Alcuni prodotti e funzionalità sono in fase di ridenominazione. È in corso la migrazione anche delle funzionalità di flusso e playbook generativi in un'unica console consolidata. Consulta i dettagli.

Questa pagina è stata tradotta dall'API Cloud Translation.

Chiavi di crittografia gestite dal cliente (CMEK)

Per impostazione predefinita, Google Cloud cripta automaticamente i dati mediante chiavi di crittografia gestite da Google. Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK).

Per ulteriori informazioni su CMEK, vedi la guida CMEK nella documentazione di Cloud Key Management Service (KMS).

Dati protetti

Tutti i dati at-rest degli agenti conversazionali (Dialogflow CX) possono essere protetti con le CMEK.

Limitazioni

Analytics è disattivato per gli agenti con CMEK abilitato.
Agenti di datastore non supportano rotazione della chiave. Gli agenti di conversazione (Dialogflow CX) senza datastore supportano la rotazione delle chiavi, in base alla quale i nuovi dati vengono criptati con la nuova versione della chiave. La ricrittografia dei dati criptati in precedenza con una nuova versione della chiave non supportati.
La località globale non è supportati.
Deve essere utilizzata una chiave per ogni località del progetto.
Per ripristinare un agente con CMEK abilitata, devi scegliere l'opzione Cloud Storage.
Le risorse esistenti nei progetti non integrati con CMEK non possono essere integrate con CMEK in modo retroattivo. Consigliamo invece di esportare e ripristinare le risorse in un nuovo progetto per CMEK.

Crea chiavi

Per creare le chiavi, utilizza il servizio KMS. Per le istruzioni, consulta Creare chiavi simmetriche. Quando crei o scegli una chiave, devi configurare quanto segue:

Assicurati di selezionare località che usi per l'agente altrimenti le richieste non andranno a buon fine.
Gli agenti conversazionali (Dialogflow CX) non supportano rotazione della chiave per gli agenti del datastore. Se utilizzando un agente di questo tipo, il periodo di rotazione deve essere impostato su Mai quando crei la chiave.

Configurare un agente per utilizzare le tue chiavi

Quando crei un agente, puoi specificarne la posizione e indicare se l'agente utilizzerà una chiave gestita da Google o una chiave gestita dal cliente già configurata per quella posizione. Effettua le selezioni ora.

Configura l'account di servizio o l'account utente

Crea l'account di servizio CMEK CCAI per il tuo progetto con Google Cloud CLI. Per saperne di più, consulta la documentazione relativa all'identità dei servizi gcloud.
```
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
```
Verrà creato l'account di servizio. Non verrà restituito nella risposta di creazione, ma avrà il seguente formato:
```
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
```

Concedi all'account di servizio CMEK di CCAI il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per assicurarti che il servizio disponga delle autorizzazioni per criptare e decriptare con la tua chiave.

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--project=PROJECT_ID \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Indietro

Controllo dell'accesso

Avanti

Impostazioni di sicurezza