翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Connect におけるデータ保護
AWS [共有責任モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon Connect でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Amazon Connect AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
**Topics**
+ [Amazon Connect で処理されるデータ](data-handled-by-connect.md)
+ [Amazon Connect での保管時の暗号化](encryption-at-rest.md)
+ [Amazon Connect での転送時の暗号化](encryption-in-transit.md)
+ [Amazon Connect でのキー管理](key-management.md)
+ [VPC エンドポイント (AWS PrivateLink)](vpc-interface-endpoints.md)
+ [サービス改善とサービス改善のためのデータの使用をオプトアウトする方法](data-opt-out.md)
# Amazon Connect で処理されるデータ
Amazon Connect 内に保持されているデータは、 AWS アカウント ID と Amazon Connect インスタンス ID によって分離されます。これにより、特定の Amazon Connect インスタンスの許可されたユーザーだけが、データにアクセスできるようにしています。
Amazon Connect は、コンタクトセンターに関連するさまざまなデータを処理します。これらのデータには、以下のカテゴリが含まれますが、これに限定されません。
+ **リソースと設定** – これには、キュー、フロー、ユーザー、ルーティングプロファイル、タスクテンプレートが含まれます。
+ **問い合わせメタデータ** – これには、接続時間、処理時間、ソース番号 (ANI)、送信先番号 (DNIS)、ユーザー定義の問い合わせ属性が含まれます。
+ **エージェント関連のパフォーマンスデータ** – これには、ログイン時間、ステータスの変更、対応した問い合わせが含まれます。
+ **通話オーディオストリーム** – 有効にすると、通話録音も含まれます。
+ **チャット記録** -- フローで有効な場合にのみ含まれます。
+ **画面録画** — フローで有効な場合にのみ含まれます。
+ **添付ファイル** — インスタンスレベルで有効になっている場合にのみ含まれます。
+ **統合の設定** -- 外部アプリケーションとの統合を作成する際の、ユーザー定義の名前、説明、メタデータが含まれます。
+ **ナレッジドキュメント** -- エージェントが問い合わせを処理するために使用するドキュメントが含まれます。
+ **ボイスプリント** - Amazon Connect の音声 ID が有効になっている場合、顧客の音声から音声プリントが作成され将来の認証時に使用されます。同様に、ボイスプリントは、将来の不正検出のために Voice ID システムに不正な通話を登録する際に作成されます。
+ **スピーカと不正通話の音声** – Amazon Connect Voice ID を有効化すると、スピーカの登録や不正通話の記録のために音声が保存されます。Voice ID は、将来再び登録や記録が必要になった際にも利用できます。
+ **予測、容量計画、スケジュール** — 有効化され、作成されている場合にのみ含まれます。
Amazon Connect は、顧客に関連する以下の個人を特定できる情報 (PII) データを保存します。
+ 顧客の電話番号: インバウンドコールの場合は ANI、アウトバウンドコールまたは転送の場合は DNIS。
+ Amazon Connect Customer Profiles を使用している場合、このデータはすべて PII である可能性があります。このデータは、保存時には常に、カスタマーマネージドキーまたは AWS 所有のキー のいずれかを使用して暗号化されます。Amazon Connect Customer Profiles のデータは、 AWS アカウント ID とドメインにより分離されます。複数の Amazon Connect インスタンスで、1 つの Customer Profiles ドメインを共有することができます。
+ アウトバウンドキャンペーンでは、Amazon Pinpoint から Amazon Connect に顧客の電話番号と関連属性が渡されます。Amazon Connect 側では、カスタマー管理キーまたは AWS 所有のキーのいずれかを使用して、これらを必ず保管中に暗号化します。アウトバウンドキャンペーンデータは、Amazon Connect インスタンス ID 別に分離され、インスタンス固有のキーで暗号化されます。
## 外部アプリケーションデータ
Amazon AppIntegrations を使用すると、外部アプリケーションとの統合が可能になります。他の AWS リソースへの参照とクライアントサービスで指定されたメタデータが保存されます。処理中の偶発的なケースを除き、データ自体は保存されません。Amazon Connect サービスと定期的に同期するデータは、カスタマー管理キーを使用して暗号化された上で 1 か月間だけ保存されます。
## コールメディア
Amazon Connect は、サービスによって処理される通話への音声パスに置かれます。したがって、参加者間でコールのメディアストリームを中継する責任があります。これには、顧客とフロー/IVR の間の音声、顧客とエージェント間の音声、会議または転送中の複数の当事者間の音声のミキシングが含まれます。コールには次の 2 つのタイプがあります。
+ PSTN コール。問い合わせコントロールパネル (CCP) でこのオプションが有効になっている場合は、インバウンド顧客コール、エージェントから顧客へのアウトバウンドコール、およびエージェントの物理的な電話へのコールが含まれます。
+ エージェントのブラウザに発信されたソフトフォンコール。
PSTN による着信は、Amazon Connect とプロバイダー間で維持されるプライベート回線、または既存の AWS インターネット接続を使用して、Amazon Connect とさまざまな通信事業者の間に接続されます。パブリックインターネット経由でルーティングされる PSTN コールの場合、シグナリングは TLS で暗号化され、音声メディアは SRTP で暗号化されます。
ソフトフォンのコールは、TLS を使用して暗号化された WebSocket 接続を使用して、エージェントのブラウザに確立されます。ブラウザへの音声メディアトラフィックは、DTLS-SRTP を使用して転送中に暗号化されます。
## 通話録音と画面録音
インスタンスレベルでは、Amazon S3 バケットが作成されると、デフォルトで通話録音機能と画面録画機能を使用できます。どの問い合わせを記録するかは、フローで指定して決定します。これにより、どの問い合わせを記録するかについてより詳細に制御できます。
通話録音では以下の動作に注意してください。
+ 通話録音機能には、IVR インタラクション中に顧客とシステムのオーディオを録音するか、エージェントの対話中に顧客、エージェント、またはその両方の任意の組み合わせを録音するかを選択するためのオプションがあります。
+ コンタクトごとに合計 2 つの録音が可能です。1 つは自動インタラクション (IVR) の録音、もう 1 つはエージェントの対話の録音です。自動インタラクションの録音を有効または無効にすると、変更はすぐに有効になります。逆に、エージェントの対話の録音に対する変更は、エージェントが通話に参加した後にのみ有効になります。
+ エージェントが通話中ではない場合、エージェントのオーディオは Amazon Connect に送信されません。2023 年 11 月 9 日、Amazon Connect は、エージェントの生産性向上に役立つ最適化をデプロイしました。この最適化では、コンタクトが入る前にエージェントのブラウザのマイクメディアストリームを事前に設定します。これにより、着信と発信の両方の通話で設定時間が短縮されます。そのため、エージェントが通話中ではない場合も、エージェントのブラウザのマイクアイコンがオンになっているように見えます。
+ エージェントの対話中に顧客が保留中の場合も、エージェントは録音されます。
+ エージェント間で転送される会話が録音されます。
+ フローまたは IVR インタラクション中に通話が転送されると ([電話番号への転送] ブロックを使用するなど)、録音は、外部の音声システムに転送された後でも、顧客の発言や聞こえた内容をキャプチャし続けます。
+ エージェントが通話を離れると、エージェントイタラクション中の外部番号への転送は録音されません。
+ 隣に座っている人と相談するなどのために、参加者が自分のマイクをミュートした場合、サイドバーの会話は録音されません。
画面録画では、問い合わせの画面録画が有効になっている場合にのみ、エージェントの画面が記録されます。画面録画は、エージェントが問い合わせを受け入れたときに開始し、エージェントが問い合わせ作業を完了したときに終了します。画面録画は、音声、チャット、およびタスクチャネルをサポートしています。
**重要**
ビデオ通話または画面共有セッション中、エージェントは顧客が保留中であっても、顧客のビデオまたは画面共有を表示できます。それに応じて PII に対処するのは顧客の責任です。この動作を変更する場合は、カスタム CCP とコミュニケーションウィジェットを構築します。詳細については、「[アプリ内通話、ウェブ通話、ビデオ通話、および画面共有をアプリケーションにネイティブに統合する](config-com-widget2.md)」を参照してください。
ユーザーのアクセス許可に基づいて、通話録音および画面録画へのアクセスを制限できます。録画は、 Amazon Connect 管理者ウェブサイト内で検索して再生できます。
### 通話録音と画面録画の保存
通話録音および画面録画は、次の 2 つのフェーズで保存されます。
+ 問い合わせ中および問い合わせ後 (配信される前) に Amazon Connect 内で中間的に保持された記録。
+ Amazon S3 バケットに配信された通話の記録。
Amazon S3 バケットに保存された記録は、インスタンスの作成時に設定されている KMS キーを使用して保護されます。
ユーザーは、Amazon S3 バケットに配信される通話記録のセキュリティに関し、完全に制御する権限を常に保持します。
### 通話録音と画面録画へのアクセス
Amazon Connect 内にある通話録音または画面録画は、検索して視聴したり、再生することができます。これを実行できるユーザーを判断するには、適切なアクセス許可をセキュリティプロファイルで割り当てます。 AWS CloudTrail を有効にすると、Amazon Connect ユーザーによる特定の録画へのアクセスが CloudTrail にキャプチャされます。
Amazon S3 と IAM の機能により AWS KMS、通話記録データにアクセスできるユーザーを完全に制御できます。
## 問い合わせメタデータ
Amazon Connect は、システムを通過する問い合わせに関連するメタデータを保存し、認証されたユーザーに対してこの情報へのアクセスを許可します。問い合わせの検索機能を使用すると、発信者番号や、フローによって設定されたその他の属性など、診断やレポート作成の目的で関連付けられている問い合わせデータを検索および表示できます。
PII に分類され、Amazon Connect が保存している問い合わせデータに対しては、期間限定で Amazon Connect インスタンスに固有のキーを使用しながら、保管時の暗号化が行われます。具体的には、顧客発信電話番号は、問い合わせの検索で使用できるように、インスタンスに固有のキーで暗号的にハッシュ化されます。問い合わせ検索の場合、暗号化キーは時間に依存しません。
Amazon Connect によって保存される次のデータは、機密扱いとなります。
+ 発信元の電話番号
+ アウトバウンド電話番号
+ エージェントが転送のためにダイヤルする外部番号
+ フローによって転送される外部番号
+ 問い合わせ名
+ 問い合わせの説明
+ すべての問い合わせ属性
+ すべての問い合わせ参照
## Contact Lens リアルタイム処理
Contact Lens によってリアルタイムで処理されるコンテンツは、保管時と転送時の両方で暗号化されます。データは、Contact Lens 所有のキーで暗号化されます。
Contact Lens は、Amazon Connect 側のデータ (トランスクリプト、カテゴリ名など) を短期間保持します。これは、API が問い合わせが終了してから最大 24 時間データを継続的に提供できるようにするためです。
## ボイスプリントとボイス ID の音声レコーディング
Amazon Connect Voice ID を有効にすると、顧客の音声から音声プリントが計算され、そのデータは将来の認証に使用するため保存されます。同様に、不正検出を有効にした場合は、Voice ID に記録されている不正通話の各ボイスプリントが保存されます。
認証および不正検出のために顧客を Voice ID に登録する際には、それらの顧客について `CustomerSpeakerId` を指定する必要があります。Voice ID は各通話者の生体認証情報を保存するため、識別子の `CustomerSpeakerId` フィールドには PII を含まないようにすることを強くお勧めします。
## 通話者と不正通話の音声
Amazon Connect Voice ID を有効にすると、通話者を登録したり不正通話を記録したりする際に、音声 (発話と呼ばれます) の圧縮バージョンが収集され保存されます。この音声は、将来、通話者や不正通話のボイスプリントを再生成する必要が生じた際に使用されます。そのデータは、対象の通話者/不正通話が削除されるまで保持されます。登録または評価に使用された元の音声は、24 時間の保存期間が経過すると削除されます。
そのデータは、対象の通話者/不正通話が削除またはオプトアウトされるまで保持されます。
## アウトバウンドキャンペーン
アウトバウンドキャンペーンでは、Amazon Pinpoint から Amazon Connect に顧客の電話番号と関連属性が渡されます。Amazon Connect では、これらのデータはカスタマーマネージドキーまたは AWS 所有のキーのいずれかを使用して常に保管時の暗号化が行われます。アウトバウンドキャンペーンデータは、Amazon Connect インスタンス ID 別に分離され、インスタンス固有のキーで暗号化されます。
## タスクテンプレート
Amazon Connect でのタスクテンプレートリソースの処理は、保管中および転送中に暗号化されます。データは で暗号化されます AWS KMS key。
## 予測、容量計画、スケジュール
予測、容量計画、スケジュールが生成されると、保存中も転送中も常に暗号化されます。データは で暗号化されます AWS KMS key。
# Amazon Connect での保管時の暗号化
PII として分類された問い合わせデータ、または Amazon Connect によって保存されているお客様のコンテンツを表すデータは、 が所有する暗号化キーを使用して保管時 (つまり、ディスクに格納、保存、保存される前) に AWS KMS 暗号化されます AWS。 AWS KMS キーの詳細については、[「 とは」を参照してください AWS Key Management Service。](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) *AWS Key Management Service 「 デベロッパーガイド*」の「� 非一時ストレージの問い合わせデータは暗号化されるため、KMS キーから生成されたデータ暗号化キーは Amazon Connect インスタンス間で共有されません。
Amazon S3 のサーバー側の暗号化は、会話の録音 (音声とチャット) の暗号化に使用されます。通話録音、画面録画、トランスクリプトは次の 2 つのフェーズで保存されます。
+ 問い合わせ中および問い合わせ後 (配信される前) に Amazon Connect 内で中間的に保持された記録。
+ Amazon S3 バケットに配信された通話の記録。
Amazon S3 バケットに保存された記録およびチャットのトランスクリプトは、インスタンスの作成時に設定されている KMS キーを使用して保護されます。
Amazon Connect のキー管理の詳細については、「[Amazon Connect でのキー管理](key-management.md)」を参照してください。
**Topics**
+ [Amazon AppIntegrations](#encryption-at-rest-appintegrations)
+ [Amazon Connect Cases](#encryption-at-rest-cases)
+ [Amazon Connect Customer Profiles](#encryption-at-rest-customer-profiles)
+ [AI エージェントを接続する](#encryption-at-rest-wisdom)
+ [Amazon Connect Voice ID での保管時の暗号化](#encryption-at-rest-voiceid)
+ [アウトバウンドキャンペーンの保管データ暗号化](#encryption-at-rest-outboundcommunications)
+ [予測、容量計画、スケジュール](#forecasts-encryption-at-rest-)
## Amazon AppIntegrations の保存中のデータ暗号化
カスタマーマネージドキーで暗号化された DataIntegration を作成すると、Amazon AppIntegrations は`CreateGrant`リクエストを送信してユーザーに代わって許可を作成します AWS KMS。の許可 AWS KMS は、Amazon AppIntegrations にアカウントの KMS キーへのアクセスを許可するために使用されます。
ユーザーは任意のタイミングで、この許可へのアクセス権を取り消したり、Amazon AppIntegrations がカスタマー管理キーに対して持つアクセス権を削除したりできます。これを行うと、Amazon AppIntegrations はカスタマー管理キーによって暗号化されたすべてのデータにアクセスできなくなり、そのデータに依存しているオペレーションが影響を受けます。
Amazon AppIntegrations が処理する外部アプリケーションデータは、S3 バケット内での保管中、設定時に指定したカスタマー管理キーを使用して暗号化されています。統合の設定に関するデータは、保管中、ユーザーアカウントに固有の期間限定キーを使用して暗号化されます。
Amazon AppIntegrations には、カスタマー管理のキーを以下の内部オペレーションで使用するための許可が必要です。
+ `GenerateDataKeyRequest` に送信 AWS KMS して、カスタマーマネージドキーによって暗号化されたデータキーを生成します。
+ データを暗号化 AWS KMS するために使用できるように、暗号化されたデータキーを復号化するための`Decrypt`リクエストを に送信します。
## Amazon Connect Cases での保管時の暗号化
ケースフィールド、ケースコメント、Amazon Connect Cases に保存されているフィールドとテンプレートの説明に顧客が提供するすべてのデータは、 AWS Key Management Service () に保存されている暗号化キーを使用して保管時に暗号化されますAWS KMS。
Amazon Connect Cases サービスは、高いセキュリティ標準を満たすために暗号化キー (つまり、 AWS 所有のキー) を所有、管理、監視、ローテーションします。ケースイベントストリームのペイロードは、顧客アカウントのデフォルトバスを介して利用できるようになる前に、Amazon EventBridge に一時的に (通常は数秒間) 保存されます。EventBridge は、 を使用して保管中のペイロード全体を暗号化します AWS 所有のキー。
## Amazon Connect Customer Profiles での保管時の暗号化
Amazon Connect Customer Profiles に格納されたすべてのユーザーデータには、保管時の暗号化が行われます。Amazon Connect Customer Profiles の保管時の暗号化は、 AWS Key Management Service () に保存されている暗号化キーを使用して保管中のすべてのデータを暗号化することで、セキュリティを強化しますAWS KMS。この機能は、機密データの保護における負担と複雑な作業を減らすのに役立ちます。保管時に暗号化することで、セキュリティを重視したアプリケーションを構築して、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。
組織のポリシー、業界や政府の規制、またはコンプライアンス要件によって、アプリケーションのデータセキュリティを高めるために保管時の暗号化の使用が求められることがあります。Customer Profiles は と統合され AWS KMS 、保管時の暗号化戦略を有効にします。詳細については、「 AWS Key Management Service デベロッパーガイド」の「[AWS Key Management Service コンセプト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)」を参照してください。
新しいドメインを作成する際には、サービスが転送中および保管時のデータを暗号化するために使用する、[KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)を指定する必要があります。カスタマー管理キーは、ユーザーにより作成、所有、および管理されます。カスタマーマネージドキーを完全に制御できます (AWS KMS 料金が適用されます)。
新しいドメイン、またはプロファイルのオブジェクトタイプを作成する際は、暗号化キーを指定します。あるいは、 AWS Command Line Interface (AWS CLI)、または Amazon Connect Customer Profiles の暗号化 API を使用して、既存のリソースの暗号化キーを切り替えます。カスタマー管理キーを選択すると、Amazon Connect Customer Profiles によってカスタマー管理キーに関する許可が作成され、これにより、カスタマー管理キーへのアクセス許可が付与されます。
AWS KMS カスタマーマネージドキーには 料金が適用されます。料金の詳細については、「[AWS KMS の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
## 保管中の AI エージェントの暗号化を接続する
Connect AI エージェントに保存されているすべてのユーザーデータは、 に保存されている暗号化キーを使用して保管時に暗号化されます AWS Key Management Service。オプションでカスタマーマネージドキーを指定すると、Connect AI エージェントはそれを使用して、Connect AI エージェント検索インデックスの外部に保存されているナレッジコンテンツを暗号化します。Connect AI エージェントは、お客様ごとに専用の検索インデックスを使用し、 AWS 所有のキー 保存されている を使用して保管時に暗号化されます AWS Key Management Service。さらに、CloudTrail を使用して、Connect AI エージェント APIs を使用してデータアクセスを監査できます。
AWS KMS 料金は、指定したキーを使用する場合に適用されます。料金の詳細については、「[AWS KMS の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
## Amazon Connect Voice ID での保管時の暗号化
Amazon Connect Voice ID は、登録済みの顧客の音声を取得したり顧客を識別したりするためのリバースエンジニアリングを防止する方法で、顧客の音声プリントを保存します。Amazon Connect Voice ID では、すべてのユーザーデータに対して保管時の暗号化が行われます。新しい Voice ID ドメインを作成する場合は、サービスが保管中のデータを暗号化するために使用する、カスタマー管理キーを指定する必要があります。カスタマー管理キーは、ユーザーにより作成、所有、および管理されます。ユーザーは、キーに関する完全なコントロール権を持ちます。
コマンドラインインターフェイス (AWS CLI) の `update-domain` コマンドまたは [UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html) Voice ID API を使用して、Voice ID AWS ドメインの KMS キーを更新できます。
KMS キーを変更すると、古いデータを新しい KMS キーで再暗号化するために非同期プロセスがトリガーされます。このプロセスが完了すると、ドメインのすべてのデータが新しい KMS キーで暗号化され、古いキーを安全に廃止できます。詳細については、「[UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html)」を参照してください。
Voice ID によって、カスタマー管理キーに関するグラントが作成され、そのキーにアクセスできるようになります。詳細については、「[Amazon Connect Voice ID が で許可を使用する方法 AWS KMS](#voiceid-uses-grants)」を参照してください。
カスタマー管理キーを使用して保管時に暗号化されるデータの一覧を次に示します。
+ **ボイスプリント**: システムへの通話者の登録や、不正通話の記録を行った際に生成されたボイスプリント。
+ **通話者と不正通話の音声**:通話者の登録ならびに不正通話の記録に使用するオーディオデータ。
+ **CustomerSpeakerId**: 顧客を Voice ID に登録する際に、その顧客から提供された SpeakerId。
+ **顧客提供のメタデータ**: これには、`Domain` `Description`、`Domain Name`、`Job Name` など自由形式の文字列が含まれます。
AWS KMS カスタマーマネージドキーには 料金が適用されます。料金の詳細については、「[AWS KMS の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
### Amazon Connect Voice ID が で許可を使用する方法 AWS KMS
Amazon Connect Voice ID には、カスタマー管理キーを使用するための許可が必要です。ドメインを作成すると、Voice ID は [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) リクエストを送信してユーザーに代わって許可を作成します AWS KMS。このグラントは、以下の内部オペレーションでカスタマー管理キーを使用するために必要です。
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) リクエストを に送信 AWS KMS して、指定された対称カスタマーマネージドキー ID が有効であることを確認します。
+ オブジェクトを暗号化するためのデータキーを作成するには、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) リクエストを KMS キーに送信します。
+ に [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) リクエストを送信 AWS KMS して、暗号化されたデータキーを復号し、データの暗号化に使用できるようにします。
+ キーが更新され AWS KMS ると[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) リクエストを に送信して、新しいキーを使用して制限されたデータセットを再暗号化します。
+ AWS KMS キーを使用して S3 にファイルを保存し、データを暗号化します。
任意のタイミングで、許可に対するアクセス権を取り消したり、カスタマー管理キーに対するサービスからのアクセス権を削除したりできます。これを行うと、Voice ID はカスタマー管理キーによって暗号化されたすべてのデータにアクセスできなくなり、そのデータに依存するすべてのオペレーションが影響を受けます。結果的に、非同期ワークフローで `AccessDeniedException` エラーが発生しその処理に失敗します。
### Voice ID でのカスタマー管理キーポリシー
キーポリシーは、カスタマー管理キーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマー管理キーを作成する際に、キーポリシーを指定することができます。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[Managing access to KMS keys (KMS キーへのアクセスを管理する)](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)」を参照してください。
次に、カスタマー管理キーを使用して Voice ID API を呼び出す際に必要となる権限をユーザーに付与する、キーポリシーの例を示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect VoiceID.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"voiceid.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
ポリシーでアクセス許可を指定する方法については、 AWS Key Management Service デベロッパーガイドの[「IAM ポリシーステートメントでの KMS キーの指定](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)」を参照してください。
キーアクセスのトラブルシューティングの詳細については、 AWS Key Management Service デベロッパーガイドの[「キーアクセスのトラブルシューティング](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)」を参照してください。
### Voice ID の暗号化コンテキスト
[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)は、データに関する追加のコンテキスト情報を含むキーと値のペアのオプションセットです。 は、認証された暗号化をサポートする[追加の認証済みデータ](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html)[として暗号化](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)コンテキスト AWS KMS を使用します。
データの暗号化リクエストに暗号化コンテキストを組み込むと、 AWS KMS は暗号化コンテキストを暗号化後のデータにバインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。
Voice ID は、すべての AWS KMS 暗号化オペレーションで同じ暗号化コンテキストを使用します。キーは `aws:voiceid:domain:arn`で、値はリソース Amazon リソースネーム (ARN) [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) です。
```
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
```
また、カスタマー管理キーがどのように使用されているかを特定するために、暗号化コンテキストを監査レコードおよびログで使用することもできます。暗号化コンテキストは、 CloudTrail または Amazon CloudWatch Logs によって生成されたログの中にも記載されます。
#### 暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御する
対称カスタマーマネージドキー (CMK) へのアクセスを制御するための条件として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することもできます。付与する際に、暗号化コンテキストの制約を使用することもできます。
Amazon Connect Voice ID は、権限で暗号化コンテキスト制約を使用して、アカウントまたはリージョン内のカスタマーマネージドキーへのアクセスを制御します。権限の制約では、権限によって許可されるオペレーションで指定された暗号化コンテキストを使用する必要があります。
次に、特定の暗号化コンテキストのカスタマーマネージドキーへのアクセスを付与するキーポリシーステートメントの例を示します。このポリシーステートメントの条件では、権限に暗号化コンテキストを指定する暗号化コンテキスト制約が必要です。
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId""
}
}
}
```
### Voice ID の暗号化キーのモニタリング
Voice ID で AWS KMS カスタマーマネージドキーを使用する場合、 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)または [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) を使用して、Voice ID が送信するリクエストを追跡できます AWS KMS。
次の例は、カスタマーマネージドキーによって暗号化されたデータにアクセスするために Voice ID によって呼び出される`CreateGrant`オペレーションのサンプル AWS CloudTrail イベントです。
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA5STZEFPSZEOW7NP3X:SampleUser1",
"arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
"accountId": "111122223333",
"accessKeyId": "AAAAAAA1111111EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA5STZEFPSZEOW7NP3X",
"arn": "arn:aws:iam::111122223333:role/SampleRole",
"accountId": "111122223333",
"userName": "SampleUser"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-09-14T23:02:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-09-14T23:02:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "SampleIpAddress",
"userAgent": "Example Desktop/1.0 (V1; OS)",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
},
"retiringPrincipal": "voiceid.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"operations": [
"CreateGrant",
"Decrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyPair",
"GenerateDataKeyPairWithoutPlaintext",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
],
"granteePrincipal": "voiceid.amazonaws.com "
},
"responseElements": {
"grantId": "00000000000000000000000000000cce47be074a8c379ed39f22b155c6e86af82"
},
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T15:12:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "alias/sample-key-alias"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-12T23:59:34Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKeyWithoutPlaintext ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:26:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ ReEncrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"destinationEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationKeyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceAAD": "SampleSourceAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"destinationAAD": "SampleDestinationAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"sourceEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceKeyId": "arn:aws:kms:us-west-2:111122223333:key/55555555-3333-2222-1111-EXAMPLE22222"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-7777777777777"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
## アウトバウンドキャンペーンの保管データ暗号化
アウトバウンドキャンペーンは、顧客の電話番号と関連する属性を保存します。この情報は、保存時には常に、カスタマーマネージドキーまたは AWS 所有キーのいずれかを使用して暗号化されます。データは Amazon Connect インスタンス ID で区切られ、インスタンス固有のキーで暗号化されます。
アウトバウンドキャンペーンへのオンボーディング時に、独自のカスタマーマネージドキーを指定できます。
サービスは、カスタマーマネージドキーを使用して、保管中の機密データを暗号化します。このキーはユーザーが作成、所有、完全に管理するため、その使用とセキュリティを完全に制御できます。
独自のカスタマーマネージドキーを指定しない場合、アウトバウンドキャンペーンは、インスタンスに固有の AWS 所有キーを使用して保管中の機密データを暗号化します Amazon Connect 。 AWS 所有キーを表示、管理、使用、監査することはできません。ただし、データを暗号化するキーを保護するために何らかの操作を行ったり、プログラムを変更したりする必要はありません。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS 所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
AWS KMS カスタマーマネージドキーには 料金が適用されます。料金の詳細については、「[AWS KMS の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
### アウトバウンドキャンペーンが で許可を使用する方法 AWS KMS
アウトバウンドキャンペーンがカスタマーマネージドキーを使用するには許可が必要です。 AWS コンソールまたは `StartInstanceOnboardingJob` API を使用してアウトバウンドキャンペーンにオンボードすると、アウトバウンドキャンペーンは`CreateGrant`リクエストを送信してユーザーに代わってグラントを作成します AWS KMS。の許可 AWS KMS は、 Amazon Connect アウトバウンドキャンペーン のサービスにリンクされたロールにアカウントの KMS キーへのアクセスを許可するために使用されます。
アウトバウンドキャンペーンでは、以下の内部オペレーションでカスタマーマネージドキーを使用するための許可が必要です。
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) リクエストを に送信 AWS KMS して、指定された対称カスタマーマネージドキー ID が有効であることを確認します。
+ `GenerateDataKeyWithoutPlainText` リクエストを AWS KMS に送信して、カスタマーマネージドキーで暗号化されたデータキーを生成します。
+ データを暗号化 AWS KMS するために使用できるように、暗号化されたデータキーを復号化するための`Decrypt`リクエストを に送信します。
ユーザーは任意のタイミングで、この許可へのアクセスを取り消したり、アウトバウンドキャンペーンがカスタマーマネージドキーに対して持つアクセス許可を削除したりできます。これを行うと、アウトバウンドキャンペーンはカスタマーマネージドキーによって暗号化されたすべてのデータにアクセスできなくなり、そのデータに依存しているオペレーションが影響を受けます。
### アウトバウンドキャンペーンのカスタマーマネージドキーポリシー
キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマー管理キーを作成する際に、キーポリシーを指定することができます。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[Managing access to KMS keys (KMS キーへのアクセスを管理する)](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)」を参照してください。
以下は、カスタマーマネージドキーを使用してアウトバウンドキャンペーン [StartInstanceOnboardingJob](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_StartInstanceOnboardingJob.html)、[PutDialRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutDialRequestBatch.html)、および [PutOutboundRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutOutboundRequestBatch.html) の各 API を呼び出すために必要なアクセス許可をユーザーに付与するキーポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect outbound campaigns.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "connect-campaigns.us-east-1.amazonaws.com",
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "InstanceID"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*"
],
"Resource": "*"
}
]
}
```
------
ポリシーでアクセス許可を指定する方法については、「 AWS Key Management Service デベロッパーガイド[」の「IAM ポリシーステートメントでの KMS キーの指定](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)」を参照してください。
キーアクセスのトラブルシューティングの詳細については、 AWS Key Management Service デベロッパーガイドの[「キーアクセスのトラブルシューティング](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)」を参照してください。
### アウトバウンドキャンペーンの暗号化コンテキスト
[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)は、データに関する追加のコンテキスト情報を含むキーと値のペアのオプションセットです。 AWS KMS は、暗号化コンテキストを[追加の認証済みデータ](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html)として使用して[、認証済み暗号化](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)をサポートします。
データの暗号化リクエストに暗号化コンテキストを組み込むと、 AWS KMS は暗号化コンテキストを暗号化後のデータにバインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。
アウトバウンドキャンペーンは、すべての AWS KMS 暗号化オペレーションで同じ暗号化コンテキストを使用します。キーは aws:accountId and aws:connect:instanceId で、値は aws account id と Connect instance id です。
```
"encryptionContext": {
"aws:accountId": "111122223333",
"aws:connect:instanceId": "sample instance id"
}
```
また、カスタマー管理キーがどのように使用されているかを特定するために、暗号化コンテキストを監査レコードおよびログで使用することもできます。暗号化コンテキストは、 CloudTrail または Amazon CloudWatch Logs によって生成されたログの中にも記載されます。
#### 暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御する
対称カスタマーマネージドキー (CMK) へのアクセスを制御するための条件として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することもできます。付与する際に、暗号化コンテキストの制約を使用することもできます。
アウトバウンドキャンペーンは、許可で暗号化コンテキスト制約を使用して、アカウントまたはリージョン内のカスタマーマネージドキーへのアクセスを制御します。グラントの制約では、指定された暗号化コンテキストの使用をグラントが許可するオペレーションが必要です。
次に、特定の暗号化コンテキストのカスタマーマネージドキーへのアクセスを付与するキーポリシーステートメントの例を示します。このポリシーステートメントの条件では、暗号化コンテキストを指定する暗号化コンテキスト制約がグラントに必要です。
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
}
}
}
```
### アウトバウンドキャンペーンの暗号化キーのモニタリング
アウトバウンドキャンペーンリソースで AWS KMS カスタマーマネージドキーを使用する場合、 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)または [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) を使用して、Amazon Location が送信するリクエストを追跡できます AWS KMS。
次の例は、CreateGrant、GenerateDataKeyWithoutPlainText、DescribeKey、および Decrypt の AWS CloudTrail イベントで、Amazon Location によって呼び出された KMS オペレーションをモニタリングし、カスタマーマネージドキーによって暗号化されたデータにアクセスします。
