Por padrão, o Google Cloud criptografa dados automaticamente usando chaves de criptografia gerenciadas pelo Google. Se você tiver requisitos regulatórios ou de conformidade específicos relacionados às chaves que protegem seus dados, use chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês).
Para mais informações sobre o CMEK, consulte o guia do CMEK na documentação do Cloud Key Management Service (KMS).
Dados protegidos
Todos os dados em repouso do agente do Dialogflow CX podem ser protegidos com CMEKs.
Limitações
- O Analytics está desativado para os agentes com a CMEK ativada.
- Os agentes de armazenamento de dados não são compatíveis com a rotação de chaves. Os agentes do Dialogflow CX sem armazenamentos de dados são compatíveis com a rotação de chaves, em que novos dados são criptografados com a nova versão da chave. Não é possível criptografar novamente os dados já criptografados com uma nova versão da chave.
- O local global não é aceito.
- Uma chave precisa ser usada por local do projeto.
- Para restaurar um agente com a CMEK ativada, escolha a opção do Cloud Storage.
- Os recursos atuais em projetos integrados não CMEK não podem ser integrados a CMEK retroativamente. Em vez disso, recomendamos que os recursos sejam exportados e restaurados em um novo projeto para a CMEK.
Criar chaves
Para criar chaves, use o serviço KMS. Para instruções, consulte Como criar chaves simétricas. Ao criar ou escolher uma chave, você precisa configurar o seguinte:
- Certifique-se de selecionar o local que você usa para seu agente, caso contrário, as solicitações falharão.
- O Dialogflow não é compatível com a rotação de chaves de agentes do repositório de dados. Se você estiver usando um agente desse tipo, defina o período de rotação como Nunca ao criar a chave.
Configurar um agente para usar suas chaves
Ao criar um agente, especifique o local dele e se ele usará uma chave gerenciada pelo Google ou pelo cliente já configurada para esse local. Faça suas seleções agora.
Configurar a conta de serviço ou de usuário
Crie a conta de serviço CMEK da CCAI para seu projeto com a Google Cloud CLI. Para mais informações, consulte a documentação de identidade de serviços da gcloud.
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
A conta de serviço será criada. Ele não será retornado na resposta de criação, mas terá o seguinte formato:
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
Conceda à conta de serviço CMEK da CCAI o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS para garantir que o serviço tenha permissões para criptografar e descriptografar com sua chave.
gcloud kms keys add-iam-policy-binding KMS_KEY_ID \ --project=PROJECT_ID \ --location=LOCATION_ID \ --keyring=KMS_KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter