Per impostazione predefinita, Google Cloud cripta automaticamente i dati usando chiavi di crittografia gestite da Google. Se hai requisiti normativi o di conformità specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK).
Per saperne di più su CMEK, consulta la guida per CMEK nella documentazione di Cloud Key Management Service (KMS).
Dati protetti
Tutti i dati at-rest degli agenti Dialogflow CX possono essere protetti con CMEK.
Limitazioni
- L'analisi è disabilitata per gli agenti con CMEK abilitata.
- Gli agenti del datastore non supportano rotazione della chiave. Gli agenti Dialogflow CX senza datastore supportano la rotazione della chiave, in cui i nuovi dati vengono criptati con la nuova versione della chiave. La ricrittografia dei dati criptati in precedenza con una nuova versione della chiave non è supportata.
- La località globale non è supportata.
- Deve essere utilizzata una chiave per ogni località del progetto.
- Per ripristinare un agente con CMEK abilitata, devi scegliere l'opzione Cloud Storage.
- Le risorse esistenti nei progetti integrati non CMEK non possono essere integrate con CMEK retroattivamente. Consigliamo invece di esportare e ripristinare le risorse in un nuovo progetto per CMEK.
Crea chiavi
Per creare le chiavi, utilizza il servizio KMS. Per le istruzioni, consulta la sezione Creazione di chiavi simmetriche. Quando crei o scegli una chiave, devi configurare quanto segue:
- Assicurati di selezionare la località che utilizzi per l'agente, altrimenti le richieste non andranno a buon fine.
- Dialogflow non supporta rotazione della chiave per gli agenti del datastore. Se utilizzi un agente di questo tipo, il periodo di rotazione deve essere impostato su Mai quando crei la chiave.
Configura un agente per l'utilizzo delle tue chiavi
Quando crei un agente, puoi specificare la località dell'agente e se quest'ultimo utilizzerà una chiave gestita da Google o già configurata per quella località. Effettua le selezioni ora.
Configurare l'account di servizio o l'account utente
Crea l'account di servizio CMEK CCAI per il tuo progetto con Google Cloud CLI. Per ulteriori informazioni, consulta la documentazione relativa alle identità dei servizi gcloud.
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
L'account di servizio verrà creato. Non verrà restituito nella risposta di creazione, ma avrà il seguente formato:
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
Concedi all'account del servizio CMEK CCAI il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per garantire che il servizio disponga delle autorizzazioni per criptare e decriptare con la tua chiave.
gcloud kms keys add-iam-policy-binding KMS_KEY_ID \ --project=PROJECT_ID \ --location=LOCATION_ID \ --keyring=KMS_KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter