Per impostazione predefinita, Google Cloud cripta automaticamente i dati utilizzando chiavi di crittografia gestite da Google. Se hai requisiti normativi o di conformità specifici relativi alle chiavi che proteggono i dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK).
Per ulteriori informazioni su CMEK, consulta la guida a CMEK nella documentazione di Cloud Key Management Service (KMS).
Dati protetti
Tutti i dati data-at-rest dell'agente Dialogflow CX possono essere protetti con CMEK.
Limitazioni
- Analytics è disabilitata per gli agenti con CMEK abilitata.
- Gli agenti del datastore non supportano rotazione della chiave. Gli agenti Dialogflow CX senza datastore supportano la rotazione della chiave in base alla quale i nuovi dati vengono criptati con la nuova versione della chiave. La ricrittografia di dati criptati in precedenza con una nuova versione della chiave non è supportata.
- La località globale non è supportata.
- Devi usare una chiave per ogni località del progetto.
- Per ripristinare un agente con CMEK abilitata, devi scegliere l'opzione Cloud Storage.
- Le risorse esistenti nei progetti integrati non CMEK non possono essere integrate retroattivamente con CMEK. Ti consigliamo invece di esportare e ripristinare le risorse in un nuovo progetto per CMEK.
Crea chiavi
Per creare chiavi, utilizza il servizio KMS. Per le istruzioni, consulta la sezione Creazione di chiavi simmetriche. Quando crei o scegli una chiave, devi configurare quanto segue:
- Assicurati di selezionare la località che utilizzi per l'agente, altrimenti le richieste non andranno a buon fine.
- Dialogflow non supporta rotazione della chiave per gli agenti del datastore. Se utilizzi un agente di questo tipo, il periodo di rotazione deve essere impostato su Mai quando crei la chiave.
Configura un agente per l'utilizzo delle chiavi
Quando crei un agente, puoi specificare la località dell'agente e se quest'ultimo utilizzerà una chiave gestita da Google o la chiave gestita dal cliente già configurata per quella località. Effettua le selezioni ora.
Configurare l'account di servizio o l'account utente
Crea l'account di servizio CMEK CCAI per il tuo progetto con Google Cloud CLI. Per ulteriori informazioni, consulta la documentazione relativa a gcloud services Identity.
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
L'account di servizio verrà creato. Non verrà restituito nella risposta di creazione, ma avrà il formato seguente:
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
Concedi all'account del servizio CMEK di CCAI il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per assicurarti che il servizio disponga delle autorizzazioni per criptare e decriptare con la tua chiave.
gcloud kms keys add-iam-policy-binding KMS_KEY_ID \ --project=PROJECT_ID \ --location=LOCATION_ID \ --keyring=KMS_KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter