Google Cloud では、デフォルトで、Google が管理する暗号鍵を使用して、自動的に保存されているデータを暗号化します。
Vision API には、AsyncBatchAnnotateImages と AsyncBatchAnnotateFiles という 2 つのバッチ非同期アノテーション リクエストがあります。これらのメソッドでは、データは処理中に内部的にディスクに保存されます(詳細については、データ使用に関するよくある質問をご覧ください)。この後は、Vision API での CMEK コンプライアンスと、この一時データの保存中の保護方法について説明します。CMEK の詳細については、CMEK に関する Cloud Key Management Service のドキュメントをご覧ください。
Vision API における CMEK コンプライアンスの仕組み
Vision API では、バッチ アノテーション リクエストのメソッドは、同期または非同期のどちらかです。
同期 Vision API メソッドでは、データをディスクに保持しないため、自動的に CMEK に準拠し、構成は不要です。
非同期 Vision API メソッドでは、データを一時的にディスクに保持します(データ使用に関するよくある質問をご覧ください)。これらのメソッドは、自動的に CMEK に準拠し、構成は不要です。
データは、Vision API でディスクに書き込まれる前に、データ暗号鍵(DEK)と呼ばれるエフェメラル キーで自動的に暗号化されます。新しい DEK は、非同期アノテーション リクエストごとに自動的に生成されます。
DEK 自体は、鍵暗号鍵(KEK)と呼ばれる別の鍵で暗号化されています。 KEK には、Google のエンジニアやサポート スタッフはアクセスできません。
一時データの暗号化に使用されたエフェメラル キー(DEK)が破棄されると、データが削除されていない場合でも、一時データにアクセスできなくなります。
Vision API は、バッチ アノテーション リクエストの結果を、Cloud Storage バケットに書き込みます。これも CMEK をサポートしています。入力バケットと出力バケットに、デフォルトの暗号鍵を設定することをおすすめします。
Vision API のデータ使用の詳細については、データ使用に関するよくある質問をご覧ください。
次のステップ
- バッチ アノテーション リクエストの詳細を確認する。
- CMEK の詳細を見る。
- Cloud KMS の詳細を確認する。