Por padrão, a Speech-to-Text criptografa o conteúdo do cliente em repouso. A Speech-to-Text executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, como a Speech-to-Text. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Com o Cloud KMS, também é possível visualizar registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois que você configura os recursos com CMEKs, a experiência de acesso aos recursos da Speech-to-Text é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Para saber mais sobre os benefícios específicos do uso de CMEKs com os recursos da Speech-to-Text, consulte Noções básicas sobre CMEKs para recursos da Speech-to-Text.
Noções básicas sobre CMEKs para recursos da Speech-to-Text
As condições abaixo são verdadeiras quando uma nova chave é definida usando a API Speech-to-Text:
- Os recursos criptografados anteriormente com a chave original permanecem criptografados
com essa chave anterior. Se um recurso for atualizado (usando um método
Update*), ele será criptografado novamente com a nova chave. - Os recursos anteriores não criptografados por CMEK permanecem não criptografados. Se um recurso for
atualizado (usando um método
Update*), ele será criptografado novamente com a nova chave. Para operações de longa duração (como reconhecimento em lote), se o processamento estiver em andamento e não for concluído, a operação armazenada será criptografada novamente com a nova chave. - Os recursos recém-criados são criptografados com a chave recém-definida.
Quando você remove uma chave usando a API Speech-to-Text, novos recursos
são criados sem a criptografia por CMEK. Os recursos atuais permanecem criptografados
com as chaves da criptografia anterior. Se um recurso for
atualizado (usando um método Update*), ele será criptografado novamente com a criptografia
padrão gerenciada pelo Google. Para operações de longa duração (como
reconhecimento em lote), se o processamento estiver em andamento e não
for concluído, a operação armazenada será criptografada novamente usando a criptografia
padrão gerenciada pelo Google.
O local da chave do Cloud KMS usada para criptografar os recursos da Speech-to-Text precisa corresponder ao endpoint da Speech-to-Text usado. Para saber mais sobre os locais da Speech-to-Text, consulte Locais da Speech-to-Text. Para saber mais sobre os locais do Cloud KMS, consulte Locais do Cloud KMS.
Recursos compatíveis com CMEK
Confira abaixo os recursos atuais da Speech-to-Text com cobertura de CMEKs:
| Recurso | Material criptografado | Links da documentação |
|---|---|---|
| Identificador |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| Operação |
|
|
| Artefatos de reconhecimento em lote |
|