기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon Connect의 데이터 보호
AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/) Amazon Connect의 데이터 보호에 적용됩니다. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 이 인프라에 호스팅되는 콘텐츠에 대한 통제 권한을 유지할 책임이 있습니다. 사용하는 AWS 서비스 의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 관한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.
데이터 보호를 위해 자격 증명을 보호하고 AWS 계정 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용합니다.
+ SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ 를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [ CloudTrail 추적 작업을 참조하세요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html).
+ 내부의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용합니다 AWS 서비스.
+ Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용합니다.
+ 명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [연방 정보 처리 표준(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 Amazon Connect 또는 기타 AWS 서비스 에서 콘솔 AWS CLI, API 또는 AWS SDKs를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명을 URL에 포함해서는 안 됩니다.
**Topics**
+ [Amazon Connect에서 처리하는 데이터](data-handled-by-connect.md)
+ [Amazon Connect에 저장 시 암호화](encryption-at-rest.md)
+ [Amazon Connect의 전송 중 암호화](encryption-in-transit.md)
+ [Amazon Connect의 키 관리](key-management.md)
+ [VPC 엔드포인트(AWS PrivateLink)](vpc-interface-endpoints.md)
+ [서비스 개선 및 서비스 개선을 위해 데이터 사용을 옵트아웃하는 방법](data-opt-out.md)
# Amazon Connect에서 처리하는 데이터
Amazon Connect에 보관된 데이터는 AWS 계정 ID와 Amazon Connect 인스턴스 ID로 구분됩니다. 이렇게 하면 특정 Amazon Connect 인스턴스의 인증된 사용자만 데이터에 액세스할 수 있습니다.
Amazon Connect는 다음 범주를 포함해 지원 센터와 관련된 다양한 데이터를 처리합니다.
+ **리소스 및 구성** - 여기에는 대기열, 흐름, 사용자, 라우팅 프로필 및 작업 템플릿이 포함됩니다.
+ **고객 응대 메타데이터** - 여기에는 연결 시간, 처리 시간, 소스 번호(ANI), 대상 번호(DNIS) 및 사용자 정의 고객 응대 속성이 포함됩니다.
+ **에이전트 관련 성능 데이터 -** 여기에는 로그인 시간, 상태 변경 및 처리된 고객 응대가 포함됩니다.
+ **전화 통화 오디오 스트림** - 활성화하면 통화 녹음도 포함됩니다.
+ **채팅 기록** - 흐름에서 활성화된 경우에만 포함됩니다.
+ **화면 녹화** - 흐름에서 활성화된 경우에만 포함됩니다.
+ **첨부 파일** - 인스턴스 수준에서 활성화된 경우에만 포함됩니다.
+ **통합 구성** - 외부 애플리케이션과의 통합을 생성할 때 사용자가 정의한 이름, 설명 및 메타데이터를 포함합니다.
+ **기술 문서** - 여기에는 에이전트가 고객 응대를 처리하는 데 사용하는 문서가 포함됩니다.
+ **음성 지문** - Amazon Connect Voice ID가 활성화되면 향후 인증을 위해 고객의 음성으로 음성이 생성됩니다. 마찬가지로 사기범을 Voice ID 시스템에 등록할 때 음성 지문이 생성되어 향후 사기 탐지를 위해 사용됩니다.
+ **화자 및 사기범의 오디오** - Amazon Connect Voice ID를 사용하도록 설정하면 스피커 등록 및 사기꾼 등록에 사용된 오디오가 저장되어 나중에 필요할 때 Voice ID에서 스피커를 다시 등록하고 재등록할 수 있습니다.
+ **예측, 용량 계획 및 일정** - 활성화되고 생성된 경우에만 포함됩니다.
Amazon Connect는 고객과 관련된 다음과 같은 개인 식별 정보(PII) 데이터를 저장합니다.
+ 고객의 전화번호: 인바운드 통화의 경우 ANI, 아웃바운드 통화 또는 전송의 경우 DNIS.
+ Amazon Connect Customer Profiles을 사용하는 경우 이 모든 데이터는 잠재적으로 PII일 수 있습니다. 이 데이터는 항상 고객 관리형 키 또는 AWS 소유 키를 사용하여 유휴 시 암호화됩니다. Amazon Connect Customer Profiles 데이터는 AWS 계정 ID와 도메인을 기준으로 분리됩니다. 여러 Amazon Connect 인스턴스가 단일 고객 프로필 도메인을 공유할 수 있습니다.
+ 아웃바운드 캠페인의 경우, Amazon Pinpoint는 고객 전화번호와 관련 속성을 Amazon Connect에 전달합니다. Amazon Connect 측에서는 고객 관리형 키 또는 AWS 소유 키를 사용하여 항상 유휴 시 암호화됩니다. 아웃바운드 캠페인 데이터는 Amazon Connect 인스턴스 ID로 분리되며 인스턴스별 키로 암호화됩니다.
## 외부 애플리케이션 데이터
Amazon AppIntegrations를 사용하면 외부 애플리케이션과 통합할 수 있습니다. 다른 AWS 리소스 및 클라이언트 서비스 지정 메타데이터에 대한 참조를 저장합니다. 데이터는 처리되는 동안 부수적으로 저장되는 것 외에는 저장되지 않습니다. Amazon Connect 서비스와 주기적으로 데이터를 동기화할 때 고객 관리형 키를 사용하여 데이터를 암호화하고 1개월 동안 임시로 저장합니다.
## 전화 통화 미디어
Amazon Connect는 서비스에서 처리하는 통화를 위한 오디오 경로에 있습니다. 따라서 참가자들 간에 통화의 미디어 스트림을 중계할 책임이 있습니다. 여기에는 고객과 흐름/IVR 간의 오디오, 고객과 에이전트 간의 오디오, 컨퍼런스나 전송 중에 여러 당사자 간의 오디오 믹싱이 포함될 수 있습니다. 전화 통화에는 두 가지 유형이 있습니다.
+ PSTN 통화. 이 옵션이 CCP(Contact Control Panel)에서 활성화된 경우 인바운드 고객 통화, 에이전트가 고객에게 건 아웃바운드 통화, 에이전트의 실제 전화 통화 등이 여기에 포함됩니다.
+ 에이전트의 브라우저에 배치된 소프트폰 통화.
PSTN 통화는 Amazon Connect와 제공업체 간에 유지되는 프라이빗 회선이나 기존 AWS 인터넷 연결을 사용하여 Amazon Connect와 다양한 통신 사업자 간에 연결됩니다. 퍼블릭 인터넷을 통해 라우팅된 PSTN 통화의 경우, 시그널링은 TLS로 암호화되고 오디오 미디어는 SRTP로 암호화됩니다.
