本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Connect 中的金鑰管理
<a name="key-management"></a>

您可以指定 AWS KMS 金鑰，包括自備金鑰 (BYOK)，以使用 Amazon S3 輸入/輸出儲存貯體進行信封加密。

當您將 AWS KMS 金鑰與 Amazon Connect 中的 S3 儲存位置建立關聯時，API 發起人的許可 （或主控台使用者的許可） 會用來在金鑰上建立授予，並將對應的 Amazon Connect 執行個體服務角色做為承授者主體。對於該 Amazon Connect 執行個體的服務連結角色，授權允許該角色使用金鑰進行加密和解密。例如：
+ 如果您呼叫 [DisassociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_DisassociateInstanceStorageConfig.html) API 來取消 AWS KMS 金鑰與 Amazon Connect 中 S3 儲存位置的關聯，則會從金鑰中移除授予。
+ 如果您呼叫 [AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html) API，將 AWS KMS 金鑰與 Amazon Connect 中的 S3 儲存位置建立關聯，但您沒有 `kms:CreateGrant`許可，則關聯將會失敗。

使用 [https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html](https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html) CLI 命令列出指定 客戶受管金鑰的所有授權。

如需 AWS KMS 金鑰的相關資訊，請參閱[什麼是 AWS Key Management Service？](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 中的 *AWS Key Management Service 開發人員指南*。

## 連接 AI 代理器
<a name="key-management-qic"></a>

Connect AI 代理器會使用 BYOK 或服務擁有的金鑰，將靜態加密的知識文件存放在 S3 中。知識文件會使用服務擁有的金鑰，在 Amazon OpenSearch Service 中進行靜態加密。Connect AI 代理器會使用 BYOK 或服務擁有的金鑰來存放代理程式查詢和呼叫文字記錄。

Connect AI 代理器使用的知識文件由 AWS KMS 金鑰加密。

## Amazon AppIntegrations
<a name="key-management-appinteg"></a>

Amazon AppIntegrations 不支援 BYOK 來加密組態資料。同步外部應用程式資料時，您必須定期使用 BYOK。Amazon AppIntegrations 需要授予才能使用客戶受管金鑰。當您建立資料整合時，Amazon AppIntegrations AWS KMS 會代表您將`CreateGrant`請求傳送至 。您可以隨時撤銷授予的存取權，或移除服務對客戶受管金鑰的存取權。如果您這麼做，Amazon AppIntegrations 將無法存取由客戶受管金鑰所加密的任何資料，因為這會影響 Amazon Connect 服務與該資料的相依性。

## 客戶設定檔
<a name="key-management-profiles"></a>

對於客戶設定檔，您可以指定用於加密資料的 AWS KMS 金鑰。如果您未指定客戶受管金鑰，Amazon Connect Customer Profiles 預設會使用 AWS擁有的加密金鑰，為您的靜態資料提供加密。

為新的或現有的網域開啟資料存放區之前，您必須設定 AWS KMS key。

您也可以為您的物件類型定義個別 KMS 金鑰。加密客戶資料時，如果存在，我們會使用物件類型 KMS 金鑰。否則，我們使用網域的 KMS 金鑰。

啟用 Data Vault 之後，您就無法更新網域或物件類型的 KMS 金鑰。雖然您可以使用新金鑰建立新的物件類型，但您無法修改現有的金鑰設定。

## Voice ID
<a name="key-management-voiceid"></a>

 若要使用 Amazon Connect Voice ID，必須在建立 Amazon Connect Voice ID 網域時提供客戶受管金鑰 KMS 金鑰 (BYOK)，該網域用於加密客戶所有的靜態資料。

## 傳出活動
<a name="key-management-outboundcampaigns"></a>

傳出行銷活動會使用 AWS 擁有的金鑰 或客戶受管金鑰加密所有敏感資料。當您建立、擁有和管理客戶受管金鑰時，您可以完全控制客戶受管金鑰 （需AWS KMS 付費）。