Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Secara default, Customer Experience Insights mengenkripsi konten pelanggan dalam penyimpanan. CX Insights menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk CX Insights. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource CX Insights Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Data yang dilindungi

Semua data Insights dalam penyimpanan di lokasi yang didukung dapat dilindungi dengan CMEK.

Lokasi yang Didukung

CMEK tersedia di semua lokasi Insight, kecuali global.

Batasan

Untuk fitur yang melibatkan keluar data ke instance milik pelanggan dari produk lain, konfigurasi CMEK di produk yang sesuai. Google Cloud Google Cloud

• Mengupload audio dengan transkripsi: mengaktifkan CMEK di Cloud Speech-to-Text
• Mengekspor percakapan ke BigQuery: mengaktifkan CMEK di tabel BigQuery BigQuery

Membuat kunci

Untuk membuat kunci, Anda menggunakan layanan KMS. Untuk mengetahui petunjuknya, lihat Membuat kunci simetris. Saat membuat atau memilih kunci, Anda harus mengonfigurasi hal berikut:

• Pastikan untuk memilih lokasi yang Anda gunakan untuk data Insight, jika tidak, permintaan akan gagal.

Mengaktifkan CMEK di Insights

Sebelum membuat data Insight di lokasi tertentu, Anda dapat menentukan apakah data di lokasi ini akan dilindungi oleh kunci yang dikelola pelanggan (yaitu mengaktifkan CMEK). Konfigurasi kunci Anda saat ini.

Prasyarat

1. Buat akun layanan Insights untuk project Anda dengan Google Cloud. Untuk mengetahui informasi selengkapnya, lihat dokumentasi identitas layananGoogle Cloud .

   gcloud beta services identity create --service=contactcenterinsights.googleapis.com --project=PROJECT_ID
   

2. Berikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS untuk kunci enkripsi Anda kepada agen layanan CCAI CMEK guna memastikan bahwa agen layanan akan memiliki izin untuk mengenkripsi dan mendekripsi dengan kunci Anda. Alamat email untuk agen layanan adalah:

   service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com

Mengonfigurasi kunci untuk lokasi Insight

1. Gunakan InitializeEncryptionSpec API untuk mengonfigurasi kunci.

   Anda harus memberikan variabel berikut:

   • PROJECT_ID: Project ID Google Cloud Anda
   • LOCATION_ID: lokasi yang Anda pilih untuk mengaktifkan CMEK di Insights.
   • KMS_KEY_NAME: nama kunci KMS Anda yang akan digunakan untuk mengenkripsi atau mendekripsi data Insight di lokasi yang dipilih.
     • Lokasi dalam nama kunci KMS (misalnya, projects/<project_id>/locations/<location_id>/keyRings/<key_ring>/cryptoKeys/<key_name>) harus cocok dengan lokasi yang dipilih tempat Anda ingin mengaktifkan CMEK.
     • Anda harus memberikan akses ke kunci ini di langkah 2 prasyarat.

   Contoh:

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d '{ encryption_spec: { kms_key: "KMS_KEY_NAME" } }' \
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
   

   Anda akan melihat respons JSON seperti berikut:

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   }
   

2. Gunakan GetOperation API untuk memeriksa hasil operasi yang berjalan lama.

   Contoh:

   curl -X GET \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \ 
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   

Periksa Setelan CMEK

Gunakan GetEncryptionSpec API untuk memeriksa kunci enkripsi yang dikonfigurasi untuk suatu lokasi.

Contoh:

  curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"

Mencabut kunci

Untuk mencabut akses Insight ke kunci, Anda dapat menonaktifkan versi kunci KMS atau menghapus peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS akun layanan dari kunci KMS.