根據預設, Google Cloud 會使用 Google 管理的加密金鑰,自動在資料處於靜態狀態時加密資料。
Vision API 提供兩種非同步批次註解要求:AsyncBatchAnnotateImages 和 AsyncBatchAnnotateFiles。這些方法會在處理期間將您的資料儲存在磁碟內部 (詳情請參閱資料使用常見問題)。本主題的其餘部分將說明 Vision API 中的 CMEK 法規遵循情況,以及如何保護這類暫時性資料。如要進一步瞭解 CMEK,請參閱 Cloud Key Management Service 的 CMEK 說明文件。
Vision API 中的 CMEK 法規遵循情況
在 Vision API 中,批次註解要求方法是同步或非同步。
同步 Vision API 方法不會將資料儲存在磁碟,因此會自動符合 CMEK 規定,且不需要設定:
非同步 Vision API 方法會將資料暫時儲存至磁碟 (請參閱「資料使用量常見問題」)。以下方法會自動符合 CMEK 規範,無須設定:
在 Vision API 將資料寫入磁碟之前,系統會使用稱為資料加密金鑰 (DEK) 的暫時性金鑰,自動加密資料。系統會為每個非同步註解要求自動產生新的 DEK。
DEK 本身使用另一個稱為「金鑰加密金鑰」(KEK) 的金鑰進行加密。Google 工程師或支援人員無法存取 KEK。
當用於加密暫存資料的暫時性金鑰 (DEK) 遭到刪除時,即使資料尚未刪除,也無法再存取暫存資料。
Vision API 會將批註要求的結果寫入 Cloud Storage 值區,該值區也支援 CMEK。建議您在輸入和輸出儲存桶中設定預設加密金鑰。
如要進一步瞭解 Vision API 的資料用量,請參閱「資料用量常見問題」。