本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Connect 中的密钥管理
<a name="key-management"></a>

您可以指定 AWS KMS 密钥，包括自带密钥 (BYOK)，用于对 Amazon S3 存储 input/output 桶进行信封加密。

当您将 AWS KMS 密钥与 Amazon Connect 中的 S3 存储位置关联时，API 调用者的权限（或控制台用户的权限）将使用相应的 Amazon Connect 实例服务角色作为被授权者委托人创建对密钥的授权。对于特定于 Amazon Connect 实例的服务相关角色，此授权允许角色使用密钥进行加密和解密。例如：
+ 如果您调用 [DisassociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_DisassociateInstanceStorageConfig.html)API 将 AWS KMS 密钥与 Amazon Connect 中的 S3 存储位置断开关联，则会从密钥中移除授权。
+ 如果您调用 [AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html)API 将 AWS KMS 密钥关联到 Amazon Connect 中的 S3 存储位置，但您没有`kms:CreateGrant`权限，则关联将失败。

使用 [https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html](https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html) CLI 命令列出指定 客户托管式密钥的所有授权。

有关 AWS KMS 密钥的信息，请参阅[什么是 AWS Key Management Service？](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 在《*AWS 密钥管理服务开发人员指南》*中。

## Connect 人工智能代理
<a name="key-management-qic"></a>

Connect AI 代理使用 BYOK 或服务拥有的密钥将静态加密的知识文档存储在 S3 中。知识文档在 Amazon OpenSearch 服务中使用服务拥有的密钥进行静态加密。Connect AI 代理使用 BYOK 或服务拥有的密钥存储代理查询和通话记录。

Connect AI 代理使用的知识文档由 AWS KMS 密钥加密。

## Amazon AppIntegrations
<a name="key-management-appinteg"></a>

Amazon AppIntegrations 不支持 BYOK 对配置数据进行加密。当同步外部应用程序数据时，需要定期执行 BYOK。Amazon AppIntegrations 需要获得授权才能使用您的客户托管密钥。当您创建数据集成时，Amazon AppIntegrations 会代表您向发送`CreateGrant`请求。 AWS KMS 您可以随时撤销授予访问权限，或删除服务对客户托管密钥的访问权限。如果您这样做，亚马逊将 AppIntegrations 无法访问由客户托管密钥加密的任何数据，这会影响依赖该数据的Amazon Connect服务。

## Customer Profiles
<a name="key-management-profiles"></a>

对于客户档案，您可以指定用于加密数据的 AWS KMS 密钥。如果您未指定客户托管密钥，Amazon Connect 客户档案会默认使用 AWS自有的加密密钥为您的静态数据提供加密。

在为新域或现有域开启数据存储之前，必须配置 AWS KMS key。

您也可以为对象类型定义单独的 KMS 密钥。加密客户数据时，我们会使用对象类型 KMS 密钥（如果有）。否则，我们将使用域名的 KMS 密钥。

启用 Data Vault 后，您无法更新您的域名或对象类型的 KMS 密钥。虽然您可以使用新密钥创建新的对象类型，但不能修改现有的按键设置。

## Voice ID
<a name="key-management-voiceid"></a>

 要使用 Amazon Connect Voice ID，在创建 Amazon Connect Voice ID 域时必须提供客户托管密钥 KMS 密钥（BYOK），该密钥用于静态加密所有客户数据。

## 出站活动
<a name="key-management-outboundcampaigns"></a>

出站活动使用 AWS 拥有的密钥 或客户托管密钥对所有敏感数据进行加密。由于客户托管密钥由您创建、拥有和管理，因此您可以完全控制客户托管密钥（AWS KMS 收费）。