Standardmäßig verschlüsselt Google Cloud Daten automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.
Weitere Informationen zu CMEK finden Sie im Leitfaden zu CMEK in der Cloud Key Management Service-Dokumentation (KMS).
Geschützte Daten
Dialogflow CX-Agent (alle) ruhende Daten mit CMEKs geschützt werden.
Beschränkungen
- Analytics ist für Agents mit aktiviertem CMEK deaktiviert.
- Datenspeicher-Agents unterstützen keine Schlüsselrotation. Dialogflow CX-Agents ohne Datenspeicher unterstützen eine Schlüsselrotation, bei der neue Daten mit dem neuen Schlüssel verschlüsselt werden Version. Die Neuverschlüsselung zuvor verschlüsselter Daten mit einer neuen Schlüsselversion ist nicht unterstützt.
- Der Standort global ist nicht unterstützt.
- Pro Projektspeicherort sollte ein Schlüssel verwendet werden.
- Um Agent wiederherstellen mit aktiviertem CMEK müssen Sie die Cloud Storage-Option auswählen.
- Vorhandene Ressourcen in nicht CMEK-integrierten Projekten können nicht rückwirkend in CMEK eingebunden werden. Stattdessen wird empfohlen, Ressourcen zu exportieren und in einem neuen Projekt für CMEK wiederherzustellen.
Schlüssel erstellen
Zum Erstellen von Schlüsseln verwenden Sie den KMS-Dienst. Eine Anleitung finden Sie unter Symmetrische Schlüssel erstellen. Beim Erstellen oder Auswählen eines Schlüssels müssen Sie Folgendes konfigurieren:
- Wählen Sie unbedingt den Standort aus, den Sie für Ihren Agent verwenden. Andernfalls schlagen Anfragen fehl.
- Dialogflow unterstützt keine Schlüsselrotation für Datenspeicher-Agents. Wenn Sie Wenn Sie einen Agent dieses Typs verwenden, muss der Rotationszeitraum auf Nie festgelegt werden. wenn Sie den Schlüssel erstellen.
Agent für die Verwendung Ihrer Schlüssel konfigurieren
Wenn Sie einen Agent erstellen, können Sie den Agent location und ob der Agent einen Von Google verwalteter Schlüssel oder der bereits konfigurierte, vom Kunden verwaltete Schlüssel für diesen Standort. Treffen Sie jetzt Ihre Auswahl.
Dienstkonto oder Nutzerkonto konfigurieren
Erstellen Sie mit der Google Cloud CLI das CCAI-CMEK-Dienstkonto für Ihr Projekt. Weitere Informationen Siehe Dokumentation zu gcloud Services Identity.
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
Das Dienstkonto wird erstellt. Sie wird nicht in der Antwort vom Typ „create“ zurückgegeben, hat aber das folgende Format:
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
Gewähren Sie dem CCAI-CMEK-Dienstkonto die Rolle Cloud KMS CryptoKey Encrypter/Decrypter, um sicherzustellen, dass der Dienst Berechtigungen zum Verschlüsseln und Entschlüsseln mit Ihrem Schlüssel hat.
gcloud kms keys add-iam-policy-binding KMS_KEY_ID \ --project=PROJECT_ID \ --location=LOCATION_ID \ --keyring=KMS_KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter