Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)

Por padrão, o Customer Experience Insights criptografa o conteúdo do cliente em repouso. O CX Insights executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o CX Insights. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Com o Cloud KMS, também é possível visualizar registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do CX Insights é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Dados protegidos

Todos os dados em repouso do Insights em um local compatível podem ser protegidos com CMEKs.

Locais suportados

A CMEK está disponível em todos os locais do Insights, exceto global.

Limitações

Para recursos que envolvem saída de dados para instâncias de outro produto Google Cloud de propriedade do cliente, configure a CMEK nos produtos Google Cloud correspondentes.

• Fazer upload de áudio com transcrição: ativar a CMEK no Cloud Speech-to-Text
• Exportar conversa para o BigQuery: ative a CMEK na tabela do BigQuery BigQuery

Criar chaves

Para criar chaves, use o serviço KMS. Para instruções, consulte Como criar chaves simétricas. Ao criar ou escolher uma chave, você precisa configurar o seguinte:

• Certifique-se de selecionar o local que você usa para seus dados do Insights, caso contrário, as solicitações vão falhar.

Ativar a CMEK no Insights

Antes de criar dados do Insights em um local específico, é possível especificar se os dados nesse local serão protegidos por uma chave gerenciada pelo cliente (ou seja, ativar a CMEK). Configure sua chave no momento.

Pré-requisitos

1. Crie uma conta de serviço do Insights para seu projeto com Google Cloud. Para mais informações, consulte a documentação de identidade dos serviços doGoogle Cloud .

   gcloud beta services identity create --service=contactcenterinsights.googleapis.com --project=PROJECT_ID
   

2. Conceda ao agente de serviço da CMEK da CCAI o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS para sua chave de criptografia. Assim, o agente de serviço terá permissões para criptografar e descriptografar com sua chave. O endereço de e-mail do agente de serviço é:

   service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com

Configurar uma chave para um local do Insights

1. Use a API InitializeEncryptionSpec para configurar a chave.

   Você precisará fornecer as seguintes variáveis:

   • PROJECT_ID: o ID do projeto do Google Cloud
   • LOCATION_ID: o local escolhido para ativar a CMEK no Insights.
   • KMS_KEY_NAME: o nome da sua chave do KMS que será usada para criptografar ou descriptografar dados do Insights no local selecionado.
     • O local no nome da chave do KMS (por exemplo, projects/<project_id>/locations/<location_id>/keyRings/<key_ring>/cryptoKeys/<key_name>) precisa corresponder ao local selecionado em que você quer ativar a CMEK.
     • Você precisa conceder acesso a essa chave na etapa 2 dos pré-requisitos.

   Exemplo:

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d '{ encryption_spec: { kms_key: "KMS_KEY_NAME" } }' \
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
   

   Você receberá uma resposta JSON semelhante a esta:

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   }
   

2. Use a API GetOperation para verificar o resultado da operação de longa duração.

   Exemplo:

   curl -X GET \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \ 
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   

Verificar as configurações da CMEK

Use a API GetEncryptionSpec para verificar a chave de criptografia configurada para um local.

Exemplo:

  curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"

Revogar chaves

Para revogar o acesso do Insights à chave, desative a versão da chave do KMS ou remova o papel Criptografador/descriptografador da CryptoKey do Cloud KMS da conta de serviço na chave do KMS.