客户管理的加密密钥 (CMEK)

默认情况下，客户体验数据分析会静态加密客户内容。CX Insights 会为您处理加密，您无需执行任何其他操作。此选项称为“Google 默认加密”。

如果您想要控制加密密钥，则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务（包括 CX Insights）搭配使用。使用 Cloud KMS 密钥时，您可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。此外，您还可使用 Cloud KMS 查看审核日志并控制密钥生命周期。这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称密钥加密密钥 (KEK)，而不是由 Google 拥有和管理这些密钥。

使用 CMEK 设置资源后，访问 CX Insights 资源的体验与使用 Google 默认加密功能类似。如需详细了解加密选项，请参阅客户管理的加密密钥 (CMEK)。

受保护数据

受支持位置中的所有 Insights 静态数据均可通过 CMEK 进行保护。

支持的位置

CMEK 在所有 Insights 位置（global 除外）均可用。

限制

对于涉及将数据传出到客户自有实例的其他 Google Cloud 产品的功能，请在相应的 Google Cloud 产品中配置 CMEK。

• 上传包含转写内容的音频：在 Cloud Speech-to-Text 中启用 CMEK
• 将对话导出到 BigQuery：在 BigQuery 表上启用 CMEK BigQuery

创建密钥

如需创建密钥，请使用 KMS 服务。如需相关说明，请参阅创建对称密钥。创建或选择密钥时，您必须配置以下内容：

• 请务必选择您用于数据洞见数据的位置，否则请求将失败。

在数据洞察中启用 CMEK

在特定位置创建任何数据洞见数据之前，您可以指定此位置的数据是否受客户管理的密钥保护（即启用 CMEK）。此时配置密钥。

前提条件

1. 使用 Google Cloud为您的项目创建数据洞见服务账号。如需了解详情，请参阅Google Cloud 服务身份文档。

   gcloud beta services identity create --service=contactcenterinsights.googleapis.com --project=PROJECT_ID
   

2. 向 CCAI CMEK 服务代理授予加密密钥的 Cloud KMS CryptoKey Encrypter/Decrypter 角色，以确保该服务代理拥有使用您的密钥进行加密和解密的权限。服务代理的电子邮件地址为：

   service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com

为“数据洞见”位置信息配置密钥

1. 使用 InitializeEncryptionSpec API 配置密钥。

   您需要提供以下变量：

   • PROJECT_ID：您的 Google Cloud 项目 ID
   • LOCATION_ID：您选择在数据洞见中启用 CMEK 的位置。
   • KMS_KEY_NAME：KMS 密钥的名称，该密钥将用于加密或解密所选位置的 Insights 数据。
     • KMS 密钥名称中的位置（例如 projects/<project_id>/locations/<location_id>/keyRings/<key_ring>/cryptoKeys/<key_name>）必须与您要启用 CMEK 的所选位置一致。
     • 您需要在前提条件步骤 2 中授予对该密钥的访问权限。

   例如：

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d '{ encryption_spec: { kms_key: "KMS_KEY_NAME" } }' \
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
   

   您应该收到类似以下内容的 JSON 响应：

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   }
   

2. 使用 GetOperation API 检查长时间运行的操作的结果。

   例如：

   curl -X GET \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \ 
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   

检查 CMEK 设置

使用 GetEncryptionSpec API 检查为某个位置配置的加密密钥。

例如：

  curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"

撤消密钥

如需撤消 Insights 对密钥的访问权限，您可以停用 KMS 密钥版本，也可以从 KMS 密钥中移除服务账号的 Cloud KMS CryptoKey Encrypter/Decrypter 角色。