默认情况下,Speech-to-Text 会对静态客户内容进行加密。Speech-to-Text 会为您处理加密,您无需执行任何其他操作。此选项称为 Google 默认加密。
如果您想要控制加密密钥,则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务(包括 Speech-to-Text)搭配使用。使用 Cloud KMS 密钥时,您可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。此外,您还可使用 Cloud KMS 查看审核日志并控制密钥生命周期。这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称密钥加密密钥 (KEK),而不是由 Google 拥有和管理这些密钥。
使用 CMEK 设置资源后,访问 Speech-to-Text 资源的体验与使用 Google 默认加密功能类似。如需详细了解加密选项,请参阅客户管理的加密密钥 (CMEK)。
如需了解将 CMEK 用于 Speech-to-Text 资源的具体优势,请参阅了解适用于 Speech-to-Text 资源的 CMEK。
了解适用于 Speech-to-Text 资源的 CMEK
使用 Speech-to-Text API 设置新密钥时,应满足以下条件:
- 之前使用原始密钥加密的资源仍使用先前的密钥进行加密。如果资源更新(使用
Update*方法),则使用新密钥重新加密。 - 之前的非 CMEK 加密资源保持未加密状态。如果资源更新(使用
Update*方法),则使用新密钥重新加密。对于长时间运行的操作(如批量识别),如果处理过程尚未完成,则存储的操作会使用新密钥重新加密。 - 新创建的资源使用新设置的密钥进行加密。
使用 Speech-to-Text API 移除密钥时,将创建不采用 CMEK 加密的新资源。现有资源仍使用之前加密的密钥进行加密。如果资源更新(使用 Update* 方法),则使用 Google 管理的默认加密重新加密。对于长时间运行的操作(如批量识别),如果处理过程尚未完成,则系统会使用 Google 管理的默认加密方法重新加密存储的操作。
用于加密 Speech-to-Text 资源的 Cloud KMS 密钥的位置必须与使用的 Speech-to-Text 端点匹配。如需详细了解 Speech-to-Text 位置,请参阅 Speech-to-Text 位置。如需详细了解 Cloud KMS 位置,请参阅 Cloud KMS 位置。
CMEK 支持的资源
以下是 CMEK 涵盖的当前的 Speech-to-Text 资源:
| 资源 | 已加密材料 | 文档链接 |
|---|---|---|
| 识别器 |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| 操作 |
|
|
| 批量识别工件 |
|