録画にAWS KMSの共通鍵を使用する

前提条件
  • Recording > Encryption key > Edit 権限
  • 録画 >暗号化キー >閲覧 許可

Genesys Cloudの記録鍵ストアにAWS KMSを使用できるようにするには、AWS KMSで鍵を作成し、Genesys Cloudで鍵の構成を設定する必要があります。 この設定により、KEKキーペアの秘密鍵は、KMSを介して組織から提供される共通鍵で暗号化されます。 これにより、お客様の組織における録画のアクセス制御が保証されます。 Genesys Cloudは、記録復号化のために、お客様の組織から提供された鍵で秘密鍵を復号化する必要があります。

  1. AWSアカウントでGenesys Cloud組織と同じリージョンにカスタマーマネージドキー を作成します。
  2. Genesys Cloud(アカウントID 765628985471)にアクセスを許可するようキーポリシーを編集し、Genesys CloudがKMSキーにアクセスできるようにします。
  3. キーポリシーを編集して、Genesys Cloud組織から開始されたリクエストのみを許可する条件を含めます。

以下は、キーポリシーの例です。

{
     "Sid": "キーの使用を許可する",
     "効果": "Allow"、
     "Principal": {
         "AWS"。 [
              "arn:aws:iam::765628985471:root"
         ]
     },
     "Action"。 [
         "kms:Encrypt",
         "kms:Decrypt",
         "kms:GenerateDataKey*",
         "kms:DescribeKey"
     ],
     "Resource "です。 "*",
     "条件": {
          "StringEquals": {
                 "kms:EncryptionContext:genesys-cloud-organization-id"。 ["orgId1", "orgId2", ...]
        }
     }.

  1. Admin > Quality > Encryption Keys をクリックします。
  2. 録画 タブを選択し、編集 をクリックします。 
  3. Key Configuration Type ドロップダウンリストから、AWS KMS Symmetric を選択します。
  4. ARN of AWS KMS key alias for generating Recording key pairs テキストボックスに、KMS キーに関連するエイリアス ARN を入力します。
    キーエイリアスARNは、AWS KMSコンソールで確認できます。 arn:aws:kms:{region}:{accountId}:alias/{your-alias}" のように表示されます。
  5. Periodic Key Change リストから、新しいキーペアを生成する頻度を選択します。 キーは、毎日、毎週、毎月、毎年、または全く回転させないことができます。
  6. Test ボタンをクリックすると、設定を保存せずに検証することができます。 このテストでは、指定したKMSキーからデータキーペアを生成し、テストデータを暗号化、復号化し、テストデータが開始時と同じように出力されたことを保証します。 これにより、安全に使用できるコンフィギュレーションを確保することができます。
  7. 保存 をクリックして、設定を保存します。 
    設定が正常に保存されると、新しいキーペアが生成され、「最近のキーペアの履歴」リストに表示されます。

画像をクリックして拡大します。

何らかの理由でGenesys CloudがKMSインスタンスにアクセスできない場合、最後に確認された公開鍵を使用して録画を暗号化します。

KMSからのエラー応答は、KMSの問題を診断するのに役立つ暗号化キー設定ページに表示されます。

KMSの可用性が回復するまで、Genesys Cloudは録画を復号化することができません。

Genesys Cloudが使用しているAWS KMSキーをローテーションすることができます。 KMSの回転機構は、手動または自動のいずれかを選択できます。

 メモ:  
  • 両方のローテーションにおいて、少なくとも録画の保存期間中は、Genesys Cloudで古い鍵素材を利用できるようにしておく必要があります。 この鍵は、その鍵で作成された歴史的な記録を復号化するために必要であるため、非常に重要である。
  • 新しいKMSキーは、新しいGenesys Cloud KEKキーが生成されるまで使用されません。 Change Key Now を手動ローテーション後にクリックするか、Periodic Key Change を AWS KMS の自動ローテーションを使用している場合は同じ周期で設定します。