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
}
},
"granteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"retiringPrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"Encrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:586277393662:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"grantTokens": [
"EL7BPAGG-KDm8661M1pl55WcQD_9ZgFwYXN-SAMPLE"
]
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T19:09:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
## 予測、容量計画、スケジュール
予測、キャパシティプラン、スケジュールを作成すると、保管中のすべてのデータは に保存されている暗号化キーを使用して AWS 所有のキー 暗号化されます AWS Key Management Service。
# Amazon Connect での転送時の暗号化
Amazon Connect と交換されるすべてのデータは、業界標準の TLS 暗号化により、ユーザーのウェブブラウザと Amazon Connect 間での転送中に保護されます。[TLS のバージョン](infrastructure-security.md#supported-version-tls)
AWS KMSによって処理されている外部データには、追加の暗号化が実行されます。
Amazon Connect が Amazon Kinesis AWS Lambdaや Amazon Polly などの AWS サービスと統合する場合、データは TLS を使用して転送中に常に暗号化されます。
外部アプリケーションから Amazon Connect に渡されるイベントデータは、その転送中、常に TLS を使用して暗号化されています。
# Amazon Connect でのキー管理
Amazon S3 入出力バケットでのエンベロープ暗号化に使用する独自の AWS KMS キーの持ち込み (BYOK) などのキーを指定できます。 Amazon S3
AWS KMS キーを Amazon Connect の S3 ストレージロケーションに関連付けると、API 発信者のアクセス許可 (またはコンソールユーザーのアクセス許可) を使用して、対応する Amazon Connect インスタンスサービスロールを被付与者プリンシパルとするキーに対する許可が作成されます。その Amazon Connect インスタンスに固有のサービスリンクロールの場合、グラントにより、ロールは暗号化と復号化のためにキーを使用することができます。例えば、次のようになります。
+ [DisassociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_DisassociateInstanceStorageConfig.html) API を呼び出して Amazon Connect の S3 ストレージの場所から AWS KMS キーの関連付けを解除すると、許可はキーから削除されます。
+ [AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html) API を呼び出して AWS KMS キーを Amazon Connect の S3 ストレージロケーションに関連付けるが、 アクセス`kms:CreateGrant`許可がない場合、関連付けは失敗します。
[https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html](https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html) CLI コマンドを使用して、指定された カスタマー管理キーのすべての付与された権限を一覧表示します。
AWS KMS キーの詳細については、[「 とは」を参照してください AWS Key Management Service。](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) *AWS 「 Key Management Service デベロッパーガイド*」の「」を参照してください。
## AI エージェントを接続する
Connect AI エージェントは、BYOK またはサービス所有のキーを使用して、保管時に暗号化されたナレッジドキュメントを S3 に保存します。ナレッジドキュメントは、Amazon OpenSearch Service での保管時に、サービス所有のキーを使用して暗号化されます。Connect AI エージェントは、BYOK またはサービス所有のキーを使用して、エージェントクエリと通話トランスクリプトを保存します。
Connect AI エージェントで使用されるナレッジドキュメントは、 AWS KMS キーによって暗号化されます。
## Amazon AppIntegrations
Amazon AppIntegrations は、設定データの暗号化のための BYOK に対応していません。外部アプリケーションデータとの同期を取る場合は、定期的に BYOK を実施する必要があります。Amazon AppIntegrations には、カスタマー管理キーを使用するための許可が必要です。データ統合を作成すると、Amazon AppIntegrations は AWS KMS ユーザーに代わって に`CreateGrant`リクエストを送信します。グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。これを行った場合、Amazon AppIntegrations は、カスタマー管理キーによって暗号化されたすべてのデータにアクセスできなくなります。これにより、そのデータに依存する Amazon Connect サービスが影響を受けます。
## Customer Profiles
Customer Profiles では、データの暗号化に使用する AWS KMS キーを指定できます。カスタマーマネージドキーを指定しない場合、Amazon Connect Customer Profiles は、 AWS所有の暗号化キーを使用して、保管中のデータの暗号化をデフォルトで提供します。
新規または既存のドメインのデータストアを有効にする前に、 を設定する必要があります AWS KMS key。
オブジェクトタイプの個々の KMS キーを定義することもできます。顧客データを暗号化する場合は、オブジェクトタイプ KMS キーを使用します。それ以外の場合は、ドメインの KMS キーを使用します。
Data Vault を有効にした後は、ドメインまたはオブジェクトタイプの KMS キーを更新することはできません。新しいキーを使用して新しいオブジェクトタイプを作成できますが、既存のキー設定を変更することはできません。
## Voice ID
Amazon Connect Voice ID を使用するには、Amazon Connect Voice ID ドメインを作成する際に、カスタマー管理キー KMS キー (BYOK) を指定することが必須です。このドメインは、保管中のすべての顧客データを暗号化するために使用されます。
## アウトバウンドキャンペーン
アウトバウンドキャンペーンは、 AWS 所有のキー またはカスタマーマネージドキーを使用してすべての機密データを暗号化します。カスタマーマネージドキーがユーザーによって作成、所有、管理されると、カスタマーマネージドキーを完全に制御できます (AWS KMS 料金が適用されます)。
# Amazon Connect とインターフェイス VPC エンドポイント (AWS PrivateLink)
VPC と Amazon Connect のエンドポイントのサブセットとの間でプライベート接続を確立するには、インターフェイス VPC エンドポイントを作成します。サポートされているエンドポイントは、以下のとおりです。
+ Amazon AppIntegrations
