Einige Produkte und Funktionen werden derzeit umbenannt. Auch generative Playbooks und Ablauffunktionen werden zu einer einzigen konsolidierten Konsole migriert. Weitere Informationen

Diese Seite wurde von der Cloud Translation API übersetzt.

Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

Standardmäßig verschlüsselt Google Cloud Daten automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.

Weitere Informationen zu CMEK finden Sie im Leitfaden zu CMEK in der Cloud Key Management Service-Dokumentation (KMS).

Geschützte Daten

Alle Conversational Agents (Dialogflow CX)-Agent ruhende Daten mit CMEKs geschützt werden.

Beschränkungen

Analytics ist für Agents mit aktiviertem CMEK deaktiviert.
Datenspeicher-Agenten unterstützen die Schlüsselrotation nicht. Agents für Konversations-Agents (Dialogflow CX) ohne Datenspeicher Unterstützung für Schlüsselrotation, bei der neue Daten mit dem neuen Schlüssel verschlüsselt werden Version. Die Neuverschlüsselung zuvor verschlüsselter Daten mit einer neuen Schlüsselversion wird nicht unterstützt.
Der Standort global ist nicht unterstützt.
Pro Projektspeicherort sollte ein Schlüssel verwendet werden.
Um Agent wiederherstellen mit aktiviertem CMEK müssen Sie die Cloud Storage-Option auswählen.
Vorhandene Ressourcen in Projekten, die nicht CMEK-integriert sind, können nicht rückwirkend CMEK-integriert werden. Stattdessen wird empfohlen, Ressourcen zu exportieren und in einem neuen Projekt für CMEK wiederherzustellen.

Schlüssel erstellen

Zum Erstellen von Schlüsseln verwenden Sie den KMS-Dienst. Eine Anleitung finden Sie unter Symmetrische Schlüssel erstellen. Beim Erstellen oder Auswählen eines Schlüssels müssen Sie Folgendes konfigurieren:

Wählen Sie unbedingt den Standort aus, den Sie für Ihren Agent verwenden. Andernfalls schlagen Anfragen fehl.
Conversational Agents (Dialogflow CX) unterstützen die Schlüsselrotation für Datenspeicher-Agents nicht. Wenn Sie Wenn Sie einen Agent dieses Typs verwenden, muss der Rotationszeitraum auf Nie festgelegt werden. wenn Sie den Schlüssel erstellen.

Agent für die Verwendung Ihrer Schlüssel konfigurieren

Wenn Sie einen Agent erstellen, können Sie den Agent location und ob der Agent einen Von Google verwalteter Schlüssel oder der bereits konfigurierte, vom Kunden verwaltete Schlüssel für diesen Standort. Treffen Sie jetzt Ihre Auswahl.

Dienst- oder Nutzerkonto konfigurieren

Erstellen Sie mit der Google Cloud CLI das CCAI-CMEK-Dienstkonto für Ihr Projekt. Weitere Informationen Siehe Dokumentation zu gcloud Services Identity.
```
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
```
Das Dienstkonto wird erstellt. Sie wird nicht in der Antwort auf die Erstellung zurückgegeben, hat aber das folgende Format:
```
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
```

Weisen Sie dem CCAI CMEK-Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu, damit der Dienst mit Ihrem Schlüssel verschlüsseln und entschlüsseln kann.

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--project=PROJECT_ID \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Zurück

Agentenzusammenarbeit

Weiter

Sicherheitseinstellungen