Alcuni prodotti e funzionalità sono in fase di ridenominazione. È in corso la migrazione anche delle funzionalità di flusso e playbook generativi in un'unica console consolidata. Consulta i dettagli.

Questa pagina è stata tradotta dall'API Cloud Translation.

Chiavi di crittografia gestite dal cliente (CMEK)

Per impostazione predefinita, Google Cloud cripta automaticamente i dati utilizzando chiavi di crittografia gestite da Google. Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK).

Per ulteriori informazioni sulle chiavi CMEK, consulta la guida alle chiavi CMEK nella documentazione di Cloud Key Management Service (KMS).

Dati protetti

Tutti i dati at-rest degli agenti Conversational Agents (Dialogflow CX) possono essere protetti con le CMEK.

Limitazioni

Gli agenti del datastore non supportano rotazione della chiave. Gli agenti Conversational Agents (Dialogflow CX) senza datastore supportano la rotazione della chiave, in base alla quale i nuovi dati vengono criptati con la nuova versione della chiave. La crittografia dei dati criptati in precedenza con una nuova versione della chiave non è supportata.
Le seguenti regioni non sono supportate:
- global
- eu
Deve essere utilizzata una chiave per ogni località del progetto.
Per ripristinare un agente con CMEK abilitato, devi scegliere l'opzione Cloud Storage.
Le risorse esistenti nei progetti non integrati con CMEK non possono essere integrate con CMEK in modo retroattivo. È invece consigliabile esportare e ripristinare le risorse in un nuovo progetto per CMEK.

Crea chiavi

Per creare le chiavi, utilizza il servizio KMS. Per le istruzioni, consulta Creare chiavi simmetriche. Quando crei o scegli una chiave, devi configurare quanto segue:

Assicurati di selezionare la località che utilizzi per il tuo agente, altrimenti le richieste non andranno a buon fine.
Conversational Agents (Dialogflow CX) non supporta rotazione della chiave per gli agenti di datastore. Se utilizzi un agente di questo tipo, il periodo di rotazione deve essere impostato su Mai quando crei la chiave.

Configurare un agente per utilizzare le tue chiavi

Quando crei un agente, puoi specificarne la posizione e indicare se l'agente utilizzerà una chiave gestita da Google o una chiave gestita dal cliente già configurata per quella posizione. Effettua le selezioni in questo momento.

Configura l'account di servizio o l'account utente

Crea l'account di servizio CMEK CCAI per il tuo progetto con Google Cloud CLI. Per saperne di più, consulta la documentazione di gcloud services identity.
```
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
```
Verrà creato l'account di servizio. Non verrà restituito nella risposta alla creazione, ma avrà il seguente formato:
```
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
```

Concedi all'account di servizio CMEK di CCAI il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per assicurarti che il servizio disponga delle autorizzazioni per criptare e decriptare con la tua chiave.

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--project=PROJECT_ID \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Indietro

Controllo dell'accesso

Avanti

Impostazioni di sicurezza