Standardmäßig verschlüsselt Google Cloud Daten automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.
Weitere Informationen zu CMEK finden Sie im Leitfaden zu CMEK in der Cloud Key Management Service-Dokumentation (KMS).
Geschützte Daten
Alle ruhenden Daten des Dialogflow CX-Agents können durch CMEKs geschützt werden.
Beschränkungen
- Analytics ist für Agents mit aktiviertem CMEK deaktiviert.
- Datenspeicher-Agents unterstützen keine Schlüsselrotation. Dialogflow CX-Agents ohne Datenspeicher unterstützen die Schlüsselrotation, bei der neue Daten mit der neuen Schlüsselversion verschlüsselt werden. Bereits verschlüsselte Daten können nicht mit einer neuen Schlüsselversion neu verschlüsselt werden.
- Der Standort global wird nicht unterstützt.
- Pro Projektstandort sollte ein Schlüssel verwendet werden.
- Zum Wiederherstellen eines Agents mit aktiviertem CMEK müssen Sie die Cloud Storage-Option auswählen.
- Vorhandene Ressourcen in nicht CMEK-integrierten Projekten können nicht rückwirkend in den CMEK eingebunden werden. Stattdessen wird empfohlen, Ressourcen zu exportieren und in einem neuen Projekt für CMEK wiederherzustellen.
Schlüssel erstellen
Zum Erstellen von Schlüsseln verwenden Sie den KMS-Dienst. Eine Anleitung finden Sie unter Symmetrische Schlüssel erstellen. Beim Erstellen oder Auswählen eines Schlüssels müssen Sie Folgendes konfigurieren:
- Wählen Sie unbedingt den Standort aus, den Sie für Ihren Agent verwenden. Andernfalls schlagen Anfragen fehl.
- Dialogflow unterstützt keine Schlüsselrotation für Datenspeicher-Agents. Wenn Sie einen Agent dieses Typs verwenden, muss der Rotationszeitraum beim Erstellen des Schlüssels auf Nie festgelegt werden.
Agent für die Verwendung Ihrer Schlüssel konfigurieren
Wenn Sie einen Agent erstellen, können Sie den Standort des Agents angeben und angeben, ob der Agent einen von Google verwalteten oder den bereits konfigurierten vom Kunden verwalteten Schlüssel für diesen Standort verwendet. Treffen Sie jetzt Ihre Auswahl.
Dienstkonto oder Nutzerkonto konfigurieren
Erstellen Sie mit der Google Cloud CLI das CCAI-CMEK-Dienstkonto für Ihr Projekt. Weitere Informationen finden Sie in der Dokumentation zur Identität von gcloud-Diensten.
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
Das Dienstkonto wird erstellt. Sie wird in der „create“-Antwort nicht zurückgegeben, hat aber das folgende Format:
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
Gewähren Sie dem CCAI-CMEK-Dienstkonto die Rolle Cloud KMS CryptoKey Encrypter/Decrypter, um dafür zu sorgen, dass der Dienst Berechtigungen zum Verschlüsseln und Entschlüsseln mit Ihrem Schlüssel hat.
gcloud kms keys add-iam-policy-binding KMS_KEY_ID \ --project=PROJECT_ID \ --location=LOCATION_ID \ --keyring=KMS_KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter