Conformité CMEK dans l'API Vision

Par défaut, Google Cloud chiffre automatiquement les données au repos à l'aide de clés de chiffrement gérées par Google.

L'API Vision comporte deux requêtes d'annotation asynchrones par lot : AsyncBatchAnnotateimages et AsyncBatchAnnotateFiles. Ces méthodes stockent vos données sur le disque en interne pendant le traitement (consultez la page Questions fréquentes sur l'utilisation des données pour en savoir plus). Le reste de cette section décrit la conformité CMEK dans l'API Cloud Vision et la manière dont ces données temporaires sont protégées au repos. Pour en savoir plus sur les clés CMEK en général, consultez la documentation de Cloud Key Management Service sur les clés CMEK.

Fonctionnement de la conformité CMEK dans l'API Cloud Vision

Dans l'API Cloud Vision, les méthodes de requête d'annotation par lot sont synchrones ou asynchrones.

Avant que l'API Cloud Vision n'écrive des données sur le disque, celles-ci sont automatiquement chiffrées à l'aide d'une clé éphémère appelée "clé de chiffrement des données" (DEK). Une nouvelle DEK est générée automatiquement pour chaque demande d'annotation asynchrone.

La DEK elle-même est chiffrée par une autre clé appelée "clé de chiffrement de clé" (KEK). La KEK n'est pas accessible aux ingénieurs ni au personnel d'assistance de Google.

Lorsque la clé éphémère (DEK) utilisée pour chiffrer ses données temporaires est détruite, les données temporaires ne sont plus accessibles, même si elles n'ont pas encore été supprimées.

L'API Vision écrit les résultats d'une requête d'annotation par lot dans votre bucket Cloud Storage, qui est également compatible avec les CMEK. Il est recommandé de configurer une clé de chiffrement par défaut sur vos buckets d'entrée et de sortie.

Pour en savoir plus sur l'utilisation des données dans l'API Vision, consultez Questions fréquentes sur l'utilisation des données.

Étapes suivantes