Cette page a été traduite par l'API Cloud Translation.

Clés de chiffrement gérées par le client

Par défaut, Gemini Enterprise chiffre les contenus client au repos. Gemini Enterprise gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Gemini Enterprise. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Gemini Enterprise est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Limites de Cloud KMS dans Gemini Enterprise

Les limites suivantes s'appliquent aux clés CMEK (Cloud KMS) dans Gemini Enterprise :

Les clés déjà appliquées à un data store ne peuvent pas être modifiées.

Une fois une clé enregistrée, elle ne peut plus être désenregistrée ni supprimée d'un data store.

Vous devez utiliser des applications et des data stores multirégionaux aux États-Unis ou dans l'UE (et non des applications et des data stores mondiaux). Pour en savoir plus sur les régions multiples et la résidence des données, y compris sur les limites associées à l'utilisation d'emplacements non mondiaux, consultez la page Emplacements.

Si vous devez enregistrer plusieurs clés pour un projet, contactez l'équipe responsable de votre compte Google pour demander une augmentation du quota de configurations CMEK. Indiquez pourquoi vous avez besoin de plusieurs clés.
L'utilisation d'un gestionnaire de clés externe (EKM) avec CMEK est disponible en version GA avec une liste d'autorisation. Pour utiliser EKM avec CMEK, contactez l'équipe chargée de votre compte Google.

Les limites suivantes s'appliquent à EKM ou HSM avec CMEK :
- Votre quota EKM et HSM pour les appels de chiffrement et de déchiffrement doit disposer d'une marge d'au moins 1 000 QPM. Pour savoir comment vérifier vos quotas, consultez Vérifier vos quotas Cloud KMS.
- Si vous utilisez EKM, la clé doit être accessible pendant plus de 90 % de toute période de plus de 30 secondes. Si la clé n'est pas accessible pendant cette période, cela peut avoir un impact négatif sur l'indexation et la fraîcheur des résultats de recherche.
- En cas de problèmes de facturation, de problèmes persistants de dépassement de quota ou d'inaccessibilité persistante pendant plus de 12 heures, le service désactive automatiquement la configuration CmekConfig associée à la clé EKM ou HSM.

Les magasins de données créés avant l'enregistrement d'une clé dans le projet ne peuvent pas être protégés par la clé.

Pour les applications comportant plusieurs magasins de données, si l'un d'eux utilise une configuration CMEK, tous les autres magasins de données doivent également utiliser la même configuration CMEK.
La rotation des clés n'est pas compatible avec les clés à région unique pour les connecteurs tiers. Si vous désactivez ou détruisez une version de clé qui protège un data store associé à un connecteur tiers, le connecteur cesse de fonctionner.
La rotation des clés n'est pas compatible avec Analytics. Si vous faites pivoter les clés d'un data store, les applications qui l'utilisent n'affichent plus d'analyses.

Les connecteurs first party ne sont pas compatibles avec CMEK, à l'exception des data stores "import-once" et "periodic" pour BigQuery et Cloud Storage.

Vous ne pouvez pas utiliser Terraform pour configurer CMEK pour Gemini Enterprise.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Créez une clé Cloud KMS symétrique multirégionale. Consultez Créer un trousseau de clés et Créer une clé dans la documentation Cloud KMS.
- Définissez la période de rotation sur Jamais (rotation manuelle).
- Pour Emplacement, sélectionnez Multirégional, puis europe ou us dans le menu déroulant.

Si vous utilisez des connecteurs tiers, créez trois clés Cloud KMS symétriques à région unique. Dans les autres cas, il est facultatif.

Définissez la période de rotation sur Jamais (rotation manuelle).
Pour Emplacement, sélectionnez Région.
Sélectionnez les régions uniques du tableau suivant dans le menu déroulant des lieux. Vous devez disposer des trois clés lorsque vous enregistrez vos clés Cloud KMS pour les connecteurs tiers.

