Utilizar una clave simétrica de AWS KMS para las grabaciones

Prerrequisitos
  • Grabación > Clave de encriptación > Edición permiso
  • Grabación > Clave de encriptación > Ver permiso

Para habilitar el uso de AWS KMS como almacén de claves de grabación para Genesys Cloud, debe crear claves en AWS KMS y establecer las configuraciones de las claves en Genesys Cloud. Con esta configuración, las claves privadas de los pares de claves KEK serán encriptadas por la clave simétrica proporcionada por su organización a través de KMS. Esto asegura el control de acceso de su organización a las grabaciones. Genesys Cloud requiere el descifrado de las claves privadas con las claves proporcionadas por su organización para el descifrado de la grabación.

  1. Cree una clave administrada por el clientey en la misma región que su organización de Genesys Cloud en su cuenta de AWS.
  2. Edite la política de claves para conceder acceso a Genesys Cloud (ID de cuenta 765628985471), para que Genesys Cloud pueda acceder a sus claves KMS.
  3. Edite la política de claves para incluir una condición que sólo permita las solicitudes iniciadas desde sus organizaciones de Genesys Cloud.

A continuación se presenta un ejemplo de la política de claves.

{
     "Sid": "Permitir el uso de la llave",
     "Efecto": "Permitir",
     "Principal": {
         "AWS": [
              "arn:aws:iam::765628985471:root"
         ]
     },
     "Action": [
         "kms:Encrypt",
         "kms:Decrypt",
         "kms:GenerateDataKey*",
         "kms:DescribeKey"
     ],
     "Resource": "*",
     "Condition": {
          "StringEquals": {
                 "kms:EncryptionContext:genesys-cloud-organization-id": ["orgId1", "orgId2", ...]
        }
     }
}

  1. Haga clic en Admin > Calidad > Claves de cifrado.
  2. Seleccione la pestaña Grabaciones y haga clic en Editar
  3. En la lista desplegable Key Configuration Type, seleccione AWS KMS Symmetric.
  4. Introduzca el alias ARN asociado a su clave KMS en el cuadro de texto ARN del alias de la clave AWS KMS para generar pares de claves de grabación.
    El alias ARN de la llave se puede encontrar en la consola de AWS KMS. Debería tener el aspecto de "arn:aws:kms:{region}:{accountId}:alias/{your-alias}".
  5. En la lista Periodic Key Change, seleccione la frecuencia con la que desea generar nuevos pares de claves. Las llaves pueden rotarse diariamente, semanalmente, mensualmente, anualmente o nunca.
  6. Haga clic en el botón Test para validar su configuración sin guardarla. La prueba generará un par de claves de datos a partir de la clave KMS especificada, cifrará los datos de la prueba, los descifrará y luego afirmará que los datos de la prueba salieron igual que al principio. Esto ayuda a garantizar que la configuración es segura de usar.
  7. Haga clic en Guardar para guardar la configuración. 
    Si la configuración se guarda correctamente, se genera un nuevo par de claves y se muestra en la lista de Historial de pares de claves recientes.

Haga clic en la imagen para ampliarla.

Si por alguna razón, Genesys Cloud no puede acceder a su instancia KMS, utilizará la última clave pública conocida para encriptar las grabaciones.

Las respuestas de error de KMS se muestran en la página de configuración de la clave de cifrado para ayudar a diagnosticar el problema de KMS.

Genesys Cloud no podrá descifrar ninguna grabación hasta que se restablezca la disponibilidad de KMS.

Puede rotar las claves de AWS KMS que utiliza Genesys Cloud. Puede elegir utilizar mecanismos de rotación de KMS manuales o automáticos.

Nota:
  • Para ambas rotaciones, debe mantener el material clave antiguo a disposición de Genesys Cloud durante al menos el periodo de retención de las grabaciones. Esto es crucial, ya que sigue siendo necesario para descifrar las grabaciones históricas creadas con esa clave.
  • La nueva clave KMS no se utiliza hasta que se generen nuevas claves KEK de Genesys Cloud. Haga clic en Change Key Now después de la rotación manual o configure Periodic Key Change a la misma cadencia si se utiliza la rotación automática para AWS KMS.