Conformità CMEK nell'API Vision

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono in stato inattivo utilizzando chiavi di crittografia gestite da Google.

L'API Vision ha due richieste di annotazione batch asincrone: AsyncBatchAnnotateImages e AsyncBatchAnnotateFiles. Questi metodi archiviano i tuoi dati internamente su disco durante l'elaborazione (per ulteriori informazioni, consulta le Domande frequenti sull'utilizzo dei dati). Il resto di questo argomento descrive la conformità CMEK nell'API Vision e come questi dati temporanei vengono protetti at-rest. Per saperne di più su CMEK in generale, consulta la documentazione di Cloud Key Management Service su CMEK.

Come funziona la conformità CMEK nell'API Vision

Nell'API Vision, i metodi di richiesta di annotazione batch sono sincroni o asincroni.

Prima che Vision API scriva i dati su disco, questi vengono criptati automaticamente utilizzando una chiave effimera chiamata chiave di crittografia dei dati (DEK). Per ogni richiesta di annotazione asincrona viene generata automaticamente una nuova DEK.

La DEK stessa è criptata da un'altra chiave chiamata chiave di crittografia della chiave (KEK). La KEK non è accessibile agli ingegneri o al personale di assistenza di Google.

Quando la chiave temporanea (DEK) utilizzata per criptare i dati temporanei viene eliminata, non è più possibile accedere ai dati temporanei, anche se non sono ancora stati eliminati.

L'API Vision scrive i risultati di una richiesta di annotazione batch nel tuo bucket Cloud Storage, che supporta anche CMEK. Ti consigliamo di configurare una chiave di crittografia predefinita nei bucket di input e output.

Per saperne di più sull'utilizzo dei dati nell'API Vision, consulta le domande frequenti sull'utilizzo dei dati.

Passaggi successivi