Par défaut, Speech-to-Text chiffre le contenu client au repos. Speech-to-Text gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.
Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris la conversion vocale en texte. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.
Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Speech-to-Text est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).
Pour en savoir plus sur les avantages particuliers liés à l'utilisation de clés CMEK avec des ressources Speech-to-Text, consultez la page Comprendre l'intérêt des clés CMEK pour des ressources Speech-to-Text.
Comprendre l'intérêt des clés CMEK pour des ressources Speech-to-Text
Les conditions suivantes sont remplies lorsqu'une nouvelle clé est définie à l'aide de l'API Speech-to-Text :
- Les ressources chiffrées précédemment avec la clé d'origine restent chiffrées avec cette ancienne clé. Si une ressource est mise à jour (à l'aide d'une méthode
Update*), elle est rechiffrée avec la nouvelle clé. - Les ressources qui n'avaient pas bénéficié précédemment d'un chiffrement CMEK restent non chiffrées. Si une ressource est mise à jour (à l'aide d'une méthode
Update*), elle est alors rechiffrée avec la nouvelle clé. Pour les opérations de longue durée (telles que la reconnaissance par lot), si le traitement est en cours et n'est pas terminé, l'opération stockée est rechiffrée avec la nouvelle clé. - Les ressources créées sont chiffrées à l'aide de la clé nouvellement définie.
Lorsque vous supprimez une clé à l'aide de l'API Speech-to-Text, les nouvelles ressources sont créées sans chiffrement CMEK. Les ressources existantes restent chiffrées avec les clés avec lesquelles elles étaient précédemment chiffrées. Si une ressource est mise à jour (à l'aide d'une méthode Update*), elle est rechiffrée à l'aide du chiffrement par défaut géré par Google. Pour les opérations de longue durée (comme la reconnaissance par lot), si le traitement est en cours et n'est pas terminé, l'opération stockée sera rechiffrée à l'aide du chiffrement par défaut géré par Google.
L'emplacement de la clé Cloud KMS employée pour chiffrer des ressources Speech-to-Text doit correspondre au point de terminaison Speech-to-Text utilisé. Pour en savoir plus sur les emplacements Speech-to-Text, consultez la page Emplacements Speech-to-Text. Pour en savoir plus sur les emplacements Cloud KMS, consultez la page Emplacements Cloud KMS.
Ressources compatibles avec le chiffrement CMEK
Voici les ressources Speech-to-Text qui sont couvertes actuellement par le chiffrement CMEK :
| Ressource | Éléments chiffrés | Liens vers la documentation |
|---|---|---|
| Outil de reconnaissance |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| Opération |
|
|
| Artefacts de reconnaissance par lot |
|