Claves de encriptación administradas por el cliente (CMEK)

De forma predeterminada, Customer Experience Insights encripta el contenido del cliente en reposo. CX Insights controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina encriptación predeterminada de Google.

Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido CX Insights. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.

Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de CX Insights es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).

Datos protegidos

Todos los datos en reposo de Insights en una ubicación admitida se pueden proteger con CMEK.

Ubicaciones admitidas

Las CMEK están disponibles en todas las ubicaciones de Insights, excepto en global.

Limitaciones

Para las funciones que implican la salida de datos a instancias propiedad del cliente de otro producto de Google Cloud , configura la CMEK en los productos de Google Cloud correspondientes.

• Sube audio con transcripción: habilita las CMEK en Cloud Speech-to-Text
• Exporta la conversación a BigQuery: Habilita la CMEK en la tabla de BigQuery BigQuery

Crea claves

Para crear claves, debes usar el servicio KMS. Para obtener instrucciones, consulta Crea claves simétricas. Cuando creas o eliges una clave, debes configurar lo siguiente:

• Asegúrate de seleccionar la ubicación que usas para tus datos de estadísticas. De lo contrario, las solicitudes fallarán.

Habilita CMEK en Insights

Antes de crear datos de Insights en una ubicación específica, puedes especificar si los datos de esa ubicación estarán protegidos por una clave administrada por el cliente (es decir, habilitar la CMEK). Configura tu llave en este momento.

Requisitos previos

1. Crea una cuenta de servicio de Insights para tu proyecto con Google Cloud. Para obtener más información, consulta la documentación sobre la identidad de los servicios deGoogle Cloud .

   gcloud beta services identity create --service=contactcenterinsights.googleapis.com --project=PROJECT_ID
   

2. Otorga al agente de servicio de CMEK de la CCAI el rol de Encriptador/Desencriptador de CryptoKey de Cloud KMS para tu clave de encriptación y, así, asegurarte de que el agente de servicio tenga permisos para encriptar y desencriptar con tu clave. La dirección de correo electrónico del agente de servicio es la siguiente:

   service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com

Configura una clave para una ubicación de Insights

1. Usa la API de InitializeEncryptionSpec para configurar la clave.

   Deberás proporcionar las siguientes variables:

   • PROJECT_ID: El ID de tu proyecto de Google Cloud
   • LOCATION_ID: Es la ubicación que elegiste para habilitar la CMEK en Insights.
   • KMS_KEY_NAME: Es el nombre de la clave de KMS que se usará para encriptar o desencriptar los datos de Insights en la ubicación seleccionada.
     • La ubicación en el nombre de la clave de KMS (p.ej., projects/<project_id>/locations/<location_id>/keyRings/<key_ring>/cryptoKeys/<key_name>) debe coincidir con la ubicación seleccionada en la que deseas habilitar CMEK.
     • Debes otorgar acceso a esta clave en el paso 2 de los requisitos previos.

   Por ejemplo:

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d '{ encryption_spec: { kms_key: "KMS_KEY_NAME" } }' \
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
   

   Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   }
   

2. Usa la API de GetOperation para verificar el resultado de la operación de larga duración.

   Por ejemplo:

   curl -X GET \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \ 
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   

Verifica la configuración de CMEK

Usa la API de GetEncryptionSpec para verificar la clave de encriptación configurada para una ubicación.

Por ejemplo:

  curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"

Revocar claves

Para revocar el acceso de Insights a la clave, puedes inhabilitar la versión de la clave de KMS o quitar el rol de encriptador/desencriptador de CryptoKey de Cloud KMS de la cuenta de servicio de la clave de KMS.