Alguns produtos e recursos estão sendo renomeados. Os recursos generativos de fluxo e playbook também estão sendo migrados para um único console consolidado. Confira os detalhes.

Esta página foi traduzida pela API Cloud Translation.

Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)

Por padrão, o Google Cloud criptografa dados automaticamente usando chaves de criptografia gerenciadas pelo Google. Se você tiver requisitos regulatórios ou de conformidade específicos relacionados às chaves que protegem seus dados, use chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês).

Para mais informações sobre o CMEK, consulte o guia do CMEK na documentação do Cloud Key Management Service (KMS).

Dados protegidos

Todos os dados em repouso dos agentes de agentes de conversação (Dialogflow CX) podem ser protegidos com CMEKs.

Limitações

Os agentes de repositório de dados não são compatíveis com a rotação de chaves. Os agentes de conversação (Dialogflow CX) sem repositórios de dados têm suporte à rotação de chaves, em que novos dados são criptografados com a nova versão da chave. Não é possível recriptografar dados criptografados anteriormente com uma nova versão de chave.
As seguintes regiões não são compatíveis:
- global
- eu
Uma chave precisa ser usada por local do projeto.
Para restaurar um agente com o CMEK ativado, é necessário escolher a opção do Cloud Storage.
Os recursos atuais em projetos não integrados à CMEK não podem ser integrados à CMEK retroativamente. Em vez disso, é recomendável exportar e restaurar os recursos em um novo projeto para o CMEK.

Criar chaves

Para criar chaves, use o serviço KMS. Para instruções, consulte Como criar chaves simétricas. Ao criar ou escolher uma chave, você precisa configurar o seguinte:

Certifique-se de selecionar o local que você usa para seu agente, caso contrário, as solicitações falharão.
Os agentes de conversação (Dialogflow CX) não são compatíveis com a rotação de chaves para agentes de repositório de dados. Se você estiver usando um agente desse tipo, o período de rotação precisa ser definido como Nunca ao criar a chave.

Configurar um agente para usar suas chaves

Ao criar um agente, é possível especificar o local dele e se ele vai usar uma chave gerenciada pelo Google ou uma chave gerenciada pelo cliente já configurada para esse local. Faça suas escolhas agora.

Configurar sua conta de serviço ou de usuário

Crie a conta de serviço do CCAI CMEK para seu projeto com a Google Cloud CLI. Para mais informações, consulte a documentação de identidade dos serviços do gcloud.
```
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
```
A conta de serviço será criada. Ele não será retornado na resposta de criação, mas terá o seguinte formato:
```
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
```

Conceda à conta de serviço da CMEK do CCAI o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS para garantir que o serviço tenha permissões para criptografar e descriptografar com sua chave.

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--project=PROJECT_ID \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Colaboração do agente

Configurações de segurança