Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

Customer Experience Insights verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird von CX Insights für Sie übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie CX Insights verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre CX Insights-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Geschützte Daten

Alle inaktiven Insights-Daten an einem unterstützten Standort können mit CMEKs geschützt werden.

Unterstützte Standorte

CMEK ist an allen Insights-Standorten mit Ausnahme von global verfügbar.

Beschränkungen

Für Funktionen, bei denen Daten an kundeneigene Instanzen eines anderen Google Cloud -Produkts übertragen werden, konfigurieren Sie CMEK in den entsprechenden Google Cloud -Produkten.

• Audio mit Transkription hochladen: CMEK in Cloud Speech-to-Text aktivieren
• Unterhaltung nach BigQuery exportieren: CMEK für die BigQuery-Tabelle aktivieren BigQuery

Schlüssel erstellen

Zum Erstellen von Schlüsseln verwenden Sie den KMS-Dienst. Eine Anleitung finden Sie unter Symmetrische Schlüssel erstellen. Beim Erstellen oder Auswählen eines Schlüssels müssen Sie Folgendes konfigurieren:

• Wählen Sie unbedingt den Standort aus, den Sie für Ihre Insights-Daten verwenden. Andernfalls schlagen Anfragen fehl.

CMEK in Insights aktivieren

Bevor Sie Insights-Daten an einem bestimmten Speicherort erstellen, können Sie angeben, ob die Daten an diesem Speicherort durch einen vom Kunden verwalteten Schlüssel geschützt werden sollen (d.h. CMEK aktivieren). Konfigurieren Sie Ihren Schlüssel.

Vorbereitung

1. Erstellen Sie mit Google Cloudein Insights-Dienstkonto für Ihr Projekt. Weitere Informationen finden Sie in der Dokumentation zur Identität vonGoogle Cloud -Diensten.

   gcloud beta services identity create --service=contactcenterinsights.googleapis.com --project=PROJECT_ID
   

2. Weisen Sie dem CCAI CMEK-Dienst-Agent die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler für Ihren Verschlüsselungsschlüssel zu, damit der Dienst-Agent die Berechtigungen zum Verschlüsseln und Entschlüsseln mit Ihrem Schlüssel hat. Die E-Mail-Adresse des Dienst-Agents lautet:

   service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com

Schlüssel für einen Insights-Standort konfigurieren

1. Verwenden Sie die InitializeEncryptionSpec API, um den Schlüssel zu konfigurieren.

   Sie müssen die folgenden Variablen angeben:

   • PROJECT_ID: Ihre Google Cloud Projekt-ID
   • LOCATION_ID: Der Standort, den Sie für die Aktivierung von CMEK in Insights ausgewählt haben.
   • KMS_KEY_NAME: Der Name des KMS-Schlüssels, der zum Verschlüsseln oder Entschlüsseln von Insights-Daten am ausgewählten Standort verwendet wird.
     • Der Standort im KMS-Schlüsselnamen (z.B. projects/<project_id>/locations/<location_id>/keyRings/<key_ring>/cryptoKeys/<key_name>) muss mit dem ausgewählten Standort übereinstimmen, für den Sie CMEK aktivieren möchten.
     • Sie müssen den Zugriff auf diesen Schlüssel in Schritt 2 der Voraussetzungen gewähren.

   Beispiel:

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d '{ encryption_spec: { kms_key: "KMS_KEY_NAME" } }' \
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
   

   Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   }
   

2. Mit der GetOperation API können Sie das Ergebnis des Vorgangs mit langer Ausführungszeit prüfen.

   Beispiel:

   curl -X GET \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \ 
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   

CMEK-Einstellungen prüfen

Mit der GetEncryptionSpec API können Sie den für einen Standort konfigurierten Verschlüsselungsschlüssel prüfen.

Beispiel:

  curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"

Schlüssel widerrufen

Wenn Sie den Zugriff von Insights auf den Schlüssel widerrufen möchten, können Sie die KMS-Schlüsselversion deaktivieren oder die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler des Dienstkontos für den KMS-Schlüssel entfernen.