Clés de chiffrement gérées par le client (CMEK)

Par défaut, Agent Assist chiffre le contenu client au repos. Agent Assist gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Agent Assist. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Agent Assist est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Données protégées

Seules les données de conversation au repos dans un emplacement compatible peuvent être protégées par des clés CMEK.

Emplacements acceptés

CMEK est disponible dans tous les emplacements d'Agent Assist, à l'exception de global et eu. Pour en savoir plus, consultez également la page sur la régionalisation d'Agent Assist.

Limites

CMEK est également disponible pour toutes les fonctionnalités compatibles avec les emplacements d'Agent Assist, y compris les suivantes:

• Rédaction de résumés avec un modèle de référence
• Récapitulatif avec des sections personnalisées
• Transcription
• (Proactive) Generative Knowledge Assist

Créer des clés

Pour créer des clés, vous devez utiliser le service KMS. Pour obtenir des instructions, consultez la section Créer des clés symétriques. Lorsque vous créez ou choisissez une clé, vous devez configurer les éléments suivants :

• Assurez-vous de sélectionner l'emplacement que vous utilisez pour vos données Agent Assist. Sinon, les requêtes échoueront.

Activer CMEK dans Agent Assist

Avant de créer des données Agent Assist à un emplacement spécifique, vous pouvez spécifier si les données de cet emplacement seront protégées par une clé gérée par le client. Configurez votre clé à ce stade.

Prérequis

1. Créez le compte de service CMEK CCAI pour votre projet avec Google Cloud CLI. Pour en savoir plus, consultez la documentation sur l'identité des services gcloud.

   gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID

   Le compte de service sera créé. Il ne sera pas renvoyé dans la réponse de création, mais aura le format suivant:

   service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com

2. Accordez au compte de service CMEK CCAI le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS pour vous assurer que le service dispose des autorisations nécessaires pour chiffrer et déchiffrer à l'aide de votre clé.

   gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
   --project=PROJECT_ID \
   --location=LOCATION_ID \
   --keyring=KMS_KEY_RING \
   --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \
   --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Configurer une clé pour un emplacement Agent Assist

1. Utilisez l'API InitializeEncryptionSpec pour configurer la clé.

   Vous devrez fournir les variables suivantes:

   • PROJECT_ID : ID de votre projet Google Cloud .
   • LOCATION_ID: emplacement que vous avez choisi pour activer CMEK dans Agent Assist.
   • KMS_KEY_RING: trousseau de clés dans lequel votre clé KMS a été créée. (L'emplacement du trousseau de clés, comme projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING, doit correspondre à l'emplacement où vous activez CMEK.)
   • KMS_KEY_ID: nom de votre clé KMS qui sera utilisée pour chiffrer et déchiffrer les données Agent Assist à l'emplacement sélectionné.

   Exemple :

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d "{ encryption_spec: { kms_key: 'projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_ID' } }" \
       "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"

   Vous devriez recevoir une réponse JSON de ce type :

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
   }

2. Utilisez l'API GetOperation pour vérifier le résultat de l'opération de longue durée.

   Exemple :

   curl -X GET \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"

Vérifier les paramètres CMEK

Utilisez l'API GetEncryptionSpec pour vérifier la clé de chiffrement configurée pour un emplacement.

Exemple :

    curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"
  

Révoquer des clés

Pour révoquer l'accès d'Agent Assist à la clé, vous pouvez désactiver la version de la clé KMS ou supprimer le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS du compte de service de la clé KMS.

Une fois la révocation de la clé effectuée, les données chiffrées ne seront plus accessibles à Agent Assist. Le service ne sera plus opérationnel tant que les autorisations de clé ne seront pas rétablies.