Cloud Speech-to-Text verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird von Cloud STT übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Cloud STT verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.
Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Cloud STT-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Informationen zu den spezifischen Vorteilen von CMEKs mit Cloud Speech-to-Text-Ressourcen finden Sie unter Informationen zu CMEK für Cloud STT-Ressourcen.
Informationen zu CMEK für Cloud STT-Ressourcen
Die folgenden Bedingungen gelten, wenn mit der Speech-to-Text API ein neuer Schlüssel festgelegt wird:
- Ressourcen, die zuvor mit dem ursprünglichen Schlüssel verschlüsselt wurden, bleiben mit diesem früheren Schlüssel verschlüsselt. Wenn eine Ressource mit einer
Update*-Methode aktualisiert wird, wird sie mit dem neuen Schlüssel neu verschlüsselt. - Bisher waren nicht-CMEK-verschlüsselte Ressourcen unverschlüsselt. Wenn eine Ressource mit einer
Update*-Methode aktualisiert wird, wird sie mit dem neuen Schlüssel neu verschlüsselt. Bei Vorgängen mit langer Ausführungszeit (z. B. Batcherkennung) wird der gespeicherte Vorgang mit dem neuen Schlüssel verschlüsselt, wenn die Verarbeitung noch nicht abgeschlossen ist. - Neu erstellte Ressourcen werden mit dem neu festgelegten Schlüssel verschlüsselt.
Wenn Sie einen Schlüssel mithilfe der Speech-to-Text API entfernen, werden neue Ressourcen ohne CMEK-Verschlüsselung erstellt. Vorhandene Ressourcen bleiben mit den Schlüsseln verschlüsselt, mit denen sie zuvor verschlüsselt wurden. Wenn eine Ressource mit einer Update*-Methode aktualisiert wird, wird sie mit der von Google verwalteten Standardverschlüsselung neu verschlüsselt. Bei Vorgängen mit langer Ausführungszeit (z. B. Batcherkennung) wird der gespeicherte Vorgang mit der Standardverschlüsselung von Google neu verschlüsselt, wenn die Verarbeitung noch nicht abgeschlossen ist.
Der Speicherort des Cloud KMS-Schlüssels, der zum Verschlüsseln von Cloud STT-Ressourcen verwendet wird, muss mit dem verwendeten Cloud STT-Endpunkt übereinstimmen. Weitere Informationen zu Cloud STT-Standorten finden Sie unter Cloud STT-Standorte. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte.
CMEK-unterstützte Ressourcen
Im Folgenden finden Sie die aktuellen Speech-to-Text-Ressourcen, die von CMEK abgedeckt werden:
| Ressource | Verschlüsseltes Material | Links zur Dokumentation |
|---|---|---|
| Erkennungssystem |
|
|
| PhraseSet |
|
|
| Benutzerdefinierte Klasse |
|
|
| Vorgang |
|
|
| Artefakte der Batcherkennung |
|
Nächste Schritte
- Hier erfahren Sie, wie Sie die Verschlüsselung mit Cloud STT verwenden