Usar a CMEK com o mecanismo RAG da Vertex AI

Nesta página, mostramos como ativar a CMEK para trabalhar com o mecanismo de RAG da Vertex AI.

Visão geral

O mecanismo de RAG da Vertex AI oferece opções robustas para gerenciar a criptografia dos seus dados em repouso. Por padrão, todos os dados do usuário no RagManagedDb são criptografados usando um Google-owned and Google-managed encryption key, que é a configuração padrão. Essa configuração padrão ajuda a verificar se os dados estão seguros sem exigir nenhuma configuração específica.

Se você precisar de mais controle sobre as chaves usadas para criptografia, o mecanismo de RAG do Vertex AI vai oferecer suporte a chaves de criptografia gerenciadas pelo cliente (CMEK). Com a CMEK, você pode usar suas chaves criptográficas, gerenciadas no Cloud Key Management Service (KMS), para proteger os dados do corpus de RAG.

Configurar a chave de criptografia com seu corpus RAG

Para configurar uma chave de criptografia, siga as etapas em Configurar a chave do KMS e conceder permissões.

Limitações da CMEK para o mecanismo de RAG da Vertex AI

O mecanismo de RAG da Vertex AI é compatível com o CMEK com as seguintes limitações:

  • Antes de criar um corpus de RAG, é preciso ativar manualmente a conta de serviço do RAG. Para instruções detalhadas, consulte Conceder permissões ao agente de serviço do mecanismo de RAG da Vertex AI.

  • A CMEK é compatível apenas com RagVectorDbConfig do tipo RagManagedDb.

  • O campo encryption_spec define a chave do KMS e é imutável. Isso significa que a CMEK não pode ser ativada ou desativada depois que o corpus de RAG é criado.

  • Não é possível usar mais de 50 chaves exclusivas do KMS para criar corpora de RAG por projeto e região.

A seguir