使用 AWS KMS 对称密钥进行录制
- 录制 > 加密密钥 > 编辑权限
- 录制 > 加密密钥 > 查看权限
要启用 AWS KMS 作为 Genesys Cloud 的记录密钥存储,您必须在 AWS KMS 中创建密钥并在 Genesys Cloud 中设置密钥配置。 通过此设置,KEK 密钥对中的私钥将由您的组织通过 KMS 提供的对称密钥进行加密。 这样可以确保贵组织对录制文件的访问控制。 Genesys Cloud 需要使用您的组织提供的用于记录解密的密钥来解密私钥。
- 创建一个客户管理的密钥在您的 AWS 账户中。 该密钥必须在同一个核心区作为您的 Genesys Cloud 主区域。 对于多区域密钥,请确保主区域或复制区域与您的 Genesys Cloud 主区域匹配。
- 编辑密钥策略以授予对 Genesys Cloud 的访问权限,以便 Genesys Cloud 可以访问您的 KMS 密钥。 使用 765628985471(核心/卫星区域)作为账户 ID。如果需要,请联系您在 FedRAMP 地区的 Genesys 代表 [US-East-2] 账户 ID。
- 编辑密钥策略以包含仅允许从您的 Genesys Cloud 组织发起请求的条件。
以下是密钥策略的示例。
{
“Sid”: “允许使用密钥”、
“效果”: “允许”、
“主体”: {
“AWS”: [
“arn: aws: iam:: 765628985471: root”
]
},
“操作”: [
“kms: encrypt”、
“kms: decrypt”、
“kms: generateDataKey*”、
“kms: describeKey”
]、
“资源”: “*”、
“状况”: {
“字符串等于”: {
“kms: encryptionContext: Genesys-Cloud-Organization- [“orgid1”、“orgiD2”、...]
}
}
}
- 单击管理员 > 质量 > 加密密钥。
- 选择 “录音” 选项卡,然后单击 “编辑”。
- 从密钥配置类型下拉列表中,选择 AWS KMS 对称。
- 在用于生成录制密钥对的 AWS KMS 密钥别名的 ARN 文本框中输入与您的 KMS 密钥关联的别名 ARN。
可以在 AWS KMS 控制台中找到密钥别名 ARN。 它应该看起来像 “arn: aws: kms: {region}: {accountId}: alias/ {your-alias}”。 - 从 “定期密钥更改” 列表中,选择生成新密钥对的频率。 密钥可以每天、每周、每月、每年轮换,也可以从不轮换。
- 单击 “测试” 按钮在不保存配置的情况下验证您的配置。 测试将根据您指定的 KMS 密钥生成数据密钥对,对测试数据进行加密、解密,然后断言测试数据与启动时相同。 这有助于确保配置可以安全使用。
- 单击 “保存” 以保存您的配置。
如果您的配置已成功保存,则会生成一个新的密钥对并显示在 “最近的密钥对历史记录” 列表中。
点击图片放大。
来自 KMS 的错误响应显示在 “加密密钥配置” 页面中,以帮助诊断 KMS 问题。
在 KMS 可用性恢复之前,Genesys Cloud 将无法解密任何录制文件。
您可以轮换 Genesys 云正在使用的 AWS KMS 密钥。 您可以选择使用手动或自动 KMS 轮换机制。
- 手动旋转: 创建一个新的 KMS 密钥,为其指定相同的密钥策略,然后在 KMS 中更新别名以指向新密钥。
有关详细信息,请参阅: 如何在 AWS KMS 中手动轮换客户托管密钥? - 自动旋转: 以透明方式发生。 有关详细信息,请参阅: 轮换 AWS KMS 密钥。
- 对于两次轮换,您必须至少在录音的保留期内将旧密钥材料保留给 Genesys Cloud。 这一点至关重要,因为仍然需要解密使用该密钥创建的历史记录。
- 在生成新的 Genesys Cloud KEK 密钥之前,不会使用新的 KMS 密钥。 手动轮换后,单击 “立即更改密钥”;如果使用了 AWS KMS 的自动轮换,则将 “定期密钥更改” 设置为相同的节奏。