Chiavi di crittografia gestite dal cliente (CMEK)
Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono in stato at-rest utilizzando chiavi di crittografia gestite da Google.
Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per Document AI. Invece che da Google, le chiavi di crittografia che proteggono i tuoi dati vengono gestite dal tuo elaboratore Document AI utilizzando una chiave che controlli e gestisci in Cloud Key Management Service (KMS).
Questa guida descrive CMEK per Document AI. Per ulteriori informazioni su CMEK in generale, incluso quando e perché attivarlo, consulta la documentazione di Cloud Key Management Service.
Prerequisito
L'agente di servizio Document AI deve disporre del ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per la chiave che utilizzi.
L'esempio seguente concede un ruolo che fornisce l'accesso a una chiave Cloud KMS:
gcloud kms keys add-iam-policy-bindingkey \ --keyringkey-ring \ --locationlocation \ --projectkey_project_id \ --member serviceAccount:service-project_number @gcp-sa-prod-dai-core.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del mazzo di chiavi in cui si trova la chiave. Sostituisci location con la posizione di Document AI per il portachiavi. Sostituisci key_project_id con il progetto per la chiave automatizzata. Sostituisci project_number con il numero del tuo progetto.
Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Document AI C#.
Per autenticarti a Document AI, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Document AI Go.
Per autenticarti a Document AI, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Document AI Java.
Per autenticarti a Document AI, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Document AI Node.js.
Per autenticarti a Document AI, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Document AI PHP.
Per autenticarti a Document AI, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Document AI Python.
Per autenticarti a Document AI, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Document AI Ruby.
Per autenticarti a Document AI, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Utilizzo di CMEK
Le impostazioni di crittografia sono disponibili quando crei un elaboratore. Per utilizzare CMEK, seleziona l'opzione CMEK e una chiave.
La chiave CMEK viene utilizzata per tutti i dati associati al processore e alle sue risorse secondarie. Tutti i dati relativi ai clienti inviati al responsabile del trattamento vengono criptati automaticamente con la chiave fornita prima della scrittura su disco.
Una volta creato un elaboratore, non puoi modificare le relative impostazioni di crittografia. Per utilizzare una chiave diversa, devi creare un nuovo elaboratore.
Chiavi esterne
Puoi utilizzare Cloud External Key Manager (EKM) per creare e gestire le chiavi esterne per criptare i dati in Google Cloud.
Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulla disponibilità della chiave con gestione esterna. Se richiedi l'accesso a una risorsa criptata con una chiave gestita esternamente e la chiave non è disponibile, Document AI rifiuterà la richiesta. Potrebbe essere necessario attendere fino a 10 minuti prima di poter accedere alla risorsa dopo che la chiave è diventata disponibile.
Per ulteriori considerazioni sull'utilizzo delle chiavi esterne, consulta Considerazioni sulle chiavi EKM.
Risorse supportate da CMEK
Quando archivi una risorsa su disco, se i dati dei clienti sono archiviati all'interno della risorsa, Document AI cripta prima i contenuti utilizzando la chiave CMEK.
Risorsa | Materiale criptato |
---|---|
Processor |
N/A - nessun dato utente. Tuttavia, se specifichi una chiave CMEK durante la creazione del processore, questa deve essere valida. |
ProcessorVersion |
Tutti |
Evaluation |
Tutti |
API supportate da CMEK
Le API che utilizzano la chiave CMEK per la crittografia includono:
Metodo | Crittografia |
---|---|
processDocument |
N/A: nessun dato salvato sul disco. |
batchProcessDocuments |
I dati vengono archiviati temporaneamente su disco e criptati utilizzando una chiave effimera (vedi Conformità a CMEK). |
trainProcessorVersion |
I documenti utilizzati per l'addestramento vengono criptati utilizzando la chiave KMS/CMEK fornita. |
evaluateProcessorVersion |
Le valutazioni vengono criptate utilizzando la chiave KMS/CMEK fornita. |
Le richieste API che accedono alle risorse criptate non vanno a buon fine se la chiave è disabilitata o non è raggiungibile. Ecco alcuni esempi:
Metodo | Decriptazione |
---|---|
getProcessorVersion |
Le versioni del processore addestrate utilizzando i dati dei clienti sono criptate. Per l'accesso è necessaria la decrittografia. |
processDocument |
L'elaborazione dei documenti utilizzando una versione del processore criptata richiede la decrittografia. |
Import Documents |
L'importazione di documenti con auto-labeling abilitato utilizzando una versione del processore criptata richiede la decrittografia. |
CMEK e Cloud Storage
Le API, come batchProcess
, possono leggere e scrivere nei bucket Cloud Storage.
Tutti i dati scritti in Cloud Storage da Document AI vengono criptati utilizzando la chiave di crittografia configurata del bucket, che può essere diversa dalla chiave CMEK del tuo elaboratore.
Per ulteriori informazioni, consulta la documentazione di CMEK per Cloud Storage.