Cumplimiento de CMEK en la API de Vision

De forma predeterminada, Google Cloud cifra automáticamente los datos en reposo con claves de cifrado gestionadas por Google.

La API Vision tiene dos solicitudes de anotación asíncronas por lotes: AsyncBatchAnnotateImages y AsyncBatchAnnotateFiles. Estos métodos almacenan tus datos en el disco de forma interna durante el procesamiento (consulta las preguntas frecuentes sobre el uso de datos para obtener más información). En el resto de este tema se describe el cumplimiento de CMEK en la API Vision y cómo se protegen los datos temporales en reposo. Para obtener más información sobre las CMEK en general, consulta la documentación de Cloud Key Management Service sobre las CMEK.

Cómo funciona el cumplimiento de CMEK en la API Vision

En la API Vision, los métodos de solicitud de anotación por lotes son síncronos o asíncronos.

Antes de que la API Vision escriba datos en el disco, estos se cifran automáticamente con una clave efímera llamada clave de cifrado de datos (DEK). Se genera automáticamente una DEK para cada solicitud de anotación asíncrona.

La DEK se cifra con otra clave llamada clave de cifrado de claves (KEK). Los ingenieros ni el personal de asistencia de Google pueden acceder a la KEK.

Cuando se destruye la clave efímera (DEK) que se usó para cifrar sus datos temporales, ya no se puede acceder a los datos temporales, aunque aún no se hayan eliminado.

La API Vision escribe los resultados de una solicitud de anotación por lotes en tu segmento de Cloud Storage, que también admite CMEK. Te recomendamos que configures una clave de cifrado predeterminada en tus cubos de entrada y salida.

Para obtener más información sobre el uso de datos en la API Vision, consulta las preguntas frecuentes sobre el uso de datos.

Siguientes pasos