소프트폰 통화는 TLS를 사용해 암호화된 WebSocket 연결을 통해 에이전트의 브라우저로 설정됩니다. 브라우저로의 오디오 미디어 트래픽은 DTLS-SRTP를 사용해 전송 중에 암호화됩니다.
## 통화 녹음 및 화면 녹화
인스턴스 수준에서 기본적으로 통화 녹음 및 화면 녹화 기능은 Amazon S3 버킷이 생성되면 사용할 수 있습니다. 어떤 고객 응대를 기록할지는 흐름에서 지정하여 결정합니다. 이를 통해 어떤 고객 응대를 기록할지 보다 세부적으로 제어할 수 있습니다.
통화 녹음 시 다음 동작에 유의하세요.
+ 통화 레코딩 기능에는 IVR 상호작용 중에 고객 및 시스템 오디오를 레코딩할지 아니면 에이전트 상호작용 중에 고객, 에이전트 또는 둘 다의 조합을 레코딩할지 선택할 수 있는 옵션이 있습니다.
+ 연락처당 가능한 레코딩은 총 2개입니다. 하나는 자동 상호작용(즉, IVR)용이고 다른 하나는 에이전트 상호작용용입니다. 자동 상호작용에 대한 레코딩 활성화 또는 비활성화는 즉시 적용됩니다. 반대로 에이전트 상호작용에 대한 레코딩 수정은 에이전트가 통화에 조인한 후에만 적용됩니다.
+ 에이전트가 통화 중이 아닐 때는 에이전트 오디오가 Amazon Connect로 전송되지 않습니다. 2023년 11월 9일 Amazon Connect는 고객 응대가 도착하기 전에 에이전트 브라우저의 마이크 미디어 스트림을 사전 구성하는 에이전트 생산성을 개선하기 위한 최적화를 배포했습니다. 이렇게 하면 수신 및 발신 통화 모두에 대한 설정 시간이 단축됩니다. 따라서 에이전트가 통화 중이 아니더라도 에이전트 브라우저의 마이크 아이콘이 켜져 있는 것으로 나타납니다.
+ 에이전트 상호작용 중 고객이 대기 상태일 때에도 에이전트는 계속 레코딩됩니다.
+ 에이전트 간의 전송 대화는 녹음됩니다.
+ 흐름 또는 IVR 상호작용 중에 통화가 전송되면(예: 전화번호로 전송 블록 사용) 레코딩은 고객이 외부 음성 시스템으로 전송된 후에도 고객이 말하고 듣는 내용을 계속 캡처합니다.
+ 에이전트 상호작용 중 외부 번호로 전송된 통화는 에이전트가 통화에서 나간 후에는 레코딩되지 않습니다.
+ 예를 들어 참가자가 옆에 앉은 사람과 상의하기 위해 자신의 마이크를 음소거하는 경우 사이드바 대화는 레코딩되지 않습니다.
화면 녹화는 고객 응대가 화면 녹화를 사용 설정한 경우에만 상담원의 화면이 기록됩니다. 에이전트가 고객 응대를 수락하면 화면 녹화가 시작되고 에이전트가 고객 응대 후 작업을 완료하면 화면 녹화가 종료됩니다. 화면 녹화는 음성, 채팅, 태스크 채널을 지원합니다.
**중요**
영상 통화 또는 화면 공유 세션 중에 에이전트는 고객이 대기 중인 경우에도 고객의 영상 또는 화면 공유를 볼 수 있습니다. 그에 따라 PII를 처리하는 것은 고객의 책임입니다. 이 동작을 변경하려면 사용자 지정 CCP 및 커뮤니케이션 위젯을 빌드하면 됩니다. 자세한 내용은 [인앱, 웹 및 영상 통화 및 화면 공유를 애플리케이션에 네이티브 방식으로 통합](config-com-widget2.md) 단원을 참조하십시오.
사용자 권한에 따라 통화 녹음 및 화면 녹화에 대한 액세스를 제한할 수 있습니다. Amazon Connect 관리자 웹 사이트 내에서 레코딩을 검색하고 재생할 수 있습니다.
### 통화 녹음 및 화면 녹화 스토리지'
통화 녹음 및 화면 녹화는 두 단계로 저장됩니다.
+ 고객 응대 중과 고객 응대 후, 그러나 제공 이전에 Amazon Connect 내에서 일시적으로 보류된 레코딩.
+ Amazon S3 버킷에 저장된 레코딩.
Amazon S3 버킷에 저장된 레코딩은 인스턴스 생성 시 구성한 KMS 키를 사용하여 보호됩니다.
사용자는 Amazon S3 버킷에 제공된 통화 레코딩의 보안을 항상 완벽하게 제어할 수 있습니다.
### 통화 녹음 파일 및 화면 녹화 파일에 대한 액세스
Amazon Connect에서 통화 녹음을 검색하여 듣거나 화면 녹화를 볼 수 있습니다. 이 작업을 수행할 수 있는 사용자를 확인하려면 보안 프로필에서 해당 사용자에게 적절한 권한을 할당하세요. AWS CloudTrail 이 활성화되면 Amazon Connect 사용자의 특정 레코딩에 대한 액세스가 CloudTrail에 캡처됩니다.
Amazon S3 AWS KMS, 및 IAM의 기능을 통해 통화 녹음 데이터에 액세스할 수 있는 사용자를 완벽하게 제어할 수 있습니다.
## 고객 응대 메타데이터
Amazon Connect는 시스템을 통한 고객 응대 흐름과 관련된 메타데이터를 저장하며 권한이 있는 사용자가 이 정보에 액세스할 수 있도록 합니다. 연락 검색 기능을 사용하면 진단 또는 보고 목적으로 연락처와 연결된 발신지 전화번호나 고객 응대 흐름에서 설정한 기타 속성 등의 연락처 데이터를 검색하고 볼 수 있습니다.
Amazon Connect에서 저장하는 PII로 분류된 고객 응대 데이터는 시간 제한이 있고 Amazon Connect 인스턴스에 고유한 키를 사용하여 유휴 시 암호화됩니다. 특히 고객 발신 전화번호는 고객 응대 검색에 사용할 수 있도록 인스턴스별 키로 암호화 해시되어 있습니다. 고객 응대 검색의 경우 암호화 키는 시간에 민감하지 않습니다.
Amazon Connect에 저장된 다음 데이터는 민감한 정보로 취급됩니다.