`us single-regions`	`europe single-regions`
`us-east1`	`europe-west1`
`us-central1`	`europe-west4`
`us-west1`	`europe-north1`

Le rôle IAM Chiffreur/Déchiffreur de clés cryptographiques (roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé a été accordé à l'agent de service Discovery Engine. Le compte de l'agent de service possède une adresse e-mail au format suivant : service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.. Pour obtenir des instructions générales sur l'ajout d'un rôle à un agent de service, consultez Attribuer ou révoquer un rôle unique.
Le rôle IAM Chiffreur/Déchiffreur de clés cryptographiques (roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé a été accordé à l'agent de service Cloud Storage. Si ce rôle n'est pas accordé, l'importation de données pour les data stores protégés par CMEK échouera, car Discovery Engine ne pourra pas créer le bucket et le répertoire temporaires protégés par CMEK qui sont nécessaires à l'importation.
Ne créez aucun data store ni aucune application que vous souhaitez gérer avec votre clé tant que vous n'avez pas suivi les instructions d'enregistrement de la clé sur cette page.

Enregistrer votre clé Cloud KMS

Pour chiffrer des données à l'aide de CMEK, vous devez enregistrer votre clé multirégionale. Si vos données nécessitent des clés à une seule région (par exemple, lorsque vous utilisez des connecteurs tiers), vous devez enregistrer vos clés à une seule région.

Enregistrer votre clé Cloud KMS multirégionale

Avant de commencer

Assurez-vous que :

La région n'est pas déjà protégée par une clé. La procédure ci-dessous échoue si une clé est déjà enregistrée pour la région via la commande REST. Pour déterminer si une clé est active dans Gemini Enterprise pour un emplacement, consultez Afficher les clés Cloud KMS.
Vous disposez du rôle Administrateur Discovery Engine (roles/discoveryengine.admin).

Procédure

REST

Pour enregistrer votre propre clé pour Gemini Enterprise :

Appelez la méthode UpdateCmekConfig avec la clé que vous souhaitez enregistrer.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"}' \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"

Remplacez les éléments suivants :

KMS_PROJECT_ID : ID du projet contenant la clé. Le numéro de projet ne fonctionnera pas.
KMS_LOCATION : région multirégionale de votre clé (us ou europe).
KEY_RING : nom du trousseau de clés qui inclut la clé.
KEY_NAME : nom de la clé.
PROJECT_ID : ID du projet contenant le data store.
LOCATION : emplacement multirégional de votre data store (us ou eu).
CMEK_CONFIG_ID : définissez un ID unique pour la ressource CmekConfig, par exemple default_cmek_config.
SET_DEFAULT : défini sur true pour utiliser la clé comme clé par défaut pour les magasins de données ultérieurs créés dans la multirégion.

Exemple de commande et résultat

$ curl -X PATCH
-H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "Content-Type: application/json
-d '{"kmsKey":"projects/key-project-456/locations/us/keyRings/my-key-ring/cryptoKeys/my-key"}'
"https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config?set_default=true"

{
 "name": "projects/my-ai-app-project-123/locations/us/operations/update-cmek-config-56789",
 "metadata": {
  "@type": "type.googleapis.com/google.cloud.discoveryengine.v1.UpdateCmekConfigMetadata"
 }
}

Facultatif : Enregistrez la valeur name renvoyée par la méthode et suivez les instructions de la section Obtenir des informations sur une opération de longue durée pour savoir quand l'opération est terminée.

L'enregistrement d'une clé prend généralement quelques minutes.

Une fois l'opération terminée, les nouveaux magasins de données de cette multirégion sont protégés par la clé. Pour obtenir des informations générales sur la création de data stores, consultez À propos des applications et des data stores.

Console

Procédure

Pour enregistrer votre propre clé pour Gemini Enterprise, procédez comme suit :

Dans la console Google Cloud , accédez à la page Gemini Enterprise.

Gemini Enterprise
Cliquez sur Paramètres, puis sélectionnez l'onglet CMEK.
Cliquez sur Add key (Ajouter une clé) pour l'emplacement us (États-Unis) ou eu (Europe).

