Diese Seite wurde von der Cloud Translation API übersetzt.

Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

In Agent Assist werden inaktive Kundeninhalte standardmäßig verschlüsselt. Agent Assist übernimmt die Verschlüsselung für Sie, sodass von Ihrer Seite keine weiteren Maßnahmen erforderlich sind. Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Agent Assist verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu steuern und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Agent Assist-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Geschützte Daten

Nur inaktive Konversationsdaten an einem unterstützten Standort können mit CMEKs geschützt werden.

Unterstützte Standorte und Funktionen

CMEK sind an allen Standorten und für alle Funktionen von Agent Assist an unterstützten Standorten verfügbar, einschließlich generativer KI-Funktionen.

Beschränkungen

CMEK ist nicht für Funktionen verfügbar, die in Agent Assist-Standorten und für intelligente Antworten deaktiviert sind.

Schlüssel erstellen

Zum Erstellen von Schlüsseln verwenden Sie den KMS-Dienst. Eine Anleitung finden Sie unter Symmetrische Schlüssel erstellen. Beim Erstellen oder Auswählen eines Schlüssels müssen Sie Folgendes konfigurieren:

Wählen Sie unbedingt den Standort aus, den Sie für Ihre Agent Assist-Daten verwenden. Andernfalls schlagen Anfragen fehl.

CMEK in Agent Assist aktivieren

Bevor Sie Agent Assist-Daten an einem bestimmten Speicherort erstellen, können Sie angeben, ob die Daten an diesem Speicherort durch einen vom Kunden verwalteten Schlüssel geschützt werden sollen. Konfigurieren Sie Ihren Schlüssel jetzt.

Vorbereitung

Erstellen Sie das CCAI CMEK-Dienstkonto für Ihr Projekt mit der Google Cloud CLI. Weitere Informationen finden Sie in der Dokumentation zu Identitäten für gcloud services.
```
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
```
Das Dienstkonto wird erstellt. Sie wird nicht in der Antwort auf die Erstellung zurückgegeben, hat aber das folgende Format:
```
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
```

Weisen Sie dem CCAI CMEK-Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu, damit der Dienst mit Ihrem Schlüssel verschlüsseln und entschlüsseln kann.

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--project=PROJECT_ID \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Schlüssel für einen Agent Assist-Standort konfigurieren

Verwende die InitializeEncryptionSpec API, um den Schlüssel zu konfigurieren.

Sie müssen die folgenden Variablen angeben:
- PROJECT_ID: Ihre Google Cloud -Projekt-ID
- LOCATION_ID: Der Standort, an dem Sie CMEK in Agent Assist aktiviert haben.
- KMS_KEY_RING: Der Schlüsselbund, in dem Ihr KMS-Schlüssel erstellt wurde. Der Speicherort im Schlüsselbund, z. B. projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING, muss mit dem Standort übereinstimmen, an dem Sie CMEK aktivieren.
- KMS_KEY_ID: Der Name des KMS-Schlüssels, mit dem Agent Assist-Daten am ausgewählten Speicherort verschlüsselt und entschlüsselt werden.
Beispiel:
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d "{ encryption_spec: { kms_key: 'projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_ID' } }" \
    "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
```
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
```
{
  "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
}
```

Mit der GetOperation API können Sie das Ergebnis des lang laufenden Vorgangs prüfen.

Beispiel:

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"

CMEK-Einstellungen prüfen

Mit der GetEncryptionSpec API können Sie den für einen Standort konfigurierten Verschlüsselungsschlüssel prüfen.

Beispiel:

    curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"

Schlüssel widerrufen

Wenn Sie den Zugriff von Agent Assist auf den Schlüssel widerrufen möchten, können Sie die KMS-Schlüsselversion deaktivieren oder die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler des Dienstkontos vom KMS-Schlüssel entfernen.

Nach dem Widerruf des Schlüssels kann Agent Assist nicht mehr auf die verschlüsselten Daten zugreifen. Der Dienst ist erst wieder einsatzbereit, wenn die Schlüsselberechtigungen reaktiviert wurden.