+ 발신 전화번호
+ 아웃바운드 전화번호
+ 전송을 위해 에이전트가 전화를 건 외부 번호
+ 흐름에 의해 전송된 외부 번호
+ 담당자 이름
+ 고객 응대 설명
+ 모든 고객 응대 속성
+ 모든 고객 응대 참조
## Contact Lens 실시간 처리
Contact Lens가 실시간으로 처리하는 콘텐츠는 유휴 시와 전송 중에도 암호화됩니다. 데이터는 Contact Lens 소유의 키로 암호화됩니다.
Contact Lens는 Amazon Connect 측에 데이터(트랜스크립트, 범주 이름 등)를 잠시 유지합니다. 이는 API가 고객 응대가 종료된 후 최대 24시간 동안 데이터를 지속적으로 제공하도록 하기 위한 것입니다.
## 보이스프린트 및 Voice ID 오디오 레코딩
Amazon Connect Voice ID를 활성화하면 향후 고객 인증을 위해 고객의 음성에서 음성 지문을 계산하고 데이터를 저장합니다. 마찬가지로 사기 감지를 활성화하면 Voice ID에 등록된 사기범의 음성 지문이 저장됩니다.
인증 및 사기 감지를 위해 고객을 Voice ID에 등록할 때 해당 고객에 대해 `CustomerSpeakerId`를 지정해야 합니다. Voice ID는 각 화자에 대한 생체 인식 정보를 저장하므로 `CustomerSpeakerId` 필드에 PII가 포함되지 않은 식별자를 사용하는 것이 좋습니다.
## 화자 및 사기범의 오디오
Amazon Connect Voice ID를 활성화하면 화자를 등록하거나 사기범을 등록하는 동안 수집한 오디오(발화라고 함)의 압축된 버전이 저장됩니다. 이 오디오는 향후 화자 및 사기범의 음성 지문을 재생해야 할 때마다 사용됩니다. 데이터는 화자/사기범이 삭제될 때까지 보관됩니다. 등록 또는 평가에 사용된 원본 오디오는 24시간의 보존 기간이 지나면 삭제됩니다.
해당 데이터는 화자/사기꾼이 삭제하거나 옵트아웃할 때까지 보관됩니다.
## 아웃바운드 캠페인
아웃바운드 캠페인의 경우, Amazon Pinpoint는 고객 전화번호와 관련 속성을 Amazon Connect에 전달합니다. Amazon Connect 측에서는 고객 관리형 키 또는 AWS 소유 키를 사용하여 항상 유휴 시 암호화됩니다. 아웃바운드 캠페인 데이터는 Amazon Connect 인스턴스 ID로 분리되며 인스턴스별 키로 암호화됩니다.
## 태스크 탬플릿
Amazon Connect에서 태스크 템플릿 리소스를 처리하는 모든 작업은 유휴 시와 전송 중에 암호화됩니다. 데이터는 로 암호화됩니다 AWS KMS key.
## 예측, 용량 계획 및 일정
예측, 용량 계획, 일정이 생성되면 유휴 시 및 전송 중에도 항상 암호화됩니다. 데이터는 로 암호화됩니다 AWS KMS key.
# Amazon Connect에 저장 시 암호화
PII로 분류된 고객 응대 데이터 또는 Amazon Connect에서 저장 중인 고객 콘텐츠를 나타내는 데이터는에서 소유한 암호화 키를 사용하여 저장 시(즉, 디스크에 저장, 저장 또는 저장되기 전) AWS KMS 암호화됩니다 AWS. AWS KMS 키에 대한 자세한 내용은 [란 무엇입니까 AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)를 참조하십시오. *AWS Key Management Service 개발자 안내서*의 . 비임시 스토리지에 있는 고객 응대 데이터는 암호화되어 KMS 키에서 생성된 데이터 암호화 키가 Amazon Connect 인스턴스 간에 공유되지 않습니다.
Amazon S3 서버 측 암호화는 대화 녹음(음성 및 채팅)을 암호화하는 데 사용됩니다. 통화 녹음, 화면 녹화 및 녹취록은 두 단계로 저장됩니다.
+ 고객 응대 중과 고객 응대 후, 그러나 제공 이전에 Amazon Connect 내에서 일시적으로 보류된 레코딩.
+ Amazon S3 버킷에 저장된 레코딩.
Amazon S3 버킷에 저장된 레코딩 및 채팅 기록은 인스턴스 생성 시 구성한 KMS 키를 사용하여 보호됩니다.
Amazon Connect의 키 관리에 대한 자세한 내용은 [Amazon Connect의 키 관리](key-management.md) 섹션을 참조하세요.
**Topics**
+ [Amazon AppIntegrations](#encryption-at-rest-appintegrations)
+ [Amazon Connect Cases](#encryption-at-rest-cases)
+ [Amazon Connect Customer Profiles](#encryption-at-rest-customer-profiles)
+ [AI 에이전트 연결](#encryption-at-rest-wisdom)
+ [Amazon Connect Voice ID 유휴 시 암호화](#encryption-at-rest-voiceid)
+ [Outbound Campaigns 저장 시 암호화](#encryption-at-rest-outboundcommunications)
+ [예측, 용량 계획 및 일정](#forecasts-encryption-at-rest-)
## 유휴 시 Amazon App Integration의 데이터 암호화
고객 관리형 키로 암호화된 DataIntegration을 생성하면 Amazon AppIntegrations는 `CreateGrant` 요청을 전송하여 사용자를 대신하여 권한을 생성합니다 AWS KMS. 의 권한 부여 AWS KMS 는 Amazon AppIntegrations에 계정의 KMS 키에 대한 액세스 권한을 부여하는 데 사용됩니다.
언제든지 권한 부여에 대한 액세스 권한을 취소하거나 고객 관리형 키에 대한 Amazon AppIntegrations의 액세스 권한을 제거할 수 있습니다. 그렇게 하면 Amazon AppIntegrations는 고객 관리형 키로 암호화된 데이터에 액세스할 수 없으며, 이는 해당 데이터에 종속된 작업에 영향을 미칩니다.
Amazon AppIntegrations가 처리하는 외부 애플리케이션 데이터는 구성 중에 제공한 고객 관리형 키를 사용하여 S3 버킷에서 유휴 시 암호화됩니다. 통합 구성 데이터는 시간 제한이 있고 사용자 계정에 특정한 키를 사용하여 유휴 시 암호화됩니다.
Amazon AppIntegrations는 다음 내부 작업에 대해 고객 관리형 키를 사용하기 위한 권한 부여가 필요합니다.
+ `GenerateDataKeyRequest` 로 전송 AWS KMS 하여 고객 관리형 키로 암호화된 데이터 키를 생성합니다.
