Por padrão, o Assistente do agente criptografa o conteúdo do cliente em repouso. O Assistente do agente processa a criptografia para você sem que você precise fazer nada. Essa opção é chamada de Criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Assistente do agente. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite visualizar registros de auditoria e controlar ciclos de vida importantes. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Assistente de agente é semelhante à criptografia padrão do Google. Para mais informações sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Dados protegidos
Somente os dados de conversa em repouso em um local compatível podem ser protegidos com CMEKs.
Locais e recursos disponíveis
A CMEK está disponível em todos os locais do Agent Assist e para todos os recursos do Agent Assist nos locais compatíveis, incluindo os recursos de IA generativa.
Limitações
A CMEK não está disponível para recursos desativados nos locais do Assistente do agente e na resposta inteligente.
Criar chaves
Para criar chaves, use o serviço KMS. Para instruções, consulte Como criar chaves simétricas. Ao criar ou escolher uma chave, você precisa configurar o seguinte:
- Certifique-se de selecionar o local que você usa para seus dados do Assistente de IA, caso contrário, as solicitações vão falhar.
Ativar a CMEK no Agent Assist
Antes de criar dados da Assistente de agente em um local específico, é possível especificar se os dados nesse local serão protegidos por uma chave gerenciada pelo cliente. Configure sua chave no momento.
Pré-requisitos
Crie a conta de serviço do CCAI CMEK para seu projeto com a Google Cloud CLI. Para mais informações, consulte a documentação de identidade dos serviços do gcloud.
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
A conta de serviço será criada. Ele não será retornado na resposta de criação, mas terá o seguinte formato:
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
Conceda à conta de serviço da CMEK da CCAI o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS para garantir que o serviço tenha permissões para criptografar e descriptografar com sua chave.
gcloud kms keys add-iam-policy-binding KMS_KEY_ID \ --project=PROJECT_ID \ --location=LOCATION_ID \ --keyring=KMS_KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Configurar uma chave para um local da Assistência do agente
Use a API InitializeEncryptionSpec para configurar a chave.
Você precisará fornecer as seguintes variáveis:
PROJECT_ID: o ID do projeto do Google Cloud .LOCATION_ID: o local escolhido para ativar a CMEK no Assistente do agente.KMS_KEY_RING: o keyring em que a chave do KMS foi criada. O local no keyring, comoprojects/PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING, precisa corresponder ao local em que você está ativando a CMEK.KMS_KEY_ID: o nome da sua chave do KMS que será usada para criptografar e descriptografar dados da Assistente do agente no local selecionado.
Exemplo:
curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ -d "{ encryption_spec: { kms_key: 'projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_ID' } }" \ "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
Você receberá uma resposta JSON semelhante a esta:
{ "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID" }
Use a API GetOperation para verificar o resultado da operação de longa duração.
Exemplo:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
Verificar as configurações de CMEK
Use a API GetEncryptionSpec para verificar a chave de criptografia configurada para um local.
Exemplo:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"
Revogar chaves
Para revogar o acesso do Assistente do agente à chave, desative a versão da chave do KMS ou remova o papel Criptografador/descriptografador de CryptoKey do Cloud KMS da conta de serviço na chave do KMS.
Depois da revogação da chave, os dados criptografados vão ficar inacessíveis para o Assistente do agente, e o serviço não vai mais estar em um estado operacional até que as permissões da chave sejam restabelecidas.