CMEK mit Vertex AI RAG Engine verwenden

Auf dieser Seite erfahren Sie, wie Sie CMEK für die Verwendung mit der Vertex AI RAG Engine aktivieren.

Übersicht

Die Vertex AI RAG Engine bietet robuste Optionen zum Verwalten der Verschlüsselung Ihrer inaktiven Daten. Standardmäßig werden alle Nutzerdaten in RagManagedDb mit einem Google-owned and Google-managed encryption keyverschlüsselt. Das ist die Standardeinstellung. Mit dieser Standardeinstellung können Sie ohne spezielle Konfiguration überprüfen, ob Ihre Daten sicher sind.

Wenn Sie mehr Kontrolle über die für die Verschlüsselung verwendeten Schlüssel benötigen, unterstützt die Vertex AI RAG Engine vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK). Mit CMEK können Sie Ihre kryptografischen Schlüssel, die in Cloud Key Management Service (KMS) verwaltet werden, zum Schutz Ihrer RAG-Korpusdaten verwenden.

Verschlüsselungsschlüssel mit Ihrem RAG-Korpus einrichten

Folgen Sie der Anleitung unter KMS-Schlüssel einrichten und Berechtigungen erteilen, um einen Verschlüsselungsschlüssel einzurichten.

CMEK-Einschränkungen für die Vertex AI-RAG-Engine

Die Vertex AI-RAG-Engine unterstützt CMEK mit den folgenden Einschränkungen:

  • Bevor Sie einen RAG-Korpus erstellen, müssen Sie das RAG-Dienstkonto manuell aktivieren. Eine ausführliche Anleitung finden Sie unter Berechtigungen für den Vertex AI RAG Engine-Dienst-Agent gewähren.

  • CMEK wird nur für RagVectorDbConfig vom Typ RagManagedDb unterstützt.

  • Im Feld encryption_spec wird der KMS-Schlüssel definiert. Das Feld ist unveränderlich. Das bedeutet, dass CMEK nach der Erstellung des RAG-Korpus nicht mehr aktiviert oder deaktiviert werden kann.

  • Pro Projekt und Region können maximal 50 eindeutige KMS-Schlüssel zum Erstellen von RAG-Korpora verwendet werden.

Nächste Schritte