Cliquez sur "Ajouter une clé".
1. Cliquez sur le menu déroulant Sélectionner une clé Cloud KMS, puis sélectionnez la clé.
  - Si la clé se trouve dans un autre projet, cliquez sur Changer de projet, cliquez sur le nom de votre projet, saisissez le nom de la clé que vous avez créée, puis sélectionnez-la.
  - Si vous connaissez le nom de ressource de la clé, cliquez sur Saisir manuellement, collez le nom de ressource de la clé, puis cliquez sur Enregistrer.
2. Cliquez sur OK > Enregistrer.

Cela enregistre votre clé et crée une CmekResource appelée default_cmek_config.

Plusieurs heures peuvent s'écouler avant que les données ingérées n'apparaissent dans les résultats de recherche.

Enregistrer des clés Cloud KMS à région unique pour les connecteurs tiers

REST

Pour enregistrer votre propre clé pour Gemini Enterprise :

Appelez la méthode UpdateCmekConfig avec la clé que vous souhaitez enregistrer.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"}' \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"

Remplacez les éléments suivants :

KMS_PROJECT_ID : ID du projet contenant la clé. Le numéro de projet ne fonctionnera pas.
KMS_LOCATION : région multirégionale de votre clé : us ou europe.
KEY_RING : nom du trousseau de clés qui inclut la clé.
KEY_NAME : nom de la clé.
PROJECT_ID : ID du projet contenant le data store.
LOCATION : emplacement multirégional de votre data store (us ou eu).
CMEK_CONFIG_ID : définissez un ID unique pour la ressource CmekConfig, par exemple default_cmek_config.
SET_DEFAULT : défini sur true pour utiliser la clé comme clé par défaut pour les magasins de données ultérieurs créés dans la multirégion.

Exemple de commande et résultat

$ curl -X PATCH
-H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "Content-Type: application/json
-d '{"kmsKey":"projects/key-project-456/locations/us/keyRings/my-key-ring/cryptoKeys/my-key"}'
"https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config?set_default=true"

{
 "name": "projects/my-ai-app-project-123/locations/us/operations/update-cmek-config-56789",
 "metadata": {
  "@type": "type.googleapis.com/google.cloud.discoveryengine.v1.UpdateCmekConfigMetadata"
 }
}

Facultatif : Enregistrez la valeur name renvoyée par la méthode et suivez les instructions de la section Obtenir des informations sur une opération de longue durée pour savoir quand l'opération est terminée.

L'enregistrement d'une clé prend généralement quelques minutes.

Une fois l'opération terminée, les nouveaux magasins de données de cette multirégion sont protégés par la clé. Pour obtenir des informations générales sur la création de data stores, consultez À propos des applications et des data stores.

Si vous utilisez des connecteurs tiers et que vous souhaitez protéger vos données tierces avec votre propre clé, créez trois clés supplémentaires à une seule région comme suit :

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
  "kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME",
  "singleRegionKeys": [ \
    {"kmsKey": "projects/KMS_PROJECT_ID/locations/REGION_1/keyRings/KEY_RING_1/cryptoKeys/KEY_NAME_1"}, \
    {"kmsKey": "projects/KMS_PROJECT_ID/locations/REGION_2/keyRings/KEY_RING_2/cryptoKeys/KEY_NAME_2"}, \
    {"kmsKey": "projects/KMS_PROJECT_ID/locations/REGION_3/keyRings/KEY_RING_3/cryptoKeys/KEY_NAME_3"} \
  ] \
}' \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"

Remplacez les éléments suivants :

KMS_PROJECT_ID : ID du projet contenant la clé. Le numéro de projet ne fonctionnera pas.
Définissez les valeurs REGION :
- REGION_1 : pour l'emplacement eu, définissez cette valeur sur europe-west1, et pour l'emplacement us, définissez-la sur us-east1.
- REGION_2 : pour l'emplacement eu, définissez cette valeur sur europe-west4, et pour l'emplacement us, définissez-la sur us-central1.
- REGION_3 : pour l'emplacement eu, définissez cette valeur sur europe-north1, et pour l'emplacement us, définissez-la sur us-west1.
KEY_RING : nom du trousseau de clés qui inclut la clé.
KEY_NAME : nom de la clé multirégionale.
LOCATION : emplacement multirégional de votre data store : us ou eu.
PROJECT_ID : ID du projet contenant le data store.
CMEK_CONFIG_ID : défini sur l'ID de la ressource CmekConfig. Utilisez la même valeur qu'à l'étape 1, par exemple default_cmek_config.

SET_DEFAULT : défini sur true pour utiliser la clé comme clé par défaut pour les magasins de données ultérieurs créés dans la multirégion.

Exemple de commande et résultat

$ curl -X PATCH
-H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "Content-Type: application/json
-d '{
"kmsKey":"projects/key-project-456/locations/us/keyRings/my-key-ring/cryptoKeys/my-key",
"singleRegionKeys": [
  {"kms_key": "projects/key-project-456/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key"},
  {"kms_key": "projects/key-project-456/locations/us-central1/keyRings/my-key-ring/cryptoKeys/my-key"},
  {"kms_key": "projects/key-project-456/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-key"}
]
}'
"https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config?set_default=true"

{
"name": "projects/my-ai-app-project-123/locations/us/operations/update-cmek-config-56789",
"metadata": {
"@type": "type.googleapis.com/google.cloud.discoveryengine.v1.UpdateCmekConfigMetadata"
}
}

Console

Avant de commencer

Assurez-vous que les régions ne sont pas déjà protégées par des clés. La procédure suivante échoue si une clé est déjà enregistrée pour la région via la commande REST.

Pour déterminer s'il existe une clé active pour un emplacement, consultez Afficher les clés Cloud KMS.

Procédure

Pour enregistrer votre propre clé lorsque vous utilisez des connecteurs tiers Gemini Enterprise, procédez comme suit :

Dans la console Google Cloud , accédez à la page Gemini Enterprise.

Gemini Enterprise
Cliquez sur Paramètres, puis sélectionnez l'onglet CMEK.
Cliquez sur Ajouter une clé pour l'emplacement aux États-Unis ou en Europe.

Cliquez sur "Ajouter une clé".
1. Cliquez sur le menu déroulant Sélectionner une clé Cloud KMS, puis sélectionnez la clé.
  - Si la clé se trouve dans un autre projet, cliquez sur Changer de projet, cliquez sur le nom de votre projet, saisissez le nom de la clé que vous avez créée, puis sélectionnez-la.
  - Si vous connaissez le nom de ressource de la clé, cliquez sur Saisir manuellement, collez le nom de ressource de la clé, puis cliquez sur Enregistrer.
2. Cliquez sur OK > Enregistrer.
  
  Cela enregistre votre clé et crée une ressource CmekResource appelée default_cmek_config.
Si vous connectez une source de données tierce, cliquez sur Définir des clés à région unique.

Remarque : Vous devez additionner les trois clés à une seule région. Par conséquent, assurez-vous d'avoir créé les trois clés à région unique pour votre établissement.

Cliquez sur "Définir des clés à région unique".
1. Cliquez sur le menu déroulant Sélectionner une clé Cloud KMS, puis sélectionnez la clé pour chaque région.
  - Si la clé se trouve dans un autre projet, cliquez sur Changer de projet, cliquez sur le nom de votre projet, saisissez le nom de la clé que vous avez créée, puis sélectionnez-la.
  - Si vous connaissez le nom de ressource de la clé, cliquez sur Saisir manuellement, collez le nom de ressource de la clé, puis cliquez sur Enregistrer.
2. Cliquez sur Enregistrer.
  
  Cela enregistre vos clés à région unique dans le CmekResource appelé default_cmek_config.

Plusieurs heures peuvent s'écouler avant que les données ingérées n'apparaissent dans les résultats de recherche.

Afficher les clés Cloud KMS

Pour afficher une clé enregistrée pour Gemini Enterprise, procédez de l'une des manières suivantes :

Si vous disposez du nom de ressource CmekConfig, appelez la méthode GetCmekConfig :

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"

Remplacez les éléments suivants :

LOCATION : emplacement multirégional de votre data store (us ou eu).
PROJECT_ID : ID du projet contenant les données.
CMEK_CONFIG_ID : ID de la ressource CmekConfig. Si vous avez enregistré votre clé à l'aide de la console, l'ID est default_cmek_config.

Voici un exemple d'appel et de réponse curl :

$ curl -X GET
-H "Authorization: Bearer $(gcloud auth print-access-token)"
"https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config"

{
  "name":
  "projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config",
  "kmsKey": "projects/key-project-456/locations/us/keyRings/my-key-ring/cryptoKeys/my-key"
  "state": "ACTIVE"
  "isDefault": true
}

Si vous ne disposez pas du nom de ressource CmekConfig, appelez la méthode ListCmekConfigs :

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs"

Remplacez les éléments suivants :

LOCATION : emplacement multirégional de votre data store : us ou eu.
PROJECT_ID : ID du projet contenant les données.

Voici un exemple d'appel et de réponse curl :

$ curl -X GET
-H "Authorization: Bearer $(gcloud auth print-access-token)"
"https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs"

{
  "cmek_configs": [
    {
      "name":
      "projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config",
      "kmsKey": "projects/key-project-456/locations/us/keyRings/my-key-ring/cryptoKeys/my-key"
      "state": "ACTIVE"
      "isDefault": true
    }
  ]
}

Désenregistrer votre clé Cloud KMS

Pour annuler l'enregistrement de votre clé dans Gemini Enterprise, procédez comme suit :

Appelez la méthode DeleteCmekConfig avec le nom de ressource CmekConfig que vous souhaitez annuler.

curl -X DELETE \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"

Remplacez les éléments suivants :

LOCATION : emplacement multirégional de votre data store : us ou eu.
PROJECT_ID : ID du projet contenant le data store.
CMEK_CONFIG_ID : ID de la ressource CmekConfig. Si vous avez enregistré votre clé à l'aide de la console, l'ID est default_cmek_config.

Voici un exemple d'appel et de réponse curl :

$ curl -X DELETE
-H "Authorization: Bearer $(gcloud auth print-access-token)"
"https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config"
 
{
 "name": "projects/my-ai-app-project-123/locations/us/operations/delete-cmek-config-56789",
 "metadata": {
  "@type": "type.googleapis.com/google.cloud.discoveryengine.v1.DeleteCmekConfigMetadata"
 }
}

Facultatif : Enregistrez la valeur name renvoyée par la méthode et suivez les instructions de la section Obtenir des détails sur une opération de longue durée pour savoir quand l'opération est terminée.

La suppression d'une clé prend généralement quelques minutes.

Vérifier qu'un data store est protégé par une clé

Les datastores créés après l'enregistrement de votre clé sont protégés par celle-ci. Pour vérifier qu'un data store spécifique est protégé par votre clé, procédez comme suit :

Exécutez la commande curl suivante sur le data store :

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "x-goog-user-project: PROJECT_ID" \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/dataStores/DATA_STORE_ID"

Remplacez les éléments suivants :

LOCATION : emplacement multirégional de votre data store (us ou eu).
PROJECT_ID : ID du projet contenant le data store.
DATA_STORE_ID : ID du data store.

Voici un exemple d'appel curl :

curl -X GET
-H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "Content-Type: application/json"
-H "x-goog-user-project: my-ai-app-project-123"
"https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/collections/default_collection/dataStores/my-data-store-1"

Examinez le résultat de la commande : si le champ cmekConfig figure dans le résultat et que le champ kmsKey affiche la clé que vous avez enregistrée, cela signifie que le data store est protégé par la clé.

Voici un exemple de réponse :

{
 "name": "projects/969795412903/locations/us/collections/default_collection/dataStores/my-data-store-1",
 "displayName": "my-data-store-1",
 "industryVertical": "GENERIC",
 "createTime": "2023-09-05T21:20:21.520552Z",
 "solutionTypes": [
   "SOLUTION_TYPE_SEARCH"
 ],
 "defaultSchemaId": "default_schema",
 "cmekConfig": {
   "name": "projects/969795412903/locations/us/collections/default_collection/dataStores/my-data-store-1/cmekConfigs/default_cmek_config",
   "kmsKey": "projects/my-ai-app-project-123/locations/us/keyRings/my-key-ring/cryptoKeys/my-key"
 }
}

Autres données protégées par la clé Cloud KMS

En plus des données stockées dans les datastores, vos clés peuvent protéger d'autres types d'informations principales appartenant à l'application et détenues par Gemini Enterprise, comme les données de session générées lors de la recherche avec suivi. Ce type d'informations de base est protégé par CMEK si les data stores associés à l'application sont protégés par CMEK.

Bien que vous ne puissiez pas exécuter de commande spécifique pour vérifier que les sessions sont protégées, si vous exécutez la commande Vérifier qu'un data store est protégé par une clé et que la clé s'affiche dans la ressource cmekConfig, vous savez que les données de session sont protégées.

Effectuer une rotation des clés Cloud KMS

Lorsque vous effectuez une rotation de clé, vous créez une nouvelle version de la clé et la définissez comme version principale. Laissez la version d'origine de la clé activée pendant un certain temps avant de la désactiver. Cela donne le temps aux opérations de longue durée qui pourraient utiliser l'ancienne clé de se terminer.

La procédure suivante décrit les étapes à suivre pour faire pivoter les clés d'un data store Gemini Enterprise. Pour obtenir des informations générales sur la rotation des clés, consultez Rotation des clés dans le guide Cloud KMS.

Important : Ne faites pas de rotation des clés sur les data stores associés aux applications de recommandations ou à toute application nécessitant des données analytiques. Ne faites pas non plus de rotation des clés à région unique utilisées pour les connecteurs tiers. Consultez les limitations de Cloud KMS dans Gemini Enterprise.

Réenregistrez votre clé. Pour ce faire, répétez l'étape 1 de la section Enregistrer votre clé Cloud KMS.

Remarque : La réinscription est beaucoup plus rapide que l'inscription. Vous n'aurez pas besoin de surveiller la réinscription en tant qu'opération de longue durée.
Consultez les instructions de la section Gérer les clés du guide Cloud KMS pour effectuer les opérations suivantes :
1. Créez une version de clé, activez-la et définissez-la comme version principale.
2. Laissez l'ancienne version de clé activée.
3. Au bout d'une semaine environ, désactivez l'ancienne version de clé et assurez-vous que tout fonctionne comme avant.
4. Plus tard, lorsque vous serez certain que la désactivation de l'ancienne version de clé n'a causé aucun problème, vous pourrez la détruire.

Si une clé Cloud KMS est désactivée ou révoquée

Si une clé est désactivée ou si les autorisations pour la clé sont révoquées, le data store cesse d'ingérer et de diffuser des données dans les 15 minutes. Toutefois, la réactivation d'une clé ou la restauration des autorisations prennent du temps. Il peut s'écouler jusqu'à 24 heures avant que le data store puisse à nouveau diffuser des données.

Par conséquent, ne désactivez une clé que si nécessaire. L'activation et la désactivation d'une clé dans un data store sont des opérations chronophages. Par exemple, si vous activez et désactivez une clé à plusieurs reprises, le data store mettra beaucoup de temps à atteindre un état protégé. Si vous désactivez une clé et la réactivez immédiatement après, cela peut entraîner des jours d'indisponibilité, car la clé est d'abord désactivée dans le data store, puis réactivée.