Chiavi di crittografia gestite dal cliente (CMEK)

Per impostazione predefinita, Customer Experience Insights cripta i contenuti inattivi dei clienti. CX Insights gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui CX Insights. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse CX Insights è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, vedi Chiavi di crittografia gestite dal cliente (CMEK).

Dati protetti

Tutti i dati at-rest di Insights in una località supportata possono essere protetti con le chiavi CMEK.

Località supportate

La chiave di crittografia gestita dal cliente è disponibile in tutte le posizioni di Insights, ad eccezione di global.

Limitazioni

Per le funzionalità che prevedono l'uscita dei dati verso istanze di un altro prodotto di proprietà del cliente, configura CMEK nei prodotti corrispondenti. Google Cloud Google Cloud

• Carica l'audio con la trascrizione: attiva CMEK in Cloud Speech-to-Text
• Esportare la conversazione in BigQuery: attiva CMEK nella tabella BigQuery BigQuery

Crea chiavi

Per creare le chiavi, utilizza il servizio KMS. Per le istruzioni, vedi Creare chiavi simmetriche. Quando crei o scegli una chiave, devi configurare quanto segue:

• Assicurati di selezionare la posizione che utilizzi per i dati degli approfondimenti, altrimenti le richieste non andranno a buon fine.

Attivare CMEK in Approfondimenti

Prima di creare dati di Insights in una posizione specifica, puoi specificare se i dati in questa posizione saranno protetti da una chiave gestita dal cliente (ovvero attivare CMEK). Configura la chiave in questo momento.

Prerequisiti

1. Crea un account di servizio Insights per il tuo progetto con Google Cloud. Per saperne di più, consulta la documentazione sull'identità dei servizi.Google Cloud

   gcloud beta services identity create --service=contactcenterinsights.googleapis.com --project=PROJECT_ID
   

2. Concedi al service agent CMEK di CCAI il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per la tua chiave di crittografia per assicurarti che il service agent disponga delle autorizzazioni per criptare e decriptare con la tua chiave. L'indirizzo email dell'agente di servizio è:

   service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com

Configura una chiave per una posizione di Insights

1. Utilizza l'API InitializeEncryptionSpec per configurare la chiave.

   Dovrai fornire le seguenti variabili:

   • PROJECT_ID: il tuo Google Cloud ID progetto
   • LOCATION_ID: la località che hai scelto per abilitare CMEK in Insights.
   • KMS_KEY_NAME: il nome della chiave KMS che verrà utilizzata per criptare o decriptare i dati di Insights nella località selezionata.
     • La località nel nome della chiave KMS (ad es. projects/<project_id>/locations/<location_id>/keyRings/<key_ring>/cryptoKeys/<key_name>) deve corrispondere alla località selezionata per cui vuoi abilitare CMEK.
     • Devi concedere l'accesso a questa chiave nel passaggio 2 dei prerequisiti.

   Ad esempio:

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d '{ encryption_spec: { kms_key: "KMS_KEY_NAME" } }' \
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
   

   Dovresti ricevere una risposta JSON simile alla seguente:

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   }
   

2. Utilizza l'API GetOperation per controllare il risultato dell'operazione a lunga esecuzione.

   Ad esempio:

   curl -X GET \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \ 
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   

Controllare le impostazioni CMEK

Utilizza l'API GetEncryptionSpec per controllare la chiave di crittografia configurata per una località.

Ad esempio:

  curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"

Revoca chiavi

Per revocare l'accesso di Insights alla chiave, puoi disattivare la versione della chiave KMS o rimuovere il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS del account di servizio dalla chiave KMS.