Par défaut, Google Cloud chiffre automatiquement les données à l'aide de clés gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques concernant les clés qui protègent vos données, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK).
Pour en savoir plus sur le chiffrement CMEK, consultez le guide CMEK dans la documentation de Cloud Key Management Service (KMS).
Données protégées
Agent Tous les agents conversationnels (Dialogflow CX) données au repos peuvent être protégées par des CMEK.
Limites
- Analytics est désactivé pour les agents avec CMEK activé.
- Agents de data store ne sont pas compatibles avec la rotation des clés. Agents conversationnels (Dialogflow CX) sans datastore Prise en charge de la rotation des clés, qui permet de chiffrer les nouvelles données à l'aide de la nouvelle clé version. Le rechiffrement de données précédemment chiffrées avec une nouvelle version de clé n'est pas compatibles.
- L'emplacement global n'est pas accepté.
- Une clé doit être utilisée par emplacement de projet.
- Afin de restaurer un agent avec CMEK activé, vous devez choisir l'option Cloud Storage.
- Les ressources existantes des projets non intégrés à CMEK ne peuvent pas être intégrées à CMEK rétroactivement. Nous vous recommandons plutôt d'exporter et de restaurer les ressources dans un nouveau projet pour les CMEK.
Créer des clés
Pour créer des clés, vous devez utiliser le service KMS. Pour obtenir des instructions, consultez la section Créer des clés symétriques. Lorsque vous créez ou choisissez une clé, vous devez configurer les éléments suivants :
- Assurez-vous de sélectionner l'emplacement que vous utilisez pour votre agent. Sinon, les requêtes échoueront.
- Les agents conversationnels (Dialogflow CX) ne sont pas compatibles avec la rotation des clés pour les agents de data store. Si vous utilisez un agent de ce type, la période de rotation doit être définie sur Never (Jamais) lorsque vous créez la clé.
Configurer un agent pour utiliser vos clés
Lorsque vous créez un agent, vous pouvez spécifier l'agent location et si l'agent utilisera un la clé gérée par Google ou la clé gérée par le client déjà configurée pour cet emplacement ; Faites votre choix à ce stade.
Configurer votre compte de service ou votre compte utilisateur
Créez le compte de service CCAI CMEK pour votre projet avec Google Cloud CLI. Pour en savoir plus, consultez la documentation sur l'identité des services gcloud.
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
Le compte de service sera créé. Il ne sera pas renvoyé dans la réponse de création, mais il aura le format suivant:
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
Accordez au compte de service CMEK CCAI le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS pour vous assurer que le service dispose des autorisations nécessaires pour chiffrer et déchiffrer à l'aide de votre clé.
gcloud kms keys add-iam-policy-binding KMS_KEY_ID \ --project=PROJECT_ID \ --location=LOCATION_ID \ --keyring=KMS_KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter