agents Connect AI stockent les documents de connaissances chiffrés au repos dans S3 à l'aide d'un BYOK ou d'une clé appartenant au service. Les documents de connaissances sont chiffrés au repos dans Amazon OpenSearch Service à l'aide d'une clé appartenant au service. Les agents Connect AI stockent les requêtes des agents et les transcriptions d'appels à l'aide d'un BYOK ou d'une clé appartenant au service.
Les documents de connaissances utilisés par les agents Connect AI sont chiffrés par une AWS KMS clé.
## Amazon AppIntegrations
Amazon AppIntegrations ne prend pas en charge le BYOK pour le chiffrement des données de configuration. Lorsque vous synchronisez des données d’application externe, vous devez utiliser régulièrement la fonctionnalité BYOK. Amazon a AppIntegrations besoin d'une autorisation pour utiliser votre clé gérée par le client. Lorsque vous créez une intégration de données, Amazon AppIntegrations envoie une `CreateGrant` demande à AWS KMS en votre nom. Vous pouvez révoquer l’accès à l’octroi ou supprimer l’accès du service à la clé gérée par le client à tout moment. Dans ce cas, Amazon AppIntegrations ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les services Amazon Connect qui dépendent de ces données.
## Profils des clients
Pour les profils clients, vous pouvez spécifier AWS KMS les clés à utiliser pour chiffrer vos données. Si vous ne spécifiez pas de clé gérée par le client, Amazon Connect Customer Profiles fournit un chiffrement par défaut pour vos données au repos à l'aide d'une clé de chiffrement AWS détenue par le client.
Avant d'activer le magasin de données pour un domaine nouveau ou existant, vous devez configurer un AWS KMS key.
Vous pouvez également définir des clés KMS individuelles pour vos types d'objets. Lorsque nous chiffrons les données des clients, nous utilisons la clé KMS du type d'objet, le cas échéant. Dans le cas contraire, nous utilisons la clé KMS du domaine.
Une fois que vous avez activé Data Vault, vous ne pouvez pas mettre à jour les clés KMS pour votre domaine ou vos types d'objets. Bien que vous puissiez créer de nouveaux types d'objets avec de nouvelles clés, vous ne pouvez pas modifier les paramètres clés existants.
## Voice ID
Pour utiliser Amazon Connect Voice ID, il est obligatoire de fournir une clé KMS gérée par le client (BYOK) lors de la création d’un domaine Amazon Connect Voice ID, qui est utilisé pour chiffrer toutes les données client au repos.
## Campagnes sortantes
Les campagnes sortantes cryptent toutes les données sensibles à l'aide d'une clé gérée par le client Clé détenue par AWS ou d'une clé gérée par le client. Comme la clé gérée par le client est créée, détenue et gérée par vous, vous avez un contrôle total sur la clé gérée par le client (des AWS KMS frais s'appliquent).
# Amazon Connect et points de terminaison d’un VPC d’interface (AWS PrivateLink)
Vous pouvez établir une connexion privée entre votre VPC et un sous-ensemble de points de terminaison dans Amazon Connect en créant un point de terminaison de VPC d’interface. Les points de terminaison pris en charge sont les suivants :
+ Amazon AppIntegrations
+ Profils des clients
+ Campagnes sortantes
+ Voice ID
+ Connectez les agents AI
+ Service Amazon Connect
Les points de terminaison de l'interface sont alimentés par [AWS PrivateLink](https://aws.amazon.com/privatelink)une technologie qui vous permet d'accéder en privé à Amazon Connect APIs sans passerelle Internet, appareil NAT, connexion VPN ou Direct Connect connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec l'Amazon Connect APIs qui s'intègre à. AWS PrivateLink
Pour plus d’informations, consultez le [Guide de l’utilisateur AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/).
## Création d’un point de terminaison de VPC d’interface pour Amazon Connect
Vous pouvez créer un point de terminaison d’interface à l’aide de la console Amazon VPC ou de l’ AWS Command Line Interface (AWS CLI). Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) dans le *Guide AWS PrivateLink *.
Amazon Connect prend en charge les noms de service suivants :
+ com.amazonaws. *region*intégrations .app
+ com.amazonaws. *region*.étuis
+ com.amazonaws. *region*.profil
+ com.amazonaws. *region*campagnes .connect
+ com.amazonaws. *region*.voiceid
+ com.amazonaws. *region*.wisdom (C'est pour les agents Connect AI.)
+ com.amazonaws. *region*.connecter
+ com.amazonaws. *region*.connect-fips (Ceci est destiné à créer un point de terminaison pour Amazon Connect Service conforme à la norme fédérale de traitement de l'information (FIPS).)
