Encripta recursos de Speech-to-Text

En esta página, se muestra cómo configurar una clave de encriptación en Speech-to-Text para encriptar los recursos de Speech-to-Text.

Speech-to-Text te permite proporcionar claves de encriptación de Cloud Key Management Service y encripta los datos con la clave proporcionada. Para obtener más información sobre la encriptación, consulta la página Encriptación.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Speech-to-Text APIs.

    Enable the APIs

  5. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haz clic en Grant access.
    4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

    5. En la lista Seleccionar un rol, elige un rol.
    6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
    7. Haz clic en Guardar.
    8. Install the Google Cloud CLI.
    9. To initialize the gcloud CLI, run the following command:

      gcloud init
    10. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    11. Make sure that billing is enabled for your Google Cloud project.

    12. Enable the Speech-to-Text APIs.

      Enable the APIs

    13. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.
      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Ir a IAM
      2. Selecciona el proyecto.
      3. Haz clic en Grant access.
      4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

      5. En la lista Seleccionar un rol, elige un rol.
      6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
      7. Haz clic en Guardar.
      8. Install the Google Cloud CLI.
      9. To initialize the gcloud CLI, run the following command:

        gcloud init
      10. Las bibliotecas cliente pueden usar las credenciales predeterminadas de la aplicación para autenticarse fácilmente con las APIs de Google y enviar solicitudes a esas API. Con las credenciales predeterminadas de la aplicación, puedes probar tu aplicación de forma local y, luego, implementarla sin cambiar el código subyacente. Si deseas obtener más información, consulta Autentícate para usar las bibliotecas cliente.

      11. If you're using a local shell, then create local authentication credentials for your user account:

        gcloud auth application-default login

        You don't need to do this if you're using Cloud Shell.

      También asegúrate de haber instalado la biblioteca cliente.

      Habilita el acceso a las claves de Cloud Key Management Service

      Speech-to-Text usa una cuenta de servicio para acceder a tus claves de Cloud KMS. Según la configuración predeterminada, la cuenta de servicio no tiene acceso a las claves de Cloud KMS.

      La siguiente es la dirección de correo electrónico de la cuenta de servicio:

      service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com
      

      Para encriptar los recursos de Speech-to-Text con las claves de Cloud KMS, puedes otorgar a esta cuenta de servicio el rol de roles/cloudkms.cryptoKeyEncrypterDecrypter:

      gcloud projects add-iam-policy-binding PROJECT_NUMBER \
          --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
          --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

      Para obtener más información sobre la política del IAM del proyecto, consulta Administra el acceso a proyectos, carpetas y organizaciones.

      Para obtener más información sobre la administración del acceso a Cloud Storage, consulta Crea y administra listas de control de acceso en la documentación de Cloud Storage.

      Especifica una clave de encriptación

      En el siguiente ejemplo, se proporciona una clave de encriptación a Speech-to-Text mediante el recurso Config:

      Python

      import os
      
      from google.cloud.speech_v2 import SpeechClient
      from google.cloud.speech_v2.types import cloud_speech
      
      PROJECT_ID = os.getenv("GOOGLE_CLOUD_PROJECT")
      
      
      def enable_cmek(
          kms_key_name: str,
      ) -> cloud_speech.Config:
          """Enable Customer-Managed Encryption Keys (CMEK) in a project and region.
          Args:
              kms_key_name (str): The full resource name of the KMS key to be used for encryption.
                  E.g,: projects/{PROJECT_ID}/locations/{LOCATION}/keyRings/{KEY_RING}/cryptoKeys/{KEY_NAME}
          Returns:
              cloud_speech.Config: The response from the update configuration request,
              containing the updated configuration details.
          """
          # Instantiates a client
          client = SpeechClient()
      
          request = cloud_speech.UpdateConfigRequest(
              config=cloud_speech.Config(
                  name=f"projects/{PROJECT_ID}/locations/global/config",
                  kms_key_name=kms_key_name,
              ),
              update_mask={"paths": ["kms_key_name"]},
          )
      
          # Updates the KMS key for the project and region.
          response = client.update_config(request=request)
      
          print(f"Updated KMS key: {response.kms_key_name}")
          return response
      
      

      Cuando se especifica una clave de encriptación en el recurso [Config] de tu proyecto, se encriptan todos los recursos nuevos creados en la ubicación correspondiente con esta clave. Consulta la página de encriptación para obtener más información sobre qué se encripta y cuándo.

      Los recursos encriptados tienen los campos kms_key_name y kms_key_version_name propagados en las respuestas de la API de Speech-to-Text.

      Quitar encriptación

      Para evitar que los recursos futuros se encripten con una clave de encriptación, usa el código anterior y proporciona la string vacía ("") como la clave en la solicitud. Esto garantiza que los recursos nuevos no estén encriptados. Este comando no desencripta los recursos existentes.

      Rotación y eliminación de claves

      En la rotación de claves, los recursos que están encriptados con una versión anterior de la clave de Cloud KMS permanecen encriptados con esa versión. Todos los recursos creados después de la rotación de claves se encriptan con la versión predeterminada nueva de la clave. Todos los recursos actualizados (con los métodos Update*) después de la rotación de claves se vuelven a encriptar con la versión predeterminada nueva de la clave.

      En la eliminación de la clave, Speech-to-Text no puede desencriptar tus datos, crear recursos ni acceder a los recursos encriptados con la clave borrada. Del mismo modo, cuando revocas el permiso de Speech-to-Text para una clave, Speech-to-Text no puede desencriptar tus datos, crear recursos ni acceder a los recursos encriptados con la clave de permiso revocada de Speech-to-Text.

      Vuelve a encriptar datos

      Si deseas volver a encriptar tus recursos, puedes llamar al método Update* correspondiente para cada recurso después de actualizar la especificación de clave en el recurso Config.

      Realiza una limpieza

      Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página.

      1. Optional: Revoke the authentication credentials that you created, and delete the local credential file.

        gcloud auth application-default revoke
      2. Optional: Revoke credentials from the gcloud CLI.

        gcloud auth revoke

      Console

    14. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

    15. In the project list, select the project that you want to delete, and then click Delete.
    16. In the dialog, type the project ID, and then click Shut down to delete the project.
    17. gcloud

      Delete a Google Cloud project:

      gcloud projects delete PROJECT_ID

      ¿Qué sigue?