Per impostazione predefinita, Google Cloud cripta automaticamente i dati mediante chiavi di crittografia gestite da Google. Se hai requisiti normativi o di conformità specifici alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK).
Per ulteriori informazioni su CMEK, vedi la guida CMEK nella documentazione di Cloud Key Management Service (KMS).
Dati protetti
Tutti gli agenti Dialogflow CX dati at-rest possono essere protette con le CMEK.
Limitazioni
- L'analisi è disabilitata per gli agenti con CMEK abilitata.
- Agenti di datastore non supportano rotazione della chiave. Agenti Dialogflow CX senza datastore supportano rotazione della chiave, in cui i nuovi dati vengono criptati con la nuova chiave completamente gestita. La ricrittografia dei dati criptati in precedenza con una nuova versione della chiave non supportati.
- La località globale non è supportati.
- Deve essere utilizzata una chiave per ogni località del progetto.
- Per ripristinare un agente con CMEK abilitata, devi scegliere l'opzione Cloud Storage.
- Le risorse esistenti nei progetti integrati non CMEK non possono essere integrate con CMEK retroattivamente. Consigliamo invece di esportare e ripristinare le risorse in un nuovo progetto per CMEK.
Crea chiavi
Per creare le chiavi, utilizza il servizio KMS. Per istruzioni, vedi Creazione di chiavi simmetriche. Quando crei o scegli una chiave, devi configurare quanto segue:
- Assicurati di selezionare località che usi per l'agente altrimenti le richieste non andranno a buon fine.
- Dialogflow non supporta rotazione della chiave per gli agenti del datastore. Se utilizzando un agente di questo tipo, il periodo di rotazione deve essere impostato su Mai quando crei la chiave.
Configura un agente per l'utilizzo delle tue chiavi
Quando crei un agente, puoi specificare l'agente location e se l'agente utilizzerà o meno una Chiave gestita da Google o gestita dal cliente già configurata per quella località. Effettua le selezioni ora.
Configurare l'account di servizio o l'account utente
Crea l'account di servizio CMEK CCAI per il tuo progetto con Google Cloud CLI. Per ulteriori informazioni, consulta la documentazione relativa alle identità dei servizi gcloud.
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
L'account di servizio verrà creato. Non verrà restituito nella risposta di creazione, ma avrà il seguente formato:
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
Concedi all'account del servizio CMEK CCAI il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per garantire che il servizio disponga delle autorizzazioni per criptare e decriptare con la tua chiave.
gcloud kms keys add-iam-policy-binding KMS_KEY_ID \ --project=PROJECT_ID \ --location=LOCATION_ID \ --keyring=KMS_KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter