De forma predeterminada, Google Cloud encripta de forma automática los datos mediante claves de encriptación administradas por Google. Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen los datos, puedes usar las claves de encriptación administradas por el cliente (CMEK).
Para obtener más información sobre CMEK, consulta la guía de CMEK en la documentación de Cloud Key Management Service (KMS).
Datos protegidos
Todos los agentes de Dialogflow CX datos en reposo se pueden proteger con CMEK.
Limitaciones
- Analytics está inhabilitado para los agentes con CMEK habilitadas.
- Agentes de almacenes de datos no admiten la rotación de claves. Agentes de Dialogflow CX sin almacenes de datos Admiten la rotación de claves, mediante la cual los datos nuevos se encriptan con la clave nueva. versión. Volver a encriptar datos previamente encriptados con una versión de clave nueva no es no es compatible.
- La ubicación global no es no es compatible.
- Se debe usar una clave por ubicación de proyecto.
- Para restablecer un agente con CMEK habilitadas, debes elegir la opción de Cloud Storage.
- Los recursos existentes en proyectos integrados que no son de CMEK no se pueden integrar con CMEK de forma retroactiva. En su lugar, se recomienda que los recursos se exporten y restablezcan en un proyecto nuevo para CMEK.
Crea claves
Para crear claves, debes usar el servicio KMS. Para obtener instrucciones, consulta Crea claves simétricas. Cuando creas o eliges una clave, debes configurar lo siguiente:
- Asegúrate de seleccionar la ubicación que usas para tu agente. De lo contrario, las solicitudes fallarán.
- Dialogflow no admite la rotación de claves para los agentes de almacén de datos. Si eres con un agente de este tipo, el período de rotación debe establecerse en Nunca cuando crees la clave.
Configura un agente para usar tus claves
Cuando creas un agente, puedes especificar el agente location y si el agente usará una Administrada por Google o la clave administrada por el cliente ya configurada para esa ubicación. Realiza tus selecciones en este momento.
Configura tu cuenta de servicio o de usuario
Crea la cuenta de servicio de CMEK de CCAI para tu proyecto con Google Cloud CLI. Para obtener más información, consulta la documentación de identidad de los servicios de gcloud.
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
Se creará la cuenta de servicio. No se mostrará en la respuesta de creación, pero tendrá el siguiente formato:
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
Otorga a la cuenta de servicio de CMEK de CCAI el rol Encriptador/Desencriptador de CryptoKey de Cloud KMS para asegurarte de que el servicio tenga permisos para encriptar y desencriptar con tu clave.
gcloud kms keys add-iam-policy-binding KMS_KEY_ID \ --project=PROJECT_ID \ --location=LOCATION_ID \ --keyring=KMS_KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter