De forma predeterminada, Google Cloud encripta de forma automática los datos mediante claves de encriptación administradas por Google. Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen los datos, puedes usar las claves de encriptación administradas por el cliente (CMEK).
Para obtener más información sobre CMEK, consulta la guía de CMEK en la documentación de Cloud Key Management Service (KMS).
Datos protegidos
Todos los datos en reposo del agente de Dialogflow CX se pueden proteger con CMEK.
Limitaciones
- En este momento, Analytics está inhabilitado para los agentes que tienen CMEK habilitadas.
- Por el momento, no se admite la rotación de claves para los agentes de almacén de datos. Los agentes de Dialogflow CX sin almacenes de datos admiten la rotación de claves. En ninguna situación, no se admite la reencriptación de datos previamente encriptados con una nueva versión de la clave.
- No se admite la ubicación global.
- Se debe usar una clave por ubicación de proyecto.
- Para restablecer un agente con CMEK habilitadas, debes elegir la opción Cloud Storage.
Crea claves
Para crear claves, debes usar el servicio KMS. Para obtener instrucciones, consulta Crea claves simétricas. Cuando creas o eliges una clave, debes configurar lo siguiente:
- Asegúrate de seleccionar la ubicación que usas para tu agente. De lo contrario, las solicitudes fallarán.
- Dialogflow no admite la rotación de claves. Cuando creas la clave, el período de rotación debe establecerse en Nunca.
Configura un agente para usar tus claves
Cuando creas un agente, puedes especificar la ubicación del agente y si usará una clave administrada por Google o administrada por el cliente. Selecciona tu clave en este momento.
Configura tu cuenta de servicio o de usuario
La cuenta de servicio o de usuario que usas cuando llamas a Dialogflow debe tener permisos para encriptar y desencriptar tus claves. Asegúrate de que la cuenta tenga la función de Encriptador/Desencriptador de CryptoKey de Cloud KMS.