Por padrão, a Cloud Speech-to-Text criptografa o conteúdo do cliente em repouso. Ela cuida da criptografia e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.
Se você quiser controlar as chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs, na sigla em inglês) no Cloud KMS com serviços integrados a CMEKs, como a Cloud STT. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Com o Cloud KMS, também é possível visualizar registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs, na sigla em inglês) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois que você configurar os recursos com CMEKs, a experiência de acesso aos recursos da Cloud STT vai ser semelhante ao uso da criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Para informações sobre os benefícios específicos do uso de CMEKs com os recursos da Cloud Speech-to-Text, consulte Noções básicas sobre CMEKs para recursos da Cloud STT.
Noções básicas sobre CMEKs para recursos da Cloud STT
As condições abaixo são verdadeiras quando uma nova chave é definida usando a API Speech-to-Text:
- Os recursos criptografados anteriormente com a chave original permanecem criptografados com essa chave anterior. Se um recurso for atualizado (usando um método
Update*), ele será criptografado novamente com a nova chave. - Os recursos anteriores não criptografados por CMEK permanecem não criptografados. Se um recurso for atualizado (usando um método
Update*), ele será criptografado novamente com a nova chave. Para operações de longa duração (como reconhecimento em lote), se o processamento estiver em andamento e não for concluído, a operação armazenada será criptografada novamente com a nova chave. - Os recursos recém-criados são criptografados com a chave recém-definida.
Quando você remove uma chave usando a API Speech-to-Text, novos recursos são criados sem a criptografia por CMEK. Os recursos atuais permanecem criptografados com as chaves da criptografia anterior. Se um recurso for atualizado (usando um método Update*), ele será criptografado novamente com a criptografia padrão gerenciada pelo Google. Para operações de longa duração (como reconhecimento em lote), se o processamento estiver em andamento e não for concluído, a operação armazenada será criptografada novamente usando a criptografia padrão gerenciada pelo Google.
O local da chave do Cloud KMS usada para criptografar os recursos da Cloud STT precisa corresponder ao endpoint da Cloud STT usado. Para mais informações sobre os locais da API Cloud STT, consulte Locais da API Cloud STT. Para saber mais sobre os locais do Cloud KMS, consulte Locais do Cloud KMS.
Recursos compatíveis com CMEKs
Confira abaixo os recursos atuais da Cloud Speech-to-Text compatíveis com CMEKs:
| Recurso | Material criptografado | Links da documentação |
|---|---|---|
| Identificador |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| Operação |
|
|
| Artefatos de reconhecimento em lote |
|