会話にAWS KMSの共通鍵を使用する

前提条件
  • 会話 >> 暗号化キー >> 編集 許可
  • 会話 >> 暗号化キー >> 意見 許可

AWS KMSで管理される対称鍵は、お客様が保護された会話データの暗号化および復号化を設定することができます。 Genesys Cloudは、KMSにあるお客様の対称鍵からデータ鍵を生成します。 お客様との会話データは、このデータキーで暗号化されています。 会話データを復号化するために、Genesys CloudはKMSに関連するデータ・キーの復号化を要求する。 リクエストが承認されると、データは復号化される。

  1. AWSアカウントにカスタマーマネージドキー を作成します。
  2. Genesys Cloud(アカウントID 765628985471)にアクセスを許可するようキーポリシーを編集し、Genesys CloudがKMSキーにアクセスできるようにします。
  3. キーポリシーを編集して、Genesys Cloud組織から開始されたリクエストのみを許可する条件を含めます。

以下は、キーポリシーの例です。

{
     "Sid": "キーの使用を許可する",
     "効果": "Allow"、
     "Principal": {
         "AWS"。 [
              "arn:aws:iam::765628985471:root"
         ]
     },
     "Action"。 [
         "kms:Encrypt",
         "kms:Decrypt",
         "kms:GenerateDataKey*",
         "kms:DescribeKey"
     ],
     "Resource "です。 "*",
     "条件": {
          "StringEquals": {
                 "kms:EncryptionContext:genesys-cloud-organization-id"。 ["orgId1", "orgId2", ...]
        }
     }.

  1. Admin > Quality > Encryption Keys をクリックします。
  2. Conversations タブを選択し、Edit をクリックします。 
  3. Key Configuration Type ドロップダウンリストから、AWS KMS Symmetric を選択します。
  4. KMSキーに関連付けられているエイリアスARNを 生成するためのAWSKMSキーエイリアスのARN 顧客が保護するデータ テキストボックス。
    キーエイリアスARNは、AWS KMSコンソールで確認できます。"arn:aws:kms:{region}:{accountId}:alias/{your-alias}" のように表示されます。
  5. Test ボタンをクリックすると、設定を保存せずに検証することができます。 このテストでは、指定したKMSキーからデータキーペアを生成し、テストデータを暗号化、復号化し、テストデータが開始時と同じように出力されたことを保証します。 これにより、安全に使用できるコンフィギュレーションを確保することができます。
  6. 保存 をクリックして、設定を保存します。 

画像をクリックして拡大します。

 メモ:  
  • 機密性の高い会話データの暗号化を停止するには、鍵設定タイプ ドロップダウンリストから、なし を選択し、保存 をクリックします。
    このアクションは、会話のための暗号化キーの設定を削除します。
  • 新しいキーにローテートした場合、Genesys Cloudに新しいキーが反映されるまで最大2時間かかります。
  • 古い鍵は少なくとも31日間保存し、既存の顧客保護された会話データを引き続き復号化できるようにします。