Si vous activez le DNS privé pour le point de terminaison d’interface, vous pouvez adresser des demandes d’API à Amazon Connect en utilisant le nom DNS par défaut pour la région. Par exemple, voiceid.us-east-1.amazonaws.com. Pour plus d’informations, consultez [Noms d’hôte DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#interface-endpoint-dns-hostnames) dans le *Guide AWS PrivateLink *.
## Création d’une stratégie de point de terminaison de VPC
Vous pouvez attacher une politique de point de terminaison à votre point de terminaison de VPC qui contrôle l’accès. La politique spécifie les informations suivantes :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, consultez [Contrôle de l’accès aux services à l’aide de politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *Guide AWS PrivateLink *.
### Exemple : politique de point de terminaison d’un VPC
La politique de point de terminaison d’un VPC suivante accorde l’accès aux actions Amazon Connect Voice ID répertoriées pour tous les principaux sur toutes les ressources.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"voiceid:CreateDomain",
"voiceid:EvaluateSession",
"voiceid:ListSpeakers"
],
"Resource":"*",
"Principal":"*"
}
]
}
```
Voici un autre exemple. Ici, la politique de point de terminaison d’un VPC accorde l’accès aux actions des campagnes sortantes répertoriées pour tous les principaux sur toutes les ressources.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"connect-campaigns:CreateCampaign",
"connect-campaigns:DeleteCampaign",
"connect-campaigns:ListCampaigns"
],
"Resource":"*",
"Principal":"*"
}
]
}
```
# Amazon Connect Service Improvement et comment refuser d'utiliser vos données pour améliorer le service
Lorsque vous activez Amazon Connect, nous pouvons utiliser votre contenu traité par Amazon Connect pour développer et améliorer votre expérience.
Avantages liés à l'autorisation d'AWS d'utiliser votre contenu pour améliorer le service :
En rendant votre contenu disponible pour améliorer Amazon Connect, vous nous aidez à innover plus rapidement, à personnaliser les fonctionnalités en fonction de vos besoins et à fournir un meilleur support. Plus précisément, cela nous permet d'améliorer le service pour :
+ Offrez des fonctionnalités plus intelligentes plus rapidement : améliorez Connect en fonction de vos habitudes d'utilisation réelles et de vos exigences spécifiques
+ Prévenez les problèmes de manière proactive : identifiez et résolvez les problèmes avant qu'ils n'affectent votre expérience et vos résultats commerciaux
+ Résolvez les problèmes plus rapidement : diagnostiquez et corrigez les problèmes qui surviennent plus rapidement
Tout cela permet à Amazon Connect de collaborer avec vous pour améliorer en permanence les performances de votre entreprise.
Lorsque les fonctionnalités Amazon Connect suivantes sont activées, nous pouvons utiliser votre contenu pour développer et améliorer votre expérience. Ces désabonnements au niveau des fonctionnalités seront interrompus le 31 mars 2026 :
+ **Amazon Connect Contact Lens**
+ **Amazon Connect Customer Profiles**
+ **Prévisions, planification des capacités et planification Amazon Connect**
+ **Campagnes sortantes**
+ **Connectez les agents AI**
Seuls les employés d’Amazon auront accès à ces données. Votre confiance, votre confidentialité et la sécurité de votre contenu sont nos priorités absolues et garantissent que notre utilisation est conforme à nos engagements envers vous. Pour plus d’informations, consultez [FAQ sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/).
Vous pouvez toujours choisir de refuser que vos données soient utilisées pour développer et améliorer Amazon Connect en appliquant une politique de AWS Organizations désinscription. Pour obtenir des informations sur la procédure de refus, consultez [Politiques de désactivation des services IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) dans le *Guide de l’utilisateur AWS Organizations *.
Pour vérifier le statut de votre désinscription, veuillez consulter la politique de désinscription configurée par votre organisation. [Cliquez ici](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html#ai-opt-out-policy-syntax-reference) pour en savoir plus sur la syntaxe et les exemples de politique de désinscription.
**Note**
Pour que vous puissiez utiliser la politique de désinscription, vos AWS comptes doivent être gérés de manière centralisée par AWS Organizations. Si vous n'avez pas encore créé d'organisation pour vos AWS comptes, consultez la section [Création et gestion d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org) dans le *Guide de AWS Organizations l'utilisateur*.
Conséquence de la désactivation :
+ Aucune utilisation de vos données à des AWS fins d'amélioration du service.