本页面介绍了如何启用 CMEK 以便与 Vertex AI RAG 引擎搭配使用。
概览
Vertex AI RAG 引擎提供了强大的选项来管理静态数据的加密方式。默认情况下,RagManagedDb 中的所有用户数据均使用 Google-owned and Google-managed encryption key进行加密,这是默认设置。此默认设置有助于您验证数据是否安全,而无需进行任何特定配置。
如果您需要更好地控制用于加密的密钥,Vertex AI RAG 引擎支持客户管理的加密密钥 (CMEK)。借助 CMEK,您可以使用在 Cloud Key Management Service (KMS) 中管理的加密密钥来保护 RAG 语料库数据。
使用 RAG 语料库设置加密密钥
如需设置加密密钥,请按照设置 KMS 密钥并授予权限中的步骤操作。
Vertex AI RAG 引擎的 CMEK 限制
Vertex AI RAG 引擎支持 CMEK,但存在以下限制:
在创建 RAG 语料库之前,您必须手动启用 RAG 服务账号。如需了解详细说明,请参阅向 Vertex AI RAG Engine 服务智能体授予权限。
CMEK 仅在类型为
RagManagedDb的RagVectorDbConfig上受支持。encryption_spec字段用于定义 KMS 密钥,并且该字段是不可变的,这意味着在创建 RAG 语料库后,无法启用或停用 CMEK。每个项目在每个区域中最多只能使用 50 个唯一的 KMS 密钥来创建 RAG 语料库。
后续步骤
- 如需了解如何管理加密,请参阅管理加密。
- 如需详细了解 Vertex AI RAG 引擎,请参阅 Vertex AI RAG 引擎概览。
- 如需详细了解静态数据,请参阅数据驻留。
- 如需详细了解 RAG API,请参阅 RAG Engine API。