録画にAWS KMSの共通鍵を使用する

前提条件
  • Recording > Encryption key > Edit 権限
  • 録画 >暗号化キー >閲覧 許可

AWS KMS を Genesys Cloud の記録キーストアとして使用できるようにするには、AWS KMS でキーを作成し、Genesys Cloud でキー設定をセットアップする必要があります。 この設定により、KEKキーペアの秘密鍵は、KMSを介して組織から提供される共通鍵で暗号化されます。 これにより、お客様の組織における録画のアクセス制御が保証されます。 Genesys Cloud では、復号化を記録するために組織から提供されたキーを使用して秘密キーを復号化する必要があります。

  1. を作成します顧客管理のキーAWS アカウントで。 このキーは同じに存在する必要がありますコア領域Genesys Cloudのホームリージョンとして。 マルチリージョン キーの場合は、プライマリ リージョンまたはレプリケート リージョンのいずれかが Genesys Cloud ホーム リージョンと一致することを確認してください。
  2. キーポリシーを編集してGenesys Cloudにアクセスを許可し、Genesys CloudがKMSキーにアクセスできるようにします。 アカウントIDは、765628985471(コア/サテライト地域)を使用してください。FedRAMP地域[US-East-2]のアカウントIDについては、ジェネシスの担当者にお問い合わせください。
  3. キーポリシーを編集して、Genesys Cloud組織から開始されたリクエストのみを許可する条件を含めます。

以下は、キーポリシーの例です。

{
     "Sid": "キーの使用を許可する",
     "効果": "Allow"、
     "Principal": {
         "AWS"。 [
              "arn:aws:iam::765628985471:root"
         ]
     },
     "Action"。 [
         "kms:Encrypt",
         "kms:Decrypt",
         "kms:GenerateDataKey*",
         "kms:DescribeKey"
     ],
     "Resource "です。 "*",
     "条件": {
          "StringEquals": {
                 "kms:EncryptionContext:genesys-cloud-organization-id"。 ["orgId1", "orgId2", ...]
        }
     }.

  1. Admin > Quality > Encryption Keys をクリックします。
  2. 録画 タブを選択し、編集 をクリックします。 
  3. Key Configuration Type ドロップダウンリストから、AWS KMS Symmetric を選択します。
  4. ARN of AWS KMS key alias for generating Recording key pairs テキストボックスに、KMS キーに関連するエイリアス ARN を入力します。
    キーエイリアスARNは、AWS KMSコンソールで確認できます。 arn:aws:kms:{region}:{accountId}:alias/{your-alias}" のように表示されます。
  5. Periodic Key Change リストから、新しいキーペアを生成する頻度を選択します。 キーは、毎日、毎週、毎月、毎年、または全く回転させないことができます。
  6. Test ボタンをクリックすると、設定を保存せずに検証することができます。 このテストでは、指定したKMSキーからデータキーペアを生成し、テストデータを暗号化、復号化し、テストデータが開始時と同じように出力されたことを保証します。 これにより、安全に使用できるコンフィギュレーションを確保することができます。
  7. 保存 をクリックして、設定を保存します。 
    設定が正常に保存されると、新しいキーペアが生成され、「最近のキーペアの履歴」リストに表示されます。

画像をクリックして拡大します。

何らかの理由でGenesys CloudがKMSインスタンスにアクセスできない場合、最後に確認された公開鍵を使用して録画を暗号化します。

KMSからのエラー応答は、KMSの問題を診断するのに役立つ暗号化キー設定ページに表示されます。

KMSの可用性が回復するまで、Genesys Cloudは録画を復号化することができません。

Genesys Cloudが使用しているAWS KMSキーをローテーションすることができます。 KMSの回転機構は、手動または自動のいずれかを選択できます。

 メモ:  
  • 両方のローテーションにおいて、少なくとも録画の保存期間中は、Genesys Cloudで古い鍵素材を利用できるようにしておく必要があります。 この鍵は、その鍵で作成された歴史的な記録を復号化するために必要であるため、非常に重要である。
  • 新しいKMSキーは、新しいGenesys Cloud KEKキーが生成されるまで使用されません。 Change Key Now を手動ローテーション後にクリックするか、Periodic Key Change を AWS KMS の自動ローテーションを使用している場合は同じ周期で設定します。