客戶自行管理的加密金鑰 (CMEK)

根據預設，Customer Experience Insights 會加密靜態儲存的客戶內容。CX Insights 會為您處理加密作業，您不必採取其他動作。這項做法稱為「Google 預設加密機制」。

如要控管加密金鑰，您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK)，並搭配 CX Insights 等整合 CMEK 的服務。使用 Cloud KMS 金鑰可讓您控管保護等級、位置、輪替時間表、使用權限和存取權，以及加密範圍。使用 Cloud KMS 也能查看稽核記錄，以及控管金鑰生命週期。 您可以在 Cloud KMS 中控制及管理這些金鑰，而不是由 Google 擁有及管理用來保護您資料的對稱金鑰加密金鑰 (KEK)。

使用 CMEK 設定資源後，存取 CX Insights 資源的體驗與使用 Google 預設加密類似。如要進一步瞭解加密選項，請參閱「客戶自行管理的加密金鑰 (CMEK)」。

受保護的資料

您可以使用 CMEK 保護支援位置的所有 Insights 靜態資料。

支援的地區

CMEK 適用於所有 Insights 位置，但 global 除外。

限制

如果功能涉及將資料輸出至客戶擁有的其他 Google Cloud 產品執行個體，請在對應的 Google Cloud 產品中設定 CMEK。

• 上傳含轉錄稿的音訊：在 Cloud Speech-to-Text 中啟用 CMEK
• 將對話匯出至 BigQuery：在 BigQuery 資料表上啟用 CMEK BigQuery

建立金鑰

如要建立金鑰，請使用 KMS 服務。 如需操作說明，請參閱「建立對稱金鑰」。建立或選擇金鑰時，必須設定下列項目：

• 請務必選取用於洞察資料的位置，否則要求會失敗。

在 Insights 中啟用 CMEK

在特定位置建立任何洞察資料之前，您可以指定該位置的資料是否要受到客戶管理金鑰保護 (即啟用 CMEK)。請立即設定金鑰。

必要條件

1. 使用 Google Cloud為專案建立 Insights 服務帳戶。詳情請參閱Google Cloud 服務身分說明文件。

   gcloud beta services identity create --service=contactcenterinsights.googleapis.com --project=PROJECT_ID
   

2. 將加密金鑰的 Cloud KMS CryptoKey Encrypter/Decrypter 角色授予 CCAI CMEK 服務代理人，確保服務代理人有權使用您的金鑰加密及解密。服務代理的電子郵件地址為：

   service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com

設定洞察資料位置的金鑰

1. 使用 InitializeEncryptionSpec API 設定金鑰。

   您需要提供下列變數：

   • PROJECT_ID：您的 Google Cloud 專案 ID
   • LOCATION_ID：您選擇在 Insights 中啟用 CMEK 的位置。
   • KMS_KEY_NAME：KMS 金鑰名稱，用於加密或解密所選位置的 Insights 資料。
     • KMS 金鑰名稱中的位置 (例如 projects/<project_id>/locations/<location_id>/keyRings/<key_ring>/cryptoKeys/<key_name>) 必須與您要啟用 CMEK 的所選位置相符。
     • 您需要在事前準備步驟 2 中授予這組金鑰的存取權。

   例如：

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d '{ encryption_spec: { kms_key: "KMS_KEY_NAME" } }' \
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
   

   您應該會收到如下的 JSON 回覆：

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   }
   

2. 使用 GetOperation API 檢查長時間執行的作業結果。

   例如：

   curl -X GET \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \ 
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   

檢查 CMEK 設定

使用 GetEncryptionSpec API 檢查為位置設定的加密金鑰。

例如：

  curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"

撤銷金鑰

如要撤銷 Insights 的金鑰存取權，可以停用 KMS 金鑰版本，或從 KMS 金鑰移除服務帳戶的 Cloud KMS CryptoKey Encrypter/Decrypter 角色。