녹음에 AWS KMS 대칭 키 사용

전제 조건
  • 녹음 > 암호화 키 > 수정 권한
  • 녹음 > 암호화 키 > 보기 권한

AWS KMS를 Genesys Cloud의 기록 키 스토어로 사용하려면 AWS KMS에서 키를 생성하고 Genesys Cloud에서 키 구성을 설정해야 합니다. 이 설정을 사용하면 KEK 키 쌍의 개인 키가 KMS를 통해 조직에서 제공한 대칭 키로 암호화됩니다. 이렇게 하면 녹음에 대한 조직의 액세스 제어가 보장됩니다. Genesys Cloud에서는 복호화 기록을 위해 조직에서 제공한 키를 사용하여 개인 키를 복호화해야 합니다.

  1. 만들기 고객 관리 키 귀하의 AWS 계정에서. 이 키는 동일한 위치에 있어야 합니다. 핵심 지역 Genesys Cloud 홈 지역으로 지정합니다. 다중 지역 키의 경우 기본 지역 또는 복제된 지역이 Genesys Cloud 홈 지역과 일치하는지 확인하세요.
  2. Genesys Cloud가 KMS 키에 액세스할 수 있도록 Genesys Cloud에 대한 액세스 권한을 부여하도록 키 정책을 편집합니다. 계정 ID로 765628985471(핵심/위성 지역)을 사용하세요. 필요한 경우 FedRAMP 지역 [US-East-2] 계정 ID에 대해 Genesys 담당자에게 문의하십시오.
  3. Genesys Cloud 조직에서 시작된 요청만 허용하는 조건을 포함하도록 키 정책을 편집합니다.

다음은 키 정책의 예입니다.

{
     “Sid”: “Allow use of the key”,
     “Effect”: “Allow”,
     “Principal”: {
         “AWS”: [
              “arn:aws:iam::765628985471:root”
         ]
     },
     “Action”: [
         “kms:Encrypt”,
         “kms:Decrypt”,
         “kms:GenerateDataKey*”,
         “kms:DescribeKey”
     ],
     “Resource”: “*”,
     “Condition”: {
          “StringEquals”: {
                 “kms:EncryptionContext:genesys-cloud-organization-id”: [“orgId1”, “orgId2”, …]
        }
     }
}

  1. 관리 > 품질 > 암호화 키를 클릭합니다.
  2. 녹음 탭을 선택하고 수정을 클릭합니다. 
  3. 키 구성 유형 드롭다운 목록에서 AWS KMS 대칭을 선택합니다.
  4. 기록 키 쌍 생성을 위한 AWS KMS 키 별칭의 ARN 텍스트 상자에 KMS 키와 연결된 별칭 ARN을 입력합니다.
    키 별칭 ARN은 AWS KMS 콘솔에서 찾을 수 있습니다. "arn:aws:kms:::alias/"와 같아야 합니다.
  5. 주기적 키 변경 목록에서 새 키 쌍을 생성할 빈도를 선택합니다. 키는 매일, 매주, 매월, 매년 또는 절대 회전하지 않을 수 있습니다.
  6. 구성을 저장하지 않고 확인하려면 테스트 버튼을 클릭합니다. 테스트는 지정된 KMS 키에서 데이터 키 쌍을 생성하고 테스트 데이터를 암호화하고 암호를 해독한 다음 테스트 데이터가 시작과 동일하게 나왔다고 주장합니다. 이렇게 하면 구성을 안전하게 사용할 수 있습니다.
  7. 저장을 클릭하여 구성을 저장합니다. 
    구성이 성공적으로 저장되면 새 키 쌍이 생성되어 최근 키 쌍 기록 목록에 표시됩니다.

이미지를 클릭하면 확대됩니다.

어떤 이유로든 Genesys Cloud가 KMS 인스턴스에 액세스할 수 없는 경우 마지막으로 알려진 공개 키를 사용하여 녹음을 암호화합니다.

KMS의 오류 응답은 암호화 키 구성 페이지에 표시되어 KMS 문제를 진단하는 데 도움이 됩니다.

Genesys Cloud는 KMS 가용성이 복원될 때까지 녹음을 해독할 수 없습니다.

Genesys Cloud에서 사용 중인 AWS KMS 키를 교체할 수 있습니다. 수동 또는 자동 KMS 순환 메커니즘을 사용하도록 선택할 수 있습니다.

참고:
  • 두 순환 모두에서 Genesys Cloud에서 사용할 수 있는 이전 키 자료를 최소한 녹음 보관 기간 동안 유지해야 합니다. 이는 여전히 해당 키로 생성된 기록 기록을 해독해야 하기 때문에 중요합니다.
  • 새 Genesys Cloud KEK 키가 생성될 때까지 새 KMS 키는 사용되지 않습니다. 수동 순환 후 지금 키 변경을 클릭하거나 AWS KMS에 대한 자동 순환이 사용되는 경우 주기적 키 변경을 동일한 주기로 설정합니다.