고객 관리 암호화 키(CMEK)

기본적으로 Customer Experience Insights는 저장된 고객 콘텐츠를 암호화합니다. CX Insights는 사용자 측의 추가 작업 없이 자동으로 암호화를 처리합니다. 이 옵션을 Google 기본 암호화라고 합니다.

암호화 키를 제어하려면 CX Insights를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키(CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 감사 로그를 보고 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키(KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.

CMEK로 리소스를 설정한 후 CX Insights 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.

보호된 데이터

지원되는 위치의 모든 Insights 저장 데이터를 CMEK로 보호할 수 있습니다.

지원되는 위치

CMEK는 global를 제외한 모든 Insights 위치에서 사용할 수 있습니다.

제한사항

다른 Google Cloud 제품의 고객 소유 인스턴스로 데이터가 나가는 기능의 경우 해당 Google Cloud 제품에서 CMEK를 구성합니다.

• 텍스트 변환이 포함된 오디오 업로드: Cloud Speech-to-Text에서 CMEK 사용 설정
• BigQuery로 대화 내보내기: BigQuery 테이블에서 CMEK 사용 설정 BigQuery

키 만들기

키를 만들려면 KMS 서비스를 사용합니다. 자세한 내용은 대칭 키 만들기를 참조하세요. 키를 만들거나 선택할 때는 다음을 구성해야 합니다.

• Insights 데이터에 사용하는 위치를 선택해야 합니다. 그렇지 않으면 요청이 실패합니다.

Insights에서 CMEK 사용 설정

특정 위치에 통계 데이터를 만들기 전에 이 위치의 데이터를 고객 관리 키로 보호할지 (즉, CMEK 사용 설정) 지정할 수 있습니다. 이때 키를 구성합니다.

기본 요건

1. Google Cloud로 프로젝트의 Insights 서비스 계정을 만듭니다. 자세한 내용은 Google Cloud 서비스 ID 문서를 참고하세요.

   gcloud beta services identity create --service=contactcenterinsights.googleapis.com --project=PROJECT_ID
   

2. 암호화 키에 대한 Cloud KMS CryptoKey 암호화/복호화 역할을 CCAI CMEK 서비스 에이전트에 부여하여 서비스 에이전트가 키를 사용하여 암호화하고 복호화할 수 있는 권한을 갖도록 합니다. 서비스 에이전트의 이메일 주소는 다음과 같습니다.

   service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com

Insights 위치의 키 구성

1. InitializeEncryptionSpec API를 사용하여 키를 구성합니다.

   다음 변수를 제공해야 합니다.

   • PROJECT_ID: Google Cloud 프로젝트 ID
   • LOCATION_ID: Insights에서 CMEK를 사용 설정하기 위해 선택한 위치입니다.
   • KMS_KEY_NAME: 선택한 위치에서 Insights 데이터를 암호화하거나 복호화하는 데 사용될 KMS 키의 이름입니다.
     • KMS 키 이름의 위치 (예: projects/<project_id>/locations/<location_id>/keyRings/<key_ring>/cryptoKeys/<key_name>)는 CMEK를 사용 설정하려는 선택한 위치와 일치해야 합니다.
     • 기본 요건 2단계에서 이 키에 대한 액세스 권한을 부여해야 합니다.

   예를 들면 다음과 같습니다.

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d '{ encryption_spec: { kms_key: "KMS_KEY_NAME" } }' \
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
   

   다음과 비슷한 JSON 응답이 표시됩니다.

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   }
   

2. GetOperation API를 사용하여 장기 실행 작업 결과를 확인합니다.

   예를 들면 다음과 같습니다.

   curl -X GET \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \ 
       "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   

CMEK 설정 확인

GetEncryptionSpec API를 사용하여 위치에 구성된 암호화 키를 확인합니다.

예를 들면 다음과 같습니다.

  curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://contactcenterinsights.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"

키 취소

키에 대한 Insights 액세스 권한을 취소하려면 KMS 키 버전을 사용 중지하거나 KMS 키에서 서비스 계정의 Cloud KMS CryptoKey 암호화/복호화 역할을 삭제하면 됩니다.