Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

Standardmäßig verschlüsselt Google Cloud Daten automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.

Weitere Informationen zu CMEK finden Sie im Leitfaden zu CMEK in der Cloud Key Management Service-Dokumentation (KMS).

Geschützte Daten

Alle Conversational Agents (Dialogflow CX)-Agent ruhende Daten mit CMEKs geschützt werden.

Beschränkungen

  • Analytics ist für Kundenservicemitarbeiter mit aktiviertem CMEK deaktiviert.
  • Datenspeicher-Agenten unterstützen die Schlüsselrotation nicht. Agents für Konversations-Agents (Dialogflow CX) ohne Datenspeicher Unterstützung für Schlüsselrotation, bei der neue Daten mit dem neuen Schlüssel verschlüsselt werden Version. Die Neuverschlüsselung zuvor verschlüsselter Daten mit einer neuen Schlüsselversion wird nicht unterstützt.
  • Der Standort global ist nicht unterstützt.
  • Pro Projektstandort sollte ein Schlüssel verwendet werden.
  • Um Agent wiederherstellen mit aktiviertem CMEK müssen Sie die Cloud Storage-Option auswählen.
  • Vorhandene Ressourcen in Projekten, die nicht CMEK-integriert sind, können nicht rückwirkend CMEK-integriert werden. Stattdessen wird empfohlen, Ressourcen für CMEK in ein neues Projekt zu exportieren und wiederherzustellen.

Schlüssel erstellen

Zum Erstellen von Schlüsseln verwenden Sie den KMS-Dienst. Eine Anleitung finden Sie unter Symmetrische Schlüssel erstellen. Beim Erstellen oder Auswählen eines Schlüssels müssen Sie Folgendes konfigurieren:

  • Wählen Sie unbedingt den Standort aus, den Sie für Ihren Agent verwenden. Andernfalls schlagen Anfragen fehl.
  • Konversations-Agents (Dialogflow CX) unterstützen keine Schlüsselrotation für Datenspeicher-Agents. Wenn Sie einen Agenten dieses Typs verwenden, muss der Rotationszeitraum beim Erstellen des Schlüssels auf Nie festgelegt sein.

Agent für die Verwendung Ihrer Schlüssel konfigurieren

Wenn Sie einen Agent erstellen, können Sie den Standort des Agents angeben und angeben, ob der Agent einen von Google oder den bereits konfigurierten vom Kunden verwalteten Schlüssel für diesen Standort verwenden soll. Treffen Sie jetzt Ihre Auswahl.

Dienst- oder Nutzerkonto konfigurieren

  1. Erstellen Sie das CCAI CMEK-Dienstkonto für Ihr Projekt mit der Google Cloud CLI. Weitere Informationen Siehe Dokumentation zu gcloud Services Identity.

    gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID

    Das Dienstkonto wird erstellt. Sie wird nicht in der Antwort vom Typ „create“ zurückgegeben, hat aber das folgende Format:

    service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
  2. Weisen Sie dem CCAI CMEK-Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu, damit der Dienst mit Ihrem Schlüssel verschlüsseln und entschlüsseln kann.

    gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
    --project=PROJECT_ID \
    --location=LOCATION_ID \
    --keyring=KMS_KEY_RING \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter