Criptare le risorse di Speech-to-Text

Questa pagina mostra come impostare una chiave di crittografia in Speech-to-Text per crittografare le risorse Speech-to-Text.

Speech-to-Text ti consente di fornire chiavi di crittografia Cloud Key Management Service e cripta i dati con la chiave fornita. Per scoprire di più sulla crittografia, consulta la pagina Crittografia.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Speech-to-Text APIs.

    Enable the APIs

  5. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.

    4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

  6. Install the Google Cloud CLI.

  7. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  8. To initialize the gcloud CLI, run the following command: 

    gcloud init

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  10. Make sure that billing is enabled for your Google Cloud project.

  11. Enable the Speech-to-Text APIs.

    Enable the APIs

  12. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.

    4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

  13. Install the Google Cloud CLI.

  14. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  15. To initialize the gcloud CLI, run the following command: 

    gcloud init

    16. Le librerie client possono utilizzare le credenziali predefinite dell'applicazione per autenticarsi facilmente con le API di Google e inviare richieste a queste API. Con Credenziali predefinite dell'applicazione, puoi testare la tua applicazione localmente e implementarla senza modificare il codice sottostante. Per maggiori informazioni, vedi Autenticarsi per l'utilizzo delle librerie client.

  16. If you're using a local shell, then create local authentication credentials for your user account: 

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

    If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

    17. Assicurati inoltre di aver installato la libreria client.

    Attiva l'accesso alle chiavi di Cloud Key Management Service

    Speech-to-Text utilizza un account di servizio per accedere alle chiavi Cloud KMS. Per impostazione predefinita, il account di servizio non ha accesso alle chiavi Cloud KMS.

    L'indirizzo email del account di servizio è il seguente:

    service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

    Per criptare le risorse Speech-to-Text utilizzando le chiavi Cloud KMS, puoi assegnare a questo account di servizio il ruolo roles/cloudkms.cryptoKeyEncrypterDecrypter:

    gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

    Per ulteriori informazioni sulla policy IAM del progetto, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

    Per ulteriori informazioni sulla gestione dell'accesso a Cloud Storage, consulta Creare e gestire controllo dell'accesso dell'accesso nella documentazione di Cloud Storage.

    Specifica una chiave di crittografia

    Di seguito è riportato un esempio di fornitura di una chiave di crittografia a Speech-to-Text utilizzando la risorsa Config:

    Python

    import os

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

PROJECT_ID = os.getenv("GOOGLE_CLOUD_PROJECT")


def enable_cmek(
    kms_key_name: str,
) -> cloud_speech.Config:
    """Enable Customer-Managed Encryption Keys (CMEK) in a project and region.
    Args:
        kms_key_name (str): The full resource name of the KMS key to be used for encryption.
            E.g,: projects/{PROJECT_ID}/locations/{LOCATION}/keyRings/{KEY_RING}/cryptoKeys/{KEY_NAME}
    Returns:
        cloud_speech.Config: The response from the update configuration request,
        containing the updated configuration details.
    """
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{PROJECT_ID}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")
    return response

    Quando una chiave di crittografia viene specificata nella risorsa [Config] del progetto, tutte le nuove risorse create nella posizione corrispondente vengono criptate utilizzando questa chiave. Per ulteriori informazioni su cosa viene criptato e quando, consulta la pagina Crittografia.

    Le risorse criptate hanno i campi kms_key_name e kms_key_version_name compilati nelle risposte dell'API Speech-to-Text.

    Rimuovi crittografia

    Per impedire che le risorse future vengano criptate con una chiave di crittografia, utilizza il codice riportato sopra e fornisci la stringa vuota ("") come chiave nella richiesta. In questo modo le nuove risorse non vengono criptate. Questo comando non decripta le risorse esistenti.

    Rotazione ed eliminazione delle chiavi

    Al momento della rotazione della chiave, le risorse criptate con una versione precedente della chiave Cloud KMS rimangono criptate con quella versione. Tutte le risorse create dopo la rotazione della chiave vengono criptate con la nuova versione predefinita della chiave. Tutte le risorse aggiornate (utilizzando i metodi Update*) dopo la rotazione della chiave vengono nuovamente criptate con la nuova versione predefinita della chiave.

    Una volta eliminata la chiave, Speech-to-Text non può decriptare i tuoi dati e non può creare risorse o accedere a risorse criptate con la chiave eliminata. Allo stesso modo, quando revochi l'autorizzazione Speech-to-Text per una chiave, Speech-to-Text non può decriptare i tuoi dati e non può creare risorse o accedere a risorse criptate con la chiave per cui è stata revocata l'autorizzazione Speech-to-Text.

    Ricrittografa i dati

    Per crittografare nuovamente le risorse, puoi chiamare il metodo Update* corrispondente per ogni risorsa dopo aver aggiornato la specifica della chiave nella risorsa Config.

    Esegui la pulizia

    Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

    1. Optional: Revoke the authentication credentials that you created, and delete the local credential file. 

      gcloud auth application-default revoke

    2. Optional: Revoke credentials from the gcloud CLI. 

      gcloud auth revoke

    Console

  17. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  18. In the project list, select the project that you want to delete, and then click Delete.
  19. In the dialog, type the project ID, and then click Shut down to delete the project.

    20. gcloud

    Delete a Google Cloud project:

    gcloud projects delete PROJECT_ID

    Passaggi successivi