Clés de chiffrement gérées par le client (CMEK)

Par défaut, Customer Experience Insights chiffre le contenu client au repos. CX Insights gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris CX Insights. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources CX Insights est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Données protégées

Toutes les données au repos Insights dans une région compatible peuvent être protégées par des CMEK.

Emplacements acceptés

CMEK est disponible dans tous les emplacements Insights, à l'exception de global.

Limites

Pour les fonctionnalités impliquant la sortie de données vers des instances appartenant au client d'un autre produit Google Cloud , configurez CMEK dans les produits Google Cloud correspondants.

• Importer des fichiers audio avec transcription : activer CMEK dans Cloud Speech-to-Text
• Exporter une conversation vers BigQuery : activer CMEK sur la table BigQuery BigQuery

Créer des clés

Pour créer des clés, vous devez utiliser le service KMS. Pour obtenir des instructions, consultez la section Créer des clés symétriques. Lorsque vous créez ou choisissez une clé, vous devez configurer les éléments suivants :

• Assurez-vous de sélectionner l'emplacement que vous utilisez pour vos données Insights. Sinon, les requêtes échoueront.

Activer CMEK dans Insights

Avant de créer des données Insights dans un emplacement spécifique, vous pouvez indiquer si les données de cet emplacement seront protégées par une clé gérée par le client (c'est-à-dire activer la CMEK). Configurez votre clé à ce stade.

Prérequis

1. Créez un compte de service Insights pour votre projet avec Google Cloud. Pour en savoir plus, consultez la documentation sur l'identité des servicesGoogle Cloud .

   gcloud beta services identity create --service=contactcenterinsights.googleapis.com --project=PROJECT_ID
   

2. Accordez à l'agent de service CMEK CCAI le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS pour votre clé de chiffrement. Ainsi, l'agent de service disposera des autorisations nécessaires pour chiffrer et déchiffrer les données avec votre clé. L'adresse e-mail de l'agent de service est la suivante :

   service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com

Configurer une clé pour un emplacement Insights

1. Utilisez l'API InitializeEncryptionSpec pour configurer la clé.

   Vous devrez fournir les variables suivantes :

   • PROJECT_ID : ID de votre projet Google Cloud
   • LOCATION_ID : emplacement que vous avez choisi pour activer CMEK dans Insights.
   • KMS_KEY_NAME : nom de votre clé KMS qui sera utilisée pour chiffrer ou déchiffrer les données Insights à l'emplacement sélectionné.
     • L'emplacement dans le nom de la clé KMS (par exemple, projects/<project_id>/locations/<location_id>/keyRings/<key_ring>/cryptoKeys/<key_name>) doit correspondre à l'emplacement sélectionné pour lequel vous souhaitez activer CMEK.
     • Vous devez accorder l'accès à cette clé à l'étape 2 des conditions préalables.

   Exemple :

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d '{ encryption_spec: { kms_key: "KMS_KEY_NAME" } }' \
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
   

   Vous devriez recevoir une réponse JSON de ce type :

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   }
   

2. Utilisez l'API GetOperation pour vérifier le résultat de l'opération de longue durée.

   Exemple :

   curl -X GET \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \ 
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   

Vérifier les paramètres CMEK

Utilisez l'API GetEncryptionSpec pour vérifier la clé de chiffrement configurée pour un emplacement.

Exemple :

  curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"

Révoquer des clés

Pour révoquer l'accès d'Insights à la clé, vous pouvez désactiver la version de la clé KMS ou supprimer le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS du compte de service de la clé KMS.