使用 AWS KMS 对称密钥进行录制

必备
  • 录制 > 加密密钥 > 编辑权限
  • 录制 > 加密密钥 > 查看权限

要启用 AWS KMS 作为 Genesys Cloud 的记录密钥存储,您必须在 AWS KMS 中创建密钥并在 Genesys Cloud 中设置密钥配置。 通过此设置,KEK 密钥对中的私钥将由您的组织通过 KMS 提供的对称密钥进行加密。 这样可以确保贵组织对录制文件的访问控制。 Genesys Cloud 需要使用您的组织提供的用于记录解密的密钥来解密私钥。

  1. 创建一个客户管理的密钥在您的 AWS 账户中。 该密钥必须在同一个核心区作为您的 Genesys Cloud 主区域。 对于多区域密钥,请确保主区域或复制区域与您的 Genesys Cloud 主区域匹配。
  2. 编辑密钥策略以授予对 Genesys Cloud 的访问权限,以便 Genesys Cloud 可以访问您的 KMS 密钥。 使用 765628985471(核心/卫星区域)作为账户 ID。如果需要,请联系您在 FedRAMP 地区的 Genesys 代表 [US-East-2] 账户 ID。
  3. 编辑密钥策略以包含仅允许从您的 Genesys Cloud 组织发起请求的条件。

以下是密钥策略的示例。

{
     “Sid”: “允许使用密钥”、
      “效果”: “允许”、
      “主体”: {
         “AWS”: [
              “arn: aws: iam:: 765628985471: root”
         ]
     },
      “操作”: [
         “kms: encrypt”、
          “kms: decrypt”、
          “kms: generateDataKey*”、
          “kms: describeKey”
     ]、
      “资源”: “*”、
      “状况”: {
          “字符串等于”: {
                 “kms: encryptionContext: Genesys-Cloud-Organization- [“orgid1”、“orgiD2”、...]
        }
     }
}

  1. 单击管理员 > 质量 > 加密密钥
  2. 选择 “录音” 选项卡,然后单击 “编辑”。 
  3. 密钥配置类型下拉列表中,选择 AWS KMS 对称
  4. 在用于生成录制密钥对的 AWS KMS 密钥别名的 ARN 文本框中输入与您的 KMS 密钥关联的别名 ARN。
    可以在 AWS KMS 控制台中找到密钥别名 ARN。 它应该看起来像 “arn: aws: kms: {region}: {accountId}: alias/ {your-alias}”。
  5. 从 “定期密钥更改” 列表中,选择生成新密钥对的频率。 密钥可以每天、每周、每月、每年轮换,也可以从不轮换。
  6. 单击 “测试” 按钮在不保存配置的情况下验证您的配置。 测试将根据您指定的 KMS 密钥生成数据密钥对,对测试数据进行加密、解密,然后断言测试数据与启动时相同。 这有助于确保配置可以安全使用。
  7. 单击 “保存” 以保存您的配置。 
    如果您的配置已成功保存,则会生成一个新的密钥对并显示在 “最近的密钥对历史记录” 列表中。

点击图片放大。

如果出于任何原因,Genesys Cloud 无法访问您的 KMS 实例,它将使用最后一个已知的公钥对录制文件进行加密。

来自 KMS 的错误响应显示在 “加密密钥配置” 页面中,以帮助诊断 KMS 问题。

在 KMS 可用性恢复之前,Genesys Cloud 将无法解密任何录制文件。

您可以轮换 Genesys 云正在使用的 AWS KMS 密钥。 您可以选择使用手动或自动 KMS 轮换机制。

注意:
  • 对于两次轮换,您必须至少在录音的保留期内将旧密钥材料保留给 Genesys Cloud。 这一点至关重要,因为仍然需要解密使用该密钥创建的历史记录。
  • 在生成新的 Genesys Cloud KEK 密钥之前,不会使用新的 KMS 密钥。 手动轮换后,单击 “立即更改密钥”;如果使用了 AWS KMS 的自动轮换,则将 “定期密钥更改” 设置为相同的节奏。