Encripta recursos de Speech-to-Text

En esta página, se muestra cómo configurar una clave de encriptación en Speech-to-Text para encriptar los recursos de Speech-to-Text.

Speech-to-Text te permite proporcionar claves de encriptación de Cloud Key Management Service y encripta los datos con la clave proporcionada. Para obtener más información sobre la encriptación, consulta la página Encriptación.

Antes de comenzar

Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

Enable the Speech-to-Text APIs.

Enable the APIs

Make sure that you have the following role or roles on the project: Cloud Speech Administrator

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Ir a IAM
Selecciona el proyecto.
Haz clic en Grant access.
En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.
En la lista Seleccionar un rol, elige un rol.
Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
Haz clic en Guardar.
Install the Google Cloud CLI.
To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

Enable the Speech-to-Text APIs.

Enable the APIs

Make sure that you have the following role or roles on the project: Cloud Speech Administrator

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Ir a IAM
Selecciona el proyecto.
Haz clic en Grant access.
En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.
En la lista Seleccionar un rol, elige un rol.
Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
Haz clic en Guardar.
Install the Google Cloud CLI.
To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.

Las bibliotecas cliente pueden usar las credenciales predeterminadas de la aplicación para autenticarse fácilmente con las APIs de Google y enviar solicitudes a esas API. Con las credenciales predeterminadas de la aplicación, puedes probar tu aplicación de forma local y, luego, implementarla sin cambiar el código subyacente. Para obtener más información, consulta Se autentica para usar las bibliotecas cliente.

If you're using a local shell, then create local authentication credentials for your user account:
```
gcloud auth application-default login
```
You don't need to do this if you're using Cloud Shell.

También asegúrate de haber instalado la biblioteca cliente.

Habilita el acceso a las claves de Cloud Key Management Service

Speech-to-Text usa una cuenta de servicio para acceder a tus claves de Cloud KMS. Según la configuración predeterminada, la cuenta de servicio no tiene acceso a las claves de Cloud KMS.

La siguiente es la dirección de correo electrónico de la cuenta de servicio:

service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

Para encriptar los recursos de Speech-to-Text con las claves de Cloud KMS, puedes otorgar a esta cuenta de servicio el rol de roles/cloudkms.cryptoKeyEncrypterDecrypter:

gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Para obtener más información sobre la política del IAM del proyecto, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Para obtener más información sobre la administración del acceso a Cloud Storage, consulta Crea y administra listas de control de acceso en la documentación de Cloud Storage.

Especifica una clave de encriptación

En el siguiente ejemplo, se proporciona una clave de encriptación a Speech-to-Text mediante el recurso Config:

Python

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

def enable_cmek(
    project_id: str,
    kms_key_name: str,
) -> cloud_speech.RecognizeResponse:
    """Enable CMEK in a project and region."""
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{project_id}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")

    return response

Cuando se especifica una clave de encriptación en el recurso [Config] de tu proyecto, se encriptan todos los recursos nuevos creados en la ubicación correspondiente con esta clave. Consulta la página de encriptación para obtener más información sobre qué se encripta y cuándo.

Los recursos encriptados tienen los campos kms_key_name y kms_key_version_name propagados en las respuestas de la API de Speech-to-Text.

Quitar encriptación

Para evitar que los recursos futuros se encripten con una clave de encriptación, usa el código anterior y proporciona la string vacía ("") como la clave en la solicitud. Esto garantiza que los recursos nuevos no estén encriptados. Este comando no desencripta los recursos existentes.

Rotación y eliminación de claves

En la rotación de claves, los recursos que están encriptados con una versión anterior de la clave de Cloud KMS permanecen encriptados con esa versión. Todos los recursos creados después de la rotación de claves se encriptan con la versión predeterminada nueva de la clave. Todos los recursos actualizados (con los métodos Update*) después de la rotación de claves se vuelven a encriptar con la versión predeterminada nueva de la clave.

En la eliminación de la clave, Speech-to-Text no puede desencriptar tus datos, crear recursos ni acceder a los recursos encriptados con la clave borrada. Del mismo modo, cuando revocas el permiso de Speech-to-Text para una clave, Speech-to-Text no puede desencriptar tus datos, crear recursos ni acceder a los recursos encriptados con la clave de permiso revocada de Speech-to-Text.

Vuelve a encriptar datos

Si deseas volver a encriptar tus recursos, puedes llamar al método Update* correspondiente para cada recurso después de actualizar la especificación de clave en el recurso Config.

Realiza una limpieza

Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página.

Optional: Revoke the authentication credentials that you created, and delete the local credential file.
```
gcloud auth application-default revoke
```
Optional: Revoke credentials from the gcloud CLI.
```
gcloud auth revoke
```

Consola

Precaución: Borrar un proyecto tiene estas consecuencias:

Se borra todo en el proyecto. Si usaste un proyecto existente para las tareas de este documento, cuando lo borres, también se borrará cualquier otro trabajo que hayas realizado en el proyecto.
Se pierden los ID personalizados de proyectos. Cuando creaste este proyecto, es posible que hayas creado un ID del proyecto personalizado que desees utilizar en el futuro. Para conservar las URL que utilizan el ID del proyecto, como una URL appspot.com, borra los recursos seleccionados dentro del proyecto en lugar de borrar todo el proyecto.

Si planeas explorar varias infraestructuras, instructivos y guías de inicio rápido la reutilización de proyectos puede ayudarte a evitar exceder los límites de las cuotas del proyecto.

En la consola de Google Cloud, ve a la página Administrar recursos.

Ir a Administrar recursos

En la lista de proyectos, elige el proyecto que quieres borrar y haz clic en Borrar.

En el diálogo, escribe el ID del proyecto y, luego, haz clic en Cerrar para borrar el proyecto.

gcloud

Precaución: Borrar un proyecto tiene estas consecuencias:

Se borra todo en el proyecto. Si usaste un proyecto existente para las tareas de este documento, cuando lo borres, también se borrará cualquier otro trabajo que hayas realizado en el proyecto.
Se pierden los ID personalizados de proyectos. Cuando creaste este proyecto, es posible que hayas creado un ID del proyecto personalizado que desees utilizar en el futuro. Para conservar las URL que utilizan el ID del proyecto, como una URL appspot.com, borra los recursos seleccionados dentro del proyecto en lugar de borrar todo el proyecto.

Si planeas explorar varias infraestructuras, instructivos y guías de inicio rápido la reutilización de proyectos puede ayudarte a evitar exceder los límites de las cuotas del proyecto.

Borra un proyecto de Google Cloud:

gcloud projects delete PROJECT_ID

¿Qué sigue?

Obtén más información sobre qué se encripta cuando se especifican claves de encriptación en Speech-to-Text.
Obtén más información sobre cómo transcribir audio con transmisión continua.
Obtén información sobre cómo transcribir archivos de audio largos.
Practica transcribir archivos de audio cortos.
Para mejorar el rendimiento y la exactitud, así como ver otras sugerencias, consulta la documentación de prácticas recomendadas.