Os métodos da API Vision assíncrona mantêm os dados no disco temporariamente (consulte as Perguntas frequentes sobre o uso de dados). Estes métodos são automaticamente compatíveis com CMEK, sem necessidade de configuração:
Antes da API Vision gravar dados no disco, os dados são criptografados automaticamente usando uma chave temporária chamada de chave de criptografia de dados (DEK, na sigla em inglês). Uma nova DEK é gerada automaticamente para cada solicitação de anotação assíncrona.
A própria DEK é criptografada por outra chave chamada KEK.
A KEK não pode ser acessada pelos engenheiros ou pela equipe de suporte do Google.
Quando a chave temporária (DEK) usada para criptografar os dados temporários for destruída, os dados temporários não poderão mais ser acessados, mesmo que os dados ainda não tenham sido excluídos.
A API Vision grava os resultados de uma solicitação de anotação em lote no bucket do Cloud Storage, que também é compatível com o CMEK. É recomendável configurar uma chave de criptografia padrão nos buckets de entrada e saída.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-19 UTC."],[],[],null,["# CMEK compliance in Vision API\n\nBy default, Google Cloud automatically [encrypts data when it is at\nrest](/security/encryption/default-encryption) using encryption keys\nmanaged by Google.\n\nVision API has two batch asynchronous annotation requests:\n[AsyncBatchAnnotateImages](/vision/docs/reference/rpc/google.cloud.vision.v1#google.cloud.vision.v1.ImageAnnotator.AsyncBatchAnnotateImages) and\n[AsyncBatchAnnotateFiles](/vision/docs/reference/rpc/google.cloud.vision.v1#google.cloud.vision.v1.ImageAnnotator.AsyncBatchAnnotateFiles). These methods store\nyour data on disk internally during processing (see the\n[Data Usage FAQ](/vision/docs/data-usage) for more information). The rest of this topic\ndescribes CMEK compliance in Vision API, and how this temporary\ndata is protected at rest. For more information about CMEK in general, see the\n[Cloud Key Management Service documentation about CMEK](/kms/docs/cmek).\n\nHow CMEK compliance works in Vision API\n---------------------------------------\n\nIn Vision API, batch annotation request methods are either\nsynchronous or asynchronous.\n\n- Synchronous Vision API methods don't persist data to disk and thus are\n automatically CMEK-compliant, with no configuration required:\n\n - [BatchAnnotateImages](/vision/docs/reference/rpc/google.cloud.vision.v1#google.cloud.vision.v1.ImageAnnotator.BatchAnnotateImages)\n - [BatchAnnotateFiles](/vision/docs/reference/rpc/google.cloud.vision.v1#google.cloud.vision.v1.ImageAnnotator.BatchAnnotateFiles)\n- Asynchronous Vision API methods do persist data to disk temporarily\n (see [Data Usage FAQ](/vision/docs/data-usage)). These methods are automatically\n CMEK-compliant, with no configuration required:\n\n - [AsyncBatchAnnotateImages](/vision/docs/reference/rpc/google.cloud.vision.v1#google.cloud.vision.v1.ImageAnnotator.AsyncBatchAnnotateImages)\n - [AsyncBatchAnnotateFiles](/vision/docs/reference/rpc/google.cloud.vision.v1#google.cloud.vision.v1.ImageAnnotator.AsyncBatchAnnotateFiles)\n\nBefore Vision API writes data to disk, the data is automatically\nencrypted using an ephemeral key called a data-encryption key (DEK). A\nnew DEK is automatically generated for each asynchronous annotation request.\n\nThe DEK itself is encrypted by another key called the key encryption key (KEK).\nThe KEK is not accessible to Google engineers or support staff.\n\nWhen the ephemeral key (DEK) that was used to encrypt\nits temporary data is destroyed, the temporary data can no longer be\naccessed, even if the data hasn't been deleted yet.\n\nVision API writes the results of a batch annotation request to your\nCloud Storage bucket, which also has support for CMEK. It is recommended\nto set up a [default encryption key](/storage/docs/encryption/using-customer-managed-keys#using_default_encryption_keys) on your input and output\nbuckets.\n| **Note:** CMEK keys are not supported for [Product Search](/vision/product-search/docs).\n\nFor more information about data usage in Vision API, see the\n[Data Usage FAQ](/vision/docs/data-usage).\n\nWhat's next?\n------------\n\n- Learn more about [Batch annotation requests](/vision/docs/batch)\n- Learn more about [CMEK](/kms/docs/cmek)\n- Learn more about [Cloud KMS](/kms/docs)"]]
