使用 AWS KMS 对称密钥进行对话

必备
  • 对话 > 加密密钥 > 编辑 权限
  • 对话 > 加密密钥 > 查看 权限

在 AWS KMS 中管理的对称密钥可以配置为加密和解密客户安全对话数据。 Genesys Cloud 使用您在 KMS 中的对称密钥生成数据密钥。 客户安全对话数据使用这些数据密钥进行加密。 为了解密对话数据,Genesys Cloud 向 KMS 发出解密相关数据密钥的请求。 请求获得授权后,数据将被解密。

  1. 在您的 AWS 账户中创建客户托管密钥。
    1. 将密钥类型设置为对称
    2. 将密钥用法设置为加密和解密
  2. 编辑密钥策略以授予对 Genesys Cloud 的访问权限,以便 Genesys Cloud 可以访问您的 KMS 密钥。 使用765628985471(核心/卫星区域)作为帐户 ID。如果需要,请联系您的 Genesys 代表获取 FedRAMP 区域 [US-East-2] 帐户 ID。
  3. 编辑密钥政策,添加一条声明,仅允许从 Genesys Cloud 组织发起的请求。

以下是关键政策声明的示例:

{
     “Sid”: “允许使用密钥”、
      “效果”: “允许”、
      “主体”: {
         “AWS”: [
              “arn: aws: iam:: 765628985471: root”
         ]
     },
      “操作”: [
         “kms: encrypt”、
          “kms: decrypt”、
          “kms: generateDataKey*”、
          “kms: describeKey”
     ]、
      “资源”: “*”、
      “状况”: {
          “字符串等于”: {
                 “kms: encryptionContext: Genesys-Cloud-Organization- [“orgid1”、“orgiD2”、...]
        }
     }
}

  1. 单击管理员 > 质量 > 加密密钥
  2. 选择 “对话” 选项卡,然后单击 “编辑”。 
  3. 密钥配置类型列表中,选择 AWS KMS Symmetric
  4. 用于生成的 AWS KMS 密钥别名的 ARN 客户保护数据 钥匙 文本框。
    可以在 AWS KMS 控制台中找到密钥别名 ARN。 它应该看起来像“arn:aws:kms:{region}:{accountId}:alias/{your-alias}”。
  5. 单击 “测试” 按钮在不保存配置的情况下验证您的配置。 该测试根据您指定的 KMS 密钥生成数据密钥对,加密测试数据,对其进行解密,然后断言测试数据的输出与开始时相同。 此测试有助于确保配置可以安全使用。
  6. 单击 “保存” 以保存您的配置。 

点击图片放大。

加密密钥配置

注意:
  • 要停止加密敏感对话数据,请选择没有任何来自关键配置类型列出并单击节省。
    此操作将删除您的对话加密密钥配置。
  • 轮换到新密钥时,新密钥最多需要 2 小时才能在 Genesys Cloud 中生效。
  • 将旧密钥保存至少 31 天,以便可以继续解密现有的受客户保护的对话数据。