Certains produits et fonctionnalités sont en cours de changement de nom. Les fonctionnalités de playbook et de flux génératifs sont également en cours de migration vers une console unique. Consultez les détails.

Cette page a été traduite par l'API Cloud Translation.

Clés de chiffrement gérées par le client (CMEK)

Par défaut, Google Cloud chiffre automatiquement les données à l'aide de clés gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques concernant les clés qui protègent vos données, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK).

Pour en savoir plus sur le chiffrement CMEK, consultez le guide CMEK dans la documentation de Cloud Key Management Service (KMS).

Données protégées

Toutes les données au repos des agents de conversation (Dialogflow CX) peuvent être protégées par des CMEK.

Limites

Les agents de magasin de données ne sont pas compatibles avec la rotation des clés. Les agents de conversation (Dialogflow CX) sans data stores prennent en charge la rotation des clés, ce qui permet de chiffrer les nouvelles données avec la nouvelle version de clé. Le rechiffrement de données précédemment chiffrées avec une nouvelle version de clé n'est pas pris en charge.
Les régions suivantes ne sont pas compatibles :
- global
- eu
Une clé doit être utilisée par emplacement de projet.
Pour restaurer un agent avec CMEK activé, vous devez choisir l'option Cloud Storage.
Les ressources existantes des projets non intégrés à CMEK ne peuvent pas être intégrées à CMEK rétroactivement. Nous vous recommandons plutôt d'exporter et de restaurer les ressources dans un nouveau projet pour CMEK.

Créer des clés

Pour créer des clés, vous devez utiliser le service KMS. Pour obtenir des instructions, consultez la section Créer des clés symétriques. Lorsque vous créez ou choisissez une clé, vous devez configurer les éléments suivants :

Assurez-vous de sélectionner l'emplacement que vous utilisez pour votre agent. Sinon, les requêtes échoueront.
Les agents de conversation (Dialogflow CX) ne sont pas compatibles avec la rotation des clés pour les agents de data store. Si vous utilisez un agent de ce type, la période de rotation doit être définie sur Never (Jamais) lorsque vous créez la clé.

Configurer un agent pour utiliser vos clés

Lorsque vous créez un agent, vous pouvez spécifier son emplacement et indiquer si l'agent utilisera une clé gérée par Google ou la clé gérée par le client déjà configurée pour cet emplacement. Faites votre choix à ce stade.

Configurer votre compte de service ou votre compte utilisateur

Créez le compte de service CMEK CCAI pour votre projet avec Google Cloud CLI. Pour en savoir plus, consultez la documentation sur l'identité des services gcloud.
```
gcloud beta services identity create --service=dialogflow.googleapis.com --project=PROJECT_ID
```
Le compte de service sera créé. Il ne sera pas renvoyé dans la réponse de création, mais aura le format suivant:
```
service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com
```

Accordez au compte de service CMEK CCAI le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS pour vous assurer que le service dispose des autorisations nécessaires pour chiffrer et déchiffrer à l'aide de votre clé.

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--project=PROJECT_ID \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-ccai-cmek.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Collaboration entre agents

Paramètres de sécurité