+ 암호화된 데이터 키를 데이터 암호화 AWS KMS 에 사용할 수 있도록에 `Decrypt` 요청을 전송합니다.
## 유휴 시 Amazon Connect Cases 데이터 암호화
Amazon Connect Cases에 저장된 필드 및 템플릿에 대한 사례 필드, 사례 설명, 설명의 모든 고객 제공 데이터는 AWS Key Management Service ()에 저장된 암호화 키를 사용하여 저장 시 암호화됩니다AWS KMS.
Amazon Connect Cases 서비스는 높은 보안 표준을 충족하기 위해 암호화 키(즉, AWS 소유 키)를 소유, 관리, 모니터링 및 교체합니다. 사례 이벤트 스트림의 페이로드는 고객 계정의 기본 버스를 통해 제공되기 전에 Amazon EventBridge에 일시적으로(일반적으로 몇 초 동안) 저장됩니다. 또한 EventBridge는를 사용하여 저장 시 전체 페이로드를 암호화합니다 AWS 소유 키.
## 유휴 시 Amazon Connect Customer Profiles 데이터 암호화
Amazon Connect Customer Profiles에 저장된 사용자 데이터는 유휴 시 암호화됩니다. Amazon Connect Customer Profiles 저장 데이터 암호화는 AWS Key Management Service ()에 저장된 암호화 키를 사용하여 저장 데이터를 모두 암호화하여 보안을 강화합니다AWS KMS. 이 기능을 사용하면 중요한 데이터 보호와 관련된 운영 부담 및 복잡성을 줄일 수 있습니다. 저장 시 암호화를 사용하면 엄격한 암호화 규정 준수 및 규제 요구 사항이 필요한, 보안에 민감한 애플리케이션을 구축할 수 있습니다.
조직의 정책, 업계나 정부 규범 및 규정 준수 요건에 따라 유휴 시 암호화를 사용하여 애플리케이션의 데이터 보안을 강화해야 할 수 있습니다. Customer Profiles는와 통합되어 저장 데이터 암호화 전략을 AWS KMS 활성화합니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 [AWS Key Management Service 개념](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) 섹션을 참조하세요.
새 도메인을 생성할 때 서비스에서 전송 중 및 유휴 시 데이터를 암호화하는 데 사용할 [KMS 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)를 제공해야 합니다. 고객 관리형 키는 사용자가 생성, 소유, 관리합니다. 고객 관리형 키를 완전히 제어할 수 있습니다(AWS KMS 요금 적용).
새 도메인 또는 프로필 객체 유형을 생성할 때 암호화 키를 지정하거나 AWS Command Line Interface(AWS CLI) 또는 Amazon Connect Customer Profiles Encryption API를 사용하여 기존 리소스에서 암호화 키를 전환할 수 있습니다. 고객 관리형 키를 선택하면 Amazon Connect Customer Profiles은 고객 관리형 키에 대한 액세스 권한을 부여하는 권한을 고객 관리형 키에 생성합니다.
AWS KMS 고객 관리형 키에는 요금이 부과됩니다. 요금에 대한 자세한 내용은 [AWS KMS 요금](https://aws.amazon.com/kms/pricing/)을 참조하세요.
## 유휴 시 AI 에이전트 암호화 연결
Connect AI 에이전트에 저장된 모든 사용자 데이터는 저장된 암호화 키를 사용하여 저장 시 암호화됩니다 AWS Key Management Service. 선택적으로 고객 관리형 키를 제공하는 경우 Connect AI 에이전트는 이를 사용하여 Connect AI 에이전트 검색 인덱스 외부에 저장된 지식 콘텐츠를 암호화합니다. Connect AI 에이전트는 고객당 전용 검색 인덱스를 사용하며 AWS 소유 키 저장된를 사용하여 저장 시 암호화됩니다 AWS Key Management Service. 또한 CloudTrail을 사용하여 Connect AI 에이전트 APIs.
AWS KMS 사용자가 제공한 키를 사용할 때 요금이 부과됩니다. 요금에 대한 자세한 내용은 [AWS KMS 요금](https://aws.amazon.com/kms/pricing/)을 참조하세요.
## Amazon Connect Voice ID 유휴 시 암호화
Amazon Connect Voice ID는 등록된 고객의 음성을 얻거나 고객을 식별하기 위해 리버스 엔지니어링할 수 없는 고객 음성 지문을 저장합니다. Amazon Connect Voice ID에 저장된 사용자 데이터는 유휴 시 암호화됩니다. 새 Voice ID 도메인을 만들 때는 서비스에서 저장된 데이터를 암호화하는 데 사용하는 고객 관리형 키를 제공해야 합니다. 고객 관리형 키는 사용자가 생성, 소유, 관리합니다. 키에 대해 사용자가 모든 것을 제어합니다.
AWS 명령줄 인터페이스(AWS CLI)의 `update-domain` 명령 또는 [UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html) Voice ID API를 사용하여 Voice ID 도메인의 KMS 키를 업데이트할 수 있습니다.
KMS 키를 변경하면 비동기 프로세스가 트리거되어 이전 데이터를 새 KMS 키로 다시 암호화합니다. 이 프로세스가 완료되면 도메인의 모든 데이터가 새 KMS 키로 암호화되므로 이전 키는 안전하게 사용을 중지할 수 있습니다. 자세한 내용은 [UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html)을 참조하세요.
음성 ID는 고객 관리형 키에 대한 액세스 권한을 부여하는 권한을 생성합니다. 자세한 내용은 [Amazon Connect Voice ID가에서 권한 부여를 사용하는 방법 AWS KMS](#voiceid-uses-grants) 섹션을 참조하세요.
다음은 고객 관리형 키를 사용하여 유휴 시 암호화되는 데이터 목록입니다.
+ **음성 지문**: 화자를 등록하고 시스템에 사기범을 등록하는 동안 생성된 음성 인쇄입니다.
+ **화자 및 사기범의 오디오**: 화자를 등록하고 사기범을 등록하는 데 사용되는 오디오 데이터입니다.
+ **CustomerSpeakerId**: 고객을 Voice ID에 등록할 때 고객이 제공한 SpeakerId입니다.
+ **고객 제공 메타데이터**: 여기에는 `Domain`, `Description`, `Domain Name`, `Job Name` 등의 자유 형식 문자열이 포함됩니다.
AWS KMS 고객 관리형 키에는 요금이 적용됩니다. 요금에 대한 자세한 내용은 [AWS KMS 요금](https://aws.amazon.com/kms/pricing/)을 참조하세요.
### Amazon Connect Voice ID가에서 권한 부여를 사용하는 방법 AWS KMS
Amazon Connect Voice ID는 고객 관리형 키를 사용하려면 권한 부여가 필요합니다. 도메인을 생성할 때 Voice ID는 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 요청을에 전송하여 사용자를 대신하여 권한을 생성합니다 AWS KMS. 다음 내부 작업에 고객 관리형 키를 사용하려면 이 권한이 필요합니다.
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 요청을에 전송 AWS KMS 하여 제공된 대칭 고객 관리형 키 ID가 유효한지 확인합니다.
+ [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 요청을 KMS 키로 전송하여 객체를 암호화하는 데 사용할 데이터 키를 생성합니다.
+ AWS KMS 에 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 요청을 보내 암호화된 데이터 키를 복호화하여 데이터를 암호화하는 데 사용할 수 있도록 합니다.
+ 새 AWS KMS 키를 사용하여 제한된 데이터 세트를 다시 암호화하도록 키가 업데이트되면에 [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 요청을 보냅니다.
+ AWS KMS 키를 사용하여 S3에 파일을 저장하여 데이터를 암호화합니다.
언제든지 권한 부여에 대한 액세스 권한을 취소하거나 고객 관리형 키에 대한 서비스 액세스를 제거할 수 있습니다. 그렇게 하면 Voice ID는 고객 관리형 키로 암호화된 데이터에 액세스할 수 없으며, 이는 해당 데이터에 의존하는 모든 작업에 영향을 미치고 비동기식 워크플로에서 `AccessDeniedException` 오류 및 실패로 이어집니다.
### Voice ID에 대한 고객 관리형 키 정책
키 정책에서는 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 만들 때 키 정책을 지정할 수 있습니다. 자세한 내용은 **AWS Key Management Service 개발자 안내서의 [KMS 키에 대한 액세스 관리](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)를 참조하세요.
다음은 고객에게 고객 관리형 키를 사용하여 모든 Voice ID API를 호출하는 데 필요한 권한을 부여하는 키 정책의 예입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect VoiceID.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"voiceid.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
정책에서 권한을 지정하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 [IAM 정책 설명에서 KMS 키 지정](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)을 참조하세요.
키 액세스 문제 해결에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 [키 액세스 문제 해결을 참조하세요](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html).
### Voice ID 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)는 데이터에 대한 추가 컨텍스트 정보를 포함하는 선택적 키-값 페어 세트입니다.는 암호화 컨텍스트를 [ 추가 인증 데이터](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html)로 AWS KMS 사용하여 [인증된 암호화](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)를 지원합니다.
데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우, AWS KMS 는 암호화된 데이터에 암호화 컨텍스트를 바인딩합니다. 데이터 복호화를 위해, 이 요청에 동일한 암호화 컨텍스트를 포함합니다.
Voice ID는 모든 암호화 작업에서 동일한 암호화 컨텍스트를 사용합니다. 여기서 키는 AWS KMS `aws:voiceid:domain:arn`이고 값은 리소스 Amazon 리소스 이름(ARN) [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)입니다.
```
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
```
감사 기록 및 로그의 암호화 컨텍스트를 사용하여 고객 관리형 키가 어떻게 사용되고 있는지 파악할 수도 있습니다. 암호화 컨텍스트는 CloudTrail 또는 Amazon CloudWatch 로그에서 생성한 로그에도 나타납니다.
#### 암호화 컨텍스트를 사용하여 고객 관리형 키에 대한 액세스 제어
그러나 키 정책 및 IAM 정책에서 암호화 컨텍스트를 조건으로 사용하여 대칭형 고객 관리형 키에 대한 액세스를 제어할 수도 있습니다. 또한 권한 부여에서 암호화 컨텍스트 제약 조건을 사용할 수 있습니다.
Amazon Connect Voice ID는 권한 부여 시 암호화 컨텍스트 제약 조건을 사용하여 계정 또는 리전의 고객 관리형 키에 대한 액세스를 제어합니다. 권한 부여 제약 조건에 따라 권한 부여가 허용하는 작업은 지정된 암호화 컨텍스트를 사용해야 합니다.
다음은 특정 암호화 컨텍스트에서 고객 관리형 키에 대한 액세스 권한을 부여하는 키 정책 설명의 예입니다. 이 정책 설명의 조건에 따라 권한 부여에는 암호화 컨텍스트를 지정하는 암호화 컨텍스트 제약 조건이 있어야 합니다.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId""
}
}
}
```
### Voice ID에 대한 암호화 키 모니터링 대상
Voice ID와 함께 AWS KMS 고객 관리형 키를 사용하는 경우 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 또는 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)를 사용하여 Voice ID가 보내는 요청을 추적할 수 있습니다 AWS KMS.
다음 예제는 Voice ID가 고객 관리형 키로 암호화된 데이터에 액세스하기 위해 호출하는 `CreateGrant` 작업에 대한 샘플 AWS CloudTrail 이벤트입니다.
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA5STZEFPSZEOW7NP3X:SampleUser1",
"arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
"accountId": "111122223333",
"accessKeyId": "AAAAAAA1111111EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA5STZEFPSZEOW7NP3X",
"arn": "arn:aws:iam::111122223333:role/SampleRole",
"accountId": "111122223333",
"userName": "SampleUser"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-09-14T23:02:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-09-14T23:02:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "SampleIpAddress",
"userAgent": "Example Desktop/1.0 (V1; OS)",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
},
"retiringPrincipal": "voiceid.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"operations": [
"CreateGrant",
"Decrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyPair",
"GenerateDataKeyPairWithoutPlaintext",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
],
"granteePrincipal": "voiceid.amazonaws.com "
},
"responseElements": {
"grantId": "00000000000000000000000000000cce47be074a8c379ed39f22b155c6e86af82"
},
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T15:12:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "alias/sample-key-alias"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-12T23:59:34Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKeyWithoutPlaintext ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:26:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ ReEncrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"destinationEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationKeyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceAAD": "SampleSourceAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"destinationAAD": "SampleDestinationAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"sourceEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceKeyId": "arn:aws:kms:us-west-2:111122223333:key/55555555-3333-2222-1111-EXAMPLE22222"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-7777777777777"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
## Outbound Campaigns 저장 시 암호화
Outbound Campaigns은 고객 전화번호와 관련 속성을 저장합니다. 이 정보는 저장 시 항상 암호화되며, 고객 관리형 키 또는 AWS 소유 키를 사용합니다. 데이터는 Amazon Connect 인스턴스 ID로 구분되며 인스턴스별 키로 암호화됩니다.
Outbound Campaigns에 온보딩할 때 고유한 고객 관리형 키를 제공할 수 있습니다.
해당 서비스는 고객이 관리하는 키를 사용하여 저장 중인 민감한 데이터를 암호화합니다. 이 키는 사용자가 생성, 소유 및 완벽하게 관리하므로 사용 및 보안을 완벽하게 제어할 수 있습니다.
자체 고객 관리형 키를 제공하지 않으면 아웃바운드 캠페인은 인스턴스에 고유한 AWS 소유 키를 사용하여 저장된 민감한 데이터를 암호화합니다 Amazon Connect . AWS 소유 키는 확인, 관리, 사용 또는 감사할 수 없습니다. 그러나 데이터를 암호화하는 키를 보호하기 위해 별도의 조치를 취하거나 프로그램을 변경할 필요는 없습니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS 소유 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)를 참조세요.
AWS KMS 고객 관리형 키에는 요금이 적용됩니다. 요금에 대한 자세한 내용은 [AWS KMS 요금](https://aws.amazon.com/kms/pricing/)을 참조하세요.
### 아웃바운드 캠페인이에서 권한 부여를 사용하는 방법 AWS KMS
Outbound Campaigns은 고객 관리형 키를 사용하려면 권한 부여가 필요합니다. AWS 콘솔 또는 `StartInstanceOnboardingJob` API를 사용하여 아웃바운드 캠페인에 온보딩하면 아웃바운드 캠페인은 `CreateGrant` 요청을 전송하여 사용자를 대신하여 권한을 생성합니다 AWS KMS. 의 권한 부여 AWS KMS 는 Amazon Connect 아웃바운드 캠페인 서비스 연결 역할에 계정의 KMS 키에 대한 액세스 권한을 부여하는 데 사용됩니다.
Outbound Campaigns은 다음 내부 작업에 대해 고객 관리형 키를 사용할 수 있는 권한이 필요합니다.
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 요청을에 전송 AWS KMS 하여 제공된 대칭 고객 관리형 키 ID가 유효한지 확인합니다.
+ 고객 관리 키로 암호화된 데이터 키를 생성해 달라는 `GenerateDataKeyWithoutPlainText` 요청을 AWS KMS 로 보냅니다.
+ 데이터를 암호화하는 AWS KMS 데 사용할 수 있도록 암호화된 데이터 키를 복호화하기 위해에 `Decrypt` 요청을 보냅니다.
언제든지 보조금에 대한 접근 권한을 취소하거나, 아웃바운드 캠페인이 고객 관리형 키에 액세스하는 권한을 제거할 수 있습니다. 해당 설정을 적용할 경우, 아웃바운드 캠페인은 고객 관리형 키로 암호화된 데이터에 접근할 수 없게 되며, 이는 해당 데이터에 의존하는 작업에 영향을 미칩니다.
### 아웃바운드 캠페인에 대한 고객 관리형 키 정책
키 정책에서는 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 만들 때 키 정책을 지정할 수 있습니다. 자세한 내용은 **AWS Key Management Service 개발자 안내서의 [KMS 키에 대한 액세스 관리](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)를 참조하세요.
다음은 고객 관리형 키를 사용하여 아웃바운드 캠페인 [StartInstanceOnboardingJob](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_StartInstanceOnboardingJob.html),[PutDialRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutDialRequestBatch.html) 및 [PutOutboundRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutOutboundRequestBatch.html) API를 직접적으로 호출하는 데 필요한 권한을 사용자에게 부여하는 키 정책의 예입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect outbound campaigns.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "connect-campaigns.us-east-1.amazonaws.com",
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "InstanceID"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*"
],
"Resource": "*"
}
]
}
```
------
정책에서 권한을 지정하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 [IAM 정책 설명에서 KMS 키 지정](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)을 참조하세요.
키 액세스 문제 해결에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 [키 액세스 문제 해결을 참조하세요](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html).
### 아웃바운드 캠페인 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)는 데이터에 대한 추가 컨텍스트 정보를 포함하는 선택적 키-값 페어 세트입니다.는 암호화 컨텍스트를 [ 추가 인증 데이터](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html)로 AWS KMS 사용하여 [인증된 암호화](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)를 지원합니다.
데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우, AWS KMS 는 암호화된 데이터에 암호화 컨텍스트를 바인딩합니다. 데이터 복호화를 위해, 이 요청에 동일한 암호화 컨텍스트를 포함합니다.
아웃바운드 캠페인은 모든 AWS KMS 암호화 작업에서 동일한 암호화 컨텍스트를 사용합니다. 여기서 키는 aws:accountId 및 aws:connect:instanceId이고 값은 aws 계정 ID 및 Connect 인스턴스 ID입니다.
```
"encryptionContext": {
"aws:accountId": "111122223333",
"aws:connect:instanceId": "sample instance id"
}
```
감사 기록 및 로그의 암호화 컨텍스트를 사용하여 고객 관리형 키가 어떻게 사용되고 있는지 파악할 수도 있습니다. 암호화 컨텍스트는 CloudTrail 또는 Amazon CloudWatch 로그에서 생성한 로그에도 나타납니다.
#### 암호화 컨텍스트를 사용하여 고객 관리형 키에 대한 액세스 제어
그러나 키 정책 및 IAM 정책에서 암호화 컨텍스트를 조건으로 사용하여 대칭형 고객 관리형 키에 대한 액세스를 제어할 수도 있습니다. 또한 권한 부여에서 암호화 컨텍스트 제약 조건을 사용할 수 있습니다.
Outbound Campaigns은 권한 부여에서 암호화 컨텍스트 제약 조건을 사용하여 계정 및 리전에서 고객 관리형 키에 대한 액세스를 제어합니다. 권한 부여 제약 조건에 따라 권한 부여가 허용하는 작업은 지정된 암호화 컨텍스트를 사용해야 합니다.
다음은 특정 암호화 컨텍스트에서 고객 관리형 키에 대한 액세스 권한을 부여하는 키 정책 설명의 예입니다. 이 정책 설명의 조건에 따라 권한 부여에는 암호화 컨텍스트를 지정하는 암호화 컨텍스트 제약 조건이 있어야 합니다.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
}
}
}
```
### Outbound Campaigns에 대한 암호화 키 모니터링
아웃바운드 캠페인 리소스와 함께 AWS KMS 고객 관리형 키를 사용하는 경우 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 또는 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)를 사용하여 Amazon Location이 보내는 요청을 추적할 수 있습니다 AWS KMS.
