Conformidade com a CMEK na API Vision

Por predefinição, Google Cloud encripta automaticamente os dados quando estão em repouso através de chaves de encriptação geridas pela Google.

A API Vision tem dois pedidos de anotação assíncronos em lote: AsyncBatchAnnotateImages e AsyncBatchAnnotateFiles. Estes métodos armazenam os seus dados no disco internamente durante o processamento (consulte as Perguntas frequentes sobre a utilização de dados para mais informações). O resto deste tópico descreve a conformidade com a CMEK na API Vision e como estes dados temporários são protegidos em repouso. Para mais informações sobre as CMEK em geral, consulte a documentação do Cloud Key Management Service sobre as CMEK.

Como funciona a conformidade com a CMEK na API Vision

Na API Vision, os métodos de pedido de anotação em lote são síncronos ou assíncronos.

Antes de a Vision API escrever dados no disco, os dados são automaticamente encriptados através de uma chave efémera denominada chave de encriptação de dados (DEK). É gerada automaticamente uma nova DEK para cada pedido de anotação assíncrono.

A própria DEK é encriptada por outra chave denominada chave de encriptação de chaves (KEK). A KEK não está acessível aos engenheiros nem à equipa de apoio técnico da Google.

Quando a chave temporária (DEK) que foi usada para encriptar os respetivos dados temporários é destruída, já não é possível aceder aos dados temporários, mesmo que os dados ainda não tenham sido eliminados.

A API Vision escreve os resultados de um pedido de anotação em lote no seu contentor do Cloud Storage, que também tem suporte para CMEK. Recomendamos que configure uma chave de encriptação predefinida nos contentores de entrada e saída.

Para mais informações sobre a utilização de dados na API Vision, consulte as Perguntas frequentes sobre a utilização de dados.

O que se segue?