+ Customer Profiles
+ アウトバウンドキャンペーン
+ Voice ID
+ AI エージェントを接続する
+ Amazon Connect サービス
インターフェイスエンドポイントは、インターネットゲートウェイ[AWS PrivateLink](https://aws.amazon.com/privatelink)、NAT デバイス、VPN 接続、または Direct Connect 接続なしで Amazon Connect APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても、 AWS PrivateLinkと統合する Amazon Connect API と通信できます。
詳細については、「[AWS PrivateLink ガイド](https://docs.aws.amazon.com/vpc/latest/privatelink/)」を参照してください。
## Amazon Connect 用のインターフェイス VPC エンドポイントの作成
Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、インターフェイスエンドポイントを作成できます。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。
Amazon Connect は、次のサービス名をサポートしています。
+ com.amazonaws.*region*.app-integrations
+ com.amazonaws.*region*.cases
+ com.amazonaws.*region*.profile
+ com.amazonaws.*region*.connect-campaigns
+ com.amazonaws.*region*.voiceid
+ com.amazonaws.*region*.wisdom (Connect AI エージェント用)
+ com.amazonaws.*region*.connect
+ com.amazonaws.*region*.connect-fips (連邦情報処理標準 (FIPS) に準拠した Amazon Connect Service のエンドポイントを作成するためのものです)。
インターフェイスエンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名を使用して、Amazon Connect に API リクエストを実行できます。例えば、voiceid.us-east-1.amazonaws.com です。詳細については、「*AWS PrivateLink ガイド*」の「[DNS ホスト名](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#interface-endpoint-dns-hostnames)」を参照してください。
## VPC エンドポイントポリシーの作成
VPC エンドポイントには、アクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。
詳細については、「*AWS PrivateLink ガイド*」の「[Control access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。
### 例: VPC エンドポイントポリシー
次の VPC エンドポイントポリシーは、すべてのリソースのすべてのプリンシパルに対して、リストされた Amazon Connect Voice ID アクションへのアクセスを許可します。
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"voiceid:CreateDomain",
"voiceid:EvaluateSession",
"voiceid:ListSpeakers"
],
"Resource":"*",
"Principal":"*"
}
]
}
```
別の例を次に示します。この例では、VPC エンドポイントポリシーは、すべてのリソースのすべてのプリンシパルについて、リストされているアウトバウンドキャンペーンのアクションに対するアクセス許可を付与します。
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"connect-campaigns:CreateCampaign",
"connect-campaigns:DeleteCampaign",
"connect-campaigns:ListCampaigns"
],
"Resource":"*",
"Principal":"*"
}
]
}
```
# Amazon Connect サービスの改善と、サービス改善のためのデータの使用をオプトアウトする方法
Amazon Connect を有効にすると、Amazon Connect によって処理されたお客様のコンテンツを使用して、お客様のエクスペリエンスを開発および改善することがあります。
AWS がお客様のコンテンツを使用してサービスを改善できるようにするメリット:
Amazon Connect を改善するためにお客様のコンテンツを利用できるようにすることで、Amazon Connect のイノベーションを迅速化し、ニーズに合わせて機能をカスタマイズし、より良いサポートを提供できます。具体的には、これにより以下のサービスを強化できます。
+ よりスマートな機能をより迅速に提供 - 実際の使用パターンと特定の要件に基づいて Connect を改善
+ 問題を積極的に防止する - エクスペリエンスとビジネス成果に影響を与える前に問題を特定して対処する
+ より迅速に問題を解決する - より迅速に発生した問題を診断して修正する
これらはすべて、Amazon Connect がお客様と協力してビジネスパフォーマンスを継続的に向上させるのに役立ちます。
次の Amazon Connect 機能を有効にすると、お客様のコンテンツを使用してエクスペリエンスを開発および改善できます。これらの機能レベルのオプトアウトは、2026 年 3 月 31 日に廃止されます。
+ **Amazon Connect Contact Lens**
+ **Amazon Connect Customer Profiles**
+ **Amazon Connect の予測、キャパシティプランニング、スケジューリング**
+ **アウトバウンドキャンペーン**
+ **AI エージェントを接続する**
データにアクセスできるのは、Amazon の従業員のみです。お客様の信頼、プライバシー、およびお客様のコンテンツのセキュリティは当社の最優先事項であり、当社の使用がお客様に対する当社のコミットメントに準拠していることを確認します。詳細については、[データプライバシーのよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。
AWS Organizations オプトアウトポリシーを使用してAmazon Connect の開発と改善にデータを使用することをいつでもオプトアウトできます。オプトアウト方法の詳細については、「**AWS Organizations ユーザーガイド」の「[AI サービスのオプトアウトポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)」を参照してください。
オプトアウトステータスを確認するには、組織によって設定されたオプトアウトポリシーを確認してください。オプトアウトポリシーの構文と例の詳細については、[こちらをクリックします](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html#ai-opt-out-policy-syntax-reference)。
**注記**
オプトアウトポリシーを使用するには、 AWS アカウントを一元管理する必要があります AWS Organizations。 AWS アカウントの組織をまだ作成していない場合は、*AWS Organizations 「 ユーザーガイド*」の[「組織の作成と管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org)」を参照してください。
オプトアウトすると、次のとおりになります。
+ サービス改善 AWS のために でデータを使用しません。