다음 예제는 CreateGrant, GenerateDataKeyWithoutPlainText, DescribeKey 및 Decrypt에 대한 AWS CloudTrail 이벤트로, Amazon Location에서 호출한 KMS 작업을 모니터링하여 고객 관리형 키로 암호화된 데이터에 액세스합니다.
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
}
},
"granteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"retiringPrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"Encrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:586277393662:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"grantTokens": [
"EL7BPAGG-KDm8661M1pl55WcQD_9ZgFwYXN-SAMPLE"
]
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T19:09:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
## 예측, 용량 계획 및 일정
예측, 용량 계획 및 일정을 생성하면 저장된 암호화 키를 사용하여 저장 시 모든 데이터가 AWS 소유 키 암호화됩니다 AWS Key Management Service.
# Amazon Connect의 전송 중 암호화
Amazon Connect와 교환되는 모든 데이터는 업계 표준 TLS 암호화를 사용하여 사용자의 웹 브라우저와 Amazon Connect 간에 전송되는 동안 보호됩니다. [어떤 버전의 TLS인가요?](infrastructure-security.md#supported-version-tls)
외부 데이터는 AWS KMS에서 처리하는 동안 추가로 암호화됩니다.
Amazon Connect가 Amazon Kinesis 또는 AWS Lambda Amazon Polly와 같은 AWS 서비스와 통합되면 TLS를 사용하여 전송 중 데이터가 항상 암호화됩니다. Amazon Kinesis
이벤트 데이터가 외부 애플리케이션에서 Amazon Connect로 전달되는 경우, 데이터는 항상 TLS를 사용하여 전송 중에 암호화됩니다.
# Amazon Connect의 키 관리
자체 AWS KMS 키 가져오기(BYOK)를 포함하여 Amazon S3 입력/출력 버킷을 사용한 봉투 암호화에 사용할 키를 지정할 수 있습니다.
AWS KMS 키를 Amazon Connect의 S3 스토리지 위치에 연결하면 API 호출자의 권한(또는 콘솔 사용자의 권한)이 해당 Amazon Connect 인스턴스 서비스 역할이 피부여자 보안 주체인 키에 대한 권한 부여를 생성하는 데 사용됩니다. 해당 Amazon Connect 인스턴스에 고유한 서비스 연결 역할의 경우 권한 부여를 통해 역할이 암호화 및 복호화에 키를 사용할 수 있습니다. 예제:
+ [DisassociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_DisassociateInstanceStorageConfig.html) API를 호출하여 Amazon Connect의 S3 스토리지 위치에서 AWS KMS 키를 연결 해제하면 키에서 권한 부여가 제거됩니다.
+ [AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html) API를 호출하여 Amazon Connect의 S3 스토리지 위치에 AWS KMS 키를 연결하지만 `kms:CreateGrant` 권한이 없는 경우 연결이 실패합니다.
[https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html](https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html) CLI 명령을 사용하여 지정된 고객 관리형 키에 대한 모든 권한을 나열합니다.
AWS KMS 키에 대한 자세한 내용은 [란 무엇입니까 AWS Key Management Service?를 참조하세요.](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) *AWS Key Management Service 개발자 안내서*의 .
## AI 에이전트 연결
Connect AI 에이전트는 BYOK 또는 서비스 소유 키를 사용하여 저장 시 암호화된 지식 문서를 S3에 저장합니다. 기술 문서는 서비스 소유 키를 사용하여 Amazon OpenSearch Service에서 유휴 시 암호화됩니다. Connect AI 에이전트는 BYOK 또는 서비스 소유 키를 사용하여 에이전트 쿼리 및 통화 기록을 저장합니다.
Connect AI 에이전트가 사용하는 지식 문서는 AWS KMS 키로 암호화됩니다.
## Amazon AppIntegrations
Amazon AppIntegrations는 구성 데이터 암호화를 위한 BYOK를 지원하지 않습니다. 외부 애플리케이션 데이터를 동기화할 때는 주기적으로 BYOK를 해야 합니다. 고객 관리형 키를 사용하려면 Amazon AppIntegrations에 허가가 필요합니다. 데이터 통합을 생성하면 Amazon AppIntegrations가 사용자를 대신하여 AWS KMS 에 `CreateGrant` 요청을 보냅니다. 언제든지 권한 부여에 대한 액세스 권한을 취소하거나 고객 관리형 키에 대한 서비스 액세스를 제거할 수 있습니다. 그렇게 하면 Amazon AppIntegrations는 고객 관리형 키로 암호화된 데이터에 액세스할 수 없게 되며, 이는 해당 데이터에 종속된 Amazon Connect 서비스에 영향을 미칩니다.
## Customer Profiles
Customer Profiles의 경우 데이터를 암호화하는 데 사용할 AWS KMS 키를 지정할 수 있습니다. 고객 관리형 키를 지정하지 않으면 Amazon Connect Customer Profiles는 기본적으로 AWS소유 암호화 키를 사용하여 저장 데이터에 대한 암호화를 제공합니다.
새 도메인 또는 기존 도메인에 대해 데이터 스토어를 켜기 전에를 구성해야 합니다 AWS KMS key.
객체 유형에 대한 개별 KMS 키를 정의할 수도 있습니다. 고객 데이터를 암호화할 때 존재하는 경우 객체 유형 KMS 키를 사용합니다. 그렇지 않으면 도메인의 KMS 키를 사용합니다.
Data Vault를 활성화한 후에는 도메인 또는 객체 유형에 대한 KMS 키를 업데이트할 수 없습니다. 새 키로 새 객체 유형을 생성할 수 있지만 기존 키 설정은 수정할 수 없습니다.
## Voice ID
Amazon Connect Voice ID를 사용하려면 유휴 시 모든 고객 데이터를 암호화하는 데 사용되는 Amazon Connect Voice ID 도메인을 만들 때 고객 관리형 키 KMS 키(BYOK)를 반드시 제공해야 합니다.
## 아웃바운드 캠페인
아웃바운드 캠페인은 AWS 소유 키 또는 고객 관리형 키를 사용하여 모든 민감한 데이터를 암호화합니다. 고객 관리형 키는 사용자가 생성, 소유 및 관리하므로 고객 관리형 키(AWS KMS 요금 적용)를 완전히 제어할 수 있습니다.
# Amazon Connect 및 인터페이스 VPC 엔드포인트(AWS PrivateLink)
인터페이스 VPC 엔드포인트를 생성하여 VPC와 Amazon Connect의 엔드포인트 하위 집합 간에 프라이빗 연결을 설정할 수 있습니다. 다음은 지원되는 엔드포인트입니다.
+ Amazon AppIntegrations
+ Customer Profiles
+ 아웃바운드 캠페인
+ Voice ID
+ AI 에이전트 연결
+ Amazon Connect 서비스
인터페이스 엔드포인트는 인터넷 게이트웨이[AWS PrivateLink](https://aws.amazon.com/privatelink), NAT 디바이스, VPN 연결 또는 Direct Connect 연결 없이 비공개로 Amazon Connect APIs에 액세스할 수 있는 기술로 구동됩니다. VPC의 인스턴스는 AWS PrivateLink와 통합되는 Amazon Connect API와 통신하는 데 퍼블릭 IP 주소를 필요로 하지 않습니다.
자세한 정보는 [AWS PrivateLink 안내서](https://docs.aws.amazon.com/vpc/latest/privatelink/)를 참조하세요.
## Amazon Connect에 대한 인터페이스 VPC 엔드포인트 생성
Amazon VPC 콘솔 또는 AWS Command Line Interface (AWS CLI)를 사용하여 인터페이스 엔드포인트를 생성할 수 있습니다. 자세한 내용은 *AWS PrivateLink 설명서*의 [인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)을 참조하세요.
Amazon Connect는 다음과 같은 서비스 이름을 지원합니다.
+ com.amazonaws.*region*.app-integrations
+ com.amazonaws.*region*.cases
+ com.amazonaws.*region*.profile
+ com.amazonaws.*region*.connect-campaigns
+ com.amazonaws.*region*.voiceid
+ com.amazonaws.*region*.wisdom( Connect AI 에이전트용)
+ com.amazonaws.*region*.connect
+ com.amazonaws.*region*.connect-fips(FIPS(Federal Information Processing Standard)를 준수하는 Amazon Connect Service용 엔드포인트를 생성하기 위한 것입니다.)
인터페이스 엔드포인트에 대해 프라이빗 DNS를 사용 설정하는 경우, 리전의 기본 DNS 이름을 사용하여 Amazon Connect에 API 요청을 할 수 있습니다. 예: voiceid.us-east-1.amazonaws.com. 자세한 내용은 *AWS PrivateLink 안내서*에서 [DNS 호스트 이름](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#interface-endpoint-dns-hostnames)을 참조하세요.
## VPC 엔드포인트 정책 생성
액세스를 제어하는 VPC 엔드포인트에 엔드포인트 정책을 연결할 수 있습니다. 이 정책은 다음 정보를 지정합니다.
+ 작업을 수행할 수 있는 위탁자.
+ 수행할 수 있는 작업.
+ 작업을 수행할 수 있는 리소스
자세한 내용은 *AWS PrivateLink 안내서*의 [엔드포인트 정책을 사용하여 서비스에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)를 참조하세요.
### 예제: VPC 엔드포인트 정책
아래의 VPC 엔드포인트 정책은 모든 리소스의 모든 보안 주체에 대한 액세스 권한을 나열된 Amazon Connect Voice ID 작업에 부여합니다.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"voiceid:CreateDomain",
"voiceid:EvaluateSession",
"voiceid:ListSpeakers"
],
"Resource":"*",
"Principal":"*"
}
]
}
```
다음은 또다른 예제입니다. 이 정책에서 VPC 엔드포인트 정책은 모든 리소스의 모든 주체에 대해 나열된 아웃바운드 캠페인 작업에 대한 액세스 권한을 부여합니다.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"connect-campaigns:CreateCampaign",
"connect-campaigns:DeleteCampaign",
"connect-campaigns:ListCampaigns"
],
"Resource":"*",
"Principal":"*"
}
]
}
```
# Amazon Connect 서비스 개선 및 서비스 개선을 위해 데이터 사용을 옵트아웃하는 방법
Amazon Connect를 활성화하면 Amazon Connect에서 처리하는 사용자 콘텐츠를 사용하여 환경을 개발하고 개선할 수 있습니다.
AWS가 서비스 개선을 위해 콘텐츠를 사용하도록 허용하는 이점:
Amazon Connect를 개선하기 위해 콘텐츠를 사용할 수 있게 하면 더 빠르게 혁신하고, 요구 사항에 맞게 기능을 사용자 지정하고, 더 나은 지원을 제공할 수 있습니다. 보다 구체적으로 말하자면, 이를 통해 서비스를 다음과 같이 개선할 수 있습니다.
+ 더 스마트한 기능을 더 빠르게 제공 - 실제 사용 패턴 및 특정 요구 사항에 따라 Connect 개선
+ 문제 사전 예방 - 경험 및 비즈니스 성과에 영향을 미치기 전에 문제를 식별하고 해결합니다.
+ 더 빠른 문제 해결 - 더 빠르게 발생하는 문제를 진단하고 해결합니다.
이 모든 것이 Amazon Connect와 협력하여 비즈니스 성과를 지속적으로 개선하는 데 도움이 됩니다.
다음 Amazon Connect 기능이 활성화되면 사용자 콘텐츠를 사용하여 경험을 개발하고 개선할 수 있습니다. 이러한 기능 수준 옵트아웃은 2026년 3월 31일에 중단됩니다.
+ **Amazon Connect Contact Lens**
+ **Amazon Connect Customer Profiles**
+ **Amazon Connect 예측, 용량 계획 및 일정**
+ **아웃바운드 캠페인**
+ **AI 에이전트 연결**
Amazon 직원만 데이터에 액세스할 수 있습니다. 사용자의 신뢰, 개인 정보 보호 및 콘텐츠의 보안이 가장 중요하며, 사용자에 대한 당사의 약속을 준수하는지 확인합니다. 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요.
옵트아웃 정책을 사용하여 Amazon Connect를 개발하고 개선하는 데 데이터가 사용되는 것을 항상 AWS Organizations 옵트아웃하도록 선택할 수 있습니다. 옵트아웃(거부) 방법에 대한 자세한 내용은 **AWS Organizations 사용 설명서의 [AI 서비스 옵트아웃 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)을 참조하세요.
옵트아웃 상태를 확인하려면 조직에서 구성한 옵트아웃 정책을 검토하세요. 옵트아웃 정책 구문 및 예제에 대해 자세히 알아보려면 [여기를 클릭하세요](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html#ai-opt-out-policy-syntax-reference).
**참고**
옵트아웃 정책을 사용하려면에서 AWS 계정을 중앙에서 관리해야 합니다 AWS Organizations. AWS 계정에 대한 조직을 아직 생성하지 않은 경우 *AWS Organizations 사용 설명서*의 [조직 생성 및 관리를](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org) 참조하세요.
옵트아웃하면 다음과 같은 결과가 발생합니다.
+ 서비스 개선을 AWS 위해에서 데이터를 사용하지 않습니다.