Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

Agent Assist verschlüsselt inaktive Kundendaten standardmäßig. Agent Assist übernimmt die Verschlüsselung für Sie. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Agent Assist verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Agent Assist-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Geschützte Daten

Nur inaktive Unterhaltungsdaten an einem unterstützten Standort können mit CMEKs geschützt werden.

Unterstützte Standorte und Funktionen

CMEK ist an allen Agent Assist-Standorten und für alle Agent Assist-Funktionen an unterstützten Standorten verfügbar, einschließlich Funktionen für generative KI.

Beschränkungen

CMEK ist nicht für Funktionen verfügbar, die in Agent Assist-Standorten und Smart Reply deaktiviert sind.

Schlüssel erstellen

Zum Erstellen von Schlüsseln verwenden Sie den KMS-Dienst. Eine Anleitung finden Sie unter Symmetrische Schlüssel erstellen. Beim Erstellen oder Auswählen eines Schlüssels müssen Sie Folgendes konfigurieren:

• Wählen Sie unbedingt den Standort aus, den Sie für Ihre Agent Assist-Daten verwenden. Andernfalls schlagen Anfragen fehl.

CMEK in Agent Assist aktivieren

Bevor Sie Agent Assist-Daten an einem bestimmten Standort erstellen, können Sie angeben, ob die Daten an diesem Standort durch einen vom Kunden verwalteten Schlüssel geschützt werden sollen. Konfigurieren Sie Ihren Schlüssel.

Vorbereitung

1. Erstellen Sie das CCAI CMEK-Dienstkonto für Ihr Projekt mit der Google Cloud CLI. Weitere Informationen finden Sie in der Dokumentation zu gcloud services identity.

   gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID

   Das Dienstkonto wird erstellt. Sie wird nicht in der Antwort auf den Erstellungsaufruf zurückgegeben, hat aber das folgende Format:

   service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com

2. Weisen Sie dem CCAI CMEK-Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu, damit der Dienst die Berechtigung hat, mit Ihrem Schlüssel zu verschlüsseln und zu entschlüsseln.

   gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
   --project=PROJECT_ID \
   --location=LOCATION_ID \
   --keyring=KMS_KEY_RING \
   --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \
   --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Schlüssel für einen Agent Assist-Standort konfigurieren

1. Verwenden Sie die InitializeEncryptionSpec API, um den Schlüssel zu konfigurieren.

   Sie müssen die folgenden Variablen angeben:

   • PROJECT_ID: Ihre Google Cloud -Projekt-ID
   • LOCATION_ID: Der Standort, den Sie für die Aktivierung von CMEK in Agent Assist ausgewählt haben.
   • KMS_KEY_RING: Der Schlüsselbund, in dem Ihr KMS-Schlüssel erstellt wurde. Der Speicherort im Schlüsselbund, z. B. projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING, muss mit dem Speicherort übereinstimmen, an dem Sie CMEK aktivieren.
   • KMS_KEY_ID: Der Name des KMS-Schlüssels, der zum Verschlüsseln und Entschlüsseln von Agent Assist-Daten am ausgewählten Standort verwendet wird.

   Beispiel:

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d "{ encryption_spec: { kms_key: 'projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_ID' } }" \
       "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"

   Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   }

2. Mit der GetOperation API können Sie das Ergebnis des Vorgangs mit langer Ausführungszeit prüfen.

   Beispiel:

   curl -X GET \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"

CMEK-Einstellungen prüfen

Mit der GetEncryptionSpec API können Sie den für einen Standort konfigurierten Verschlüsselungsschlüssel prüfen.

Beispiel:

    curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"
  

Schlüssel widerrufen

Wenn Sie den Zugriff von Agent Assist auf den Schlüssel widerrufen möchten, können Sie die KMS-Schlüsselversion deaktivieren oder die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler des Dienstkontos für den KMS-Schlüssel entfernen.

Nach dem Widerruf des Schlüssels sind die verschlüsselten Daten für Agent Assist nicht mehr zugänglich und der Dienst ist erst wieder betriebsbereit, wenn die Schlüsselberechtigungen wiederhergestellt wurden.