由客戶管理的加密金鑰 (CMEK)

根據預設，Dialogflow 會加密靜態儲存的客戶內容。Dialogflow 會為您處理加密作業，您不必採取任何其他動作。這項做法稱為「Google 預設加密」。 Google 預設加密功能使用的強化金鑰管理系統，與我們加密自家資料時使用的系統相同。這些系統包括嚴格的金鑰存取權控管與稽核措施。

如要控管加密金鑰，您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK)，並搭配 Dialogflow 等整合 CMEK 的服務。使用 Cloud KMS 金鑰可讓您控管保護等級、位置、輪換時間表、使用權限和存取權，以及加密範圍。使用 Cloud KMS 也能查看稽核記錄，以及控管金鑰生命週期。您可以在 Cloud KMS 中控制及管理這些金鑰，而不是由 Google 擁有及管理用來保護您資料的對稱金鑰加密金鑰 (KEK)。

使用 CMEK 設定資源後，存取 Dialogflow 資源的體驗與使用 Google 預設加密機制類似。如要進一步瞭解加密選項，請參閱客戶管理的加密金鑰 (CMEK)。

受保護的資料

所有 Conversational Agents (Dialogflow CX) 代理程式的靜態資料都可以使用 CMEK 保護。

限制

系統支援金鑰輪替，但不支援資料重新加密。也就是說，系統不支援使用新金鑰版本重新加密先前加密的資料。
不支援下列地區：
- global
每個專案位置應使用一個金鑰。
如要還原已啟用 CMEK 的代理程式，請務必選擇 Cloud Storage 選項。
非 CMEK 整合專案中的現有資源無法追溯整合 CMEK。建議您改為匯出資源，並在新的 CMEK 專案中還原。
AI 應用程式有部分 Cloud KMS 限制

建立金鑰

如要建立金鑰，請使用 KMS 服務。如需操作說明，請參閱「建立對稱金鑰」。建立或選擇金鑰時，必須設定下列項目：

請務必選取虛擬服務專員使用的位置，否則要求會失敗。

設定代理程式以使用金鑰

建立代理程式時，您可以指定代理程式位置，以及代理程式是否要使用 Google 管理的金鑰，或是已為該位置設定的客戶管理金鑰。請在此時選取。

必要條件

使用 Google Cloud CLI 為專案建立 CCAI CMEK 服務帳戶。詳情請參閱 gcloud 服務身分識別說明文件。
```
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
```
系統會建立服務帳戶。不會在建立回應中傳回，但格式如下：
```
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
```

將 Cloud KMS CryptoKey Encrypter/Decrypter 角色授予 CCAI CMEK 服務帳戶，確保服務有權使用您的金鑰加密及解密。

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--project=PROJECT_ID \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

設定 Conversational Agents (Dialogflow CX) 位置的金鑰

使用 InitializeEncryptionSpec API 設定金鑰。

您需要提供下列變數：
- PROJECT_ID：您的 Google Cloud 專案 ID。
- LOCATION_ID：您在 Conversational Agents (Dialogflow CX) 中選擇啟用 CMEK 的位置。
- KMS_KEY_RING：建立 KMS 金鑰的金鑰環。(金鑰環中的位置 (例如 projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING) 必須與啟用 CMEK 的位置相符)。
- KMS_KEY_ID：KMS 金鑰名稱，用於加密及解密所選位置的 Conversational Agents (Dialogflow CX) 資料。
例如：
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d "{ encryption_spec: { kms_key: 'projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_ID' } }" \
    "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec:initialize"
```
您應該會收到如下的 JSON 回應：
```
{
  "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"
}
```

使用 GetOperation API 檢查長時間執行的作業結果。

例如：

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATION_ID"

檢查 CMEK 設定

使用 GetEncryptionSpec API 檢查為位置資訊設定的加密金鑰。

例如：

    curl -X GET \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://LOCATION_ID-dialogflow.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION_ID/encryptionSpec"

撤銷金鑰

如要撤銷 Conversational Agents (Dialogflow CX) 對金鑰的存取權，您可以停用 KMS 金鑰版本，或從 KMS 金鑰移除服務帳戶的「Cloud KMS CryptoKey Encrypter/Decrypter」角色。

金鑰撤銷後，Conversational Agents (Dialogflow CX) 將無法存取加密資料，且服務會停止運作，直到金鑰權限恢復為止。

探員互助合作

安全性設定