デフォルトでは、Speech-to-Text はお客様のコンテンツを保存時に暗号化します。暗号化は Speech-to-Text が行うため、ユーザー側での操作は必要ありません。このオプションは、Google のデフォルトの暗号化と呼ばれます。
暗号鍵を管理する場合は、Cloud KMS の顧客管理の暗号鍵(CMEK)を、Speech-to-Text などの CMEK 統合サービスで使用できます。Cloud KMS 鍵を使用すると、保護レベル、ロケーション、ローテーション スケジュール、使用とアクセスの権限、暗号境界を制御できます。Cloud KMS を使用すると、監査ログを表示し、鍵のライフサイクルを管理することもできます。データを保護する対称鍵暗号鍵(KEK)は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵を制御および管理します。
CMEK を使用してリソースを設定した後は、Speech-to-Text リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。暗号化オプションの詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
Speech-to-Text リソースで CMEK を使用する具体的なメリットについては、Speech-to-Text リソースの CMEK についてをご覧ください。
Speech-to-Text リソースの CMEK について
Speech-to-Text API を使用して新しい鍵を設定すると、次のようになります。
- 以前に元の鍵で暗号化されていたリソースは、その以前の鍵で暗号化されたままになります。リソースが
Update*メソッドを使用して更新されると、新しい鍵で再度暗号化されます。 - CMEK で暗号化されていないリソースは、暗号化されません。リソースが
Update*メソッドを使用して更新されると、新しい鍵で再度暗号化されます。一括認識などの長時間実行オペレーションで、処理が進行中で完了していない場合、保存されているオペレーションは新しい鍵で再度暗号化されます。 - 新しく作成されたリソースは、新しく設定された鍵で暗号化されます。
Speech-to-Text API を使用して鍵を削除すると、CMEK で暗号化されずに新しいリソースが作成されます。既存のリソースは、前に暗号された鍵で暗号化されたままになります。リソースが(Update* メソッドを使用して)更新されると、Google が管理するデフォルトの暗号化を使用して再度暗号化されます。長時間実行オペレーション(一括認識など)の場合、処理が進行中で終了していない場合、保存されたオペレーションは Google が管理するデフォルトの暗号化を使用して再暗号化されます。
Speech-to-Text リソースの暗号化に使用される Cloud KMS 鍵のロケーションは、使用する Speech-to-Text エンドポイントと一致する必要があります。Speech-to-Text のロケーションの詳細については、Speech-to-Text のロケーションをご覧ください。Cloud KMS のロケーションの詳細については、Cloud KMS のロケーションをご覧ください。
CMEK でサポートされるリソース
現在 CMEK の対象となっている Speech-to-Text リソースは次のとおりです。
| リソース | 暗号化されたマテリアル | ドキュメントのリンク |
|---|---|---|
| 認識機能 |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| 操作 |
|
|
| 一括認識アーティファクト |
|