Speech-to-Text 리소스 암호화

이 페이지에서는 Speech-to-Text에서 암호화 키를 설정하여 Speech-to-Text 리소스를 암호화하는 방법을 설명합니다.

Speech-to-Text를 사용하면 Cloud Key Management Service 암호화 키를 제공하고 제공된 키로 데이터를 암호화할 수 있습니다. 암호화에 대해 자세히 알아보려면 암호화 페이지를 참조하세요.

시작하기 전에

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Speech-to-Text APIs.

    Enable the APIs

  5. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      IAM으로 이동
    2. 프로젝트를 선택합니다.
    3. 액세스 권한 부여를 클릭합니다.
    4. 새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.

    5. 역할 선택 목록에서 역할을 선택합니다.
    6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
    7. 저장을 클릭합니다.
    8. Install the Google Cloud CLI.
    9. To initialize the gcloud CLI, run the following command:

      gcloud init
    10. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    11. Make sure that billing is enabled for your Google Cloud project.

    12. Enable the Speech-to-Text APIs.

      Enable the APIs

    13. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.
      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        IAM으로 이동
      2. 프로젝트를 선택합니다.
      3. 액세스 권한 부여를 클릭합니다.
      4. 새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.

      5. 역할 선택 목록에서 역할을 선택합니다.
      6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
      7. 저장을 클릭합니다.
      8. Install the Google Cloud CLI.
      9. To initialize the gcloud CLI, run the following command:

        gcloud init
      10. 클라이언트 라이브러리는 애플리케이션 기본 사용자 인증 정보를 사용하여 간편하게 Google API를 인증하고 API에 요청을 보낼 수 있습니다. 애플리케이션 기본 사용자 인증 정보를 사용하면 애플리케이션을 로컬에서 테스트하고 기본 코드를 변경하지 않은 상태로 배포할 수 있습니다. 자세한 내용은 클라이언트 라이브러리 사용 인증을 참조하세요.

      11. If you're using a local shell, then create local authentication credentials for your user account:

        gcloud auth application-default login

        You don't need to do this if you're using Cloud Shell.

      또한 클라이언트 라이브러리를 설치했는지 확인합니다.

      Cloud Key Management Service 키에 대한 액세스 사용 설정

      Speech-to-Text는 서비스 계정을 사용하여 Cloud KMS 키에 액세스합니다. 기본적으로 서비스 계정으로는 Cloud KMS 키에 액세스할 수 없습니다.

      서비스 계정 이메일 주소는 다음과 같습니다.

      service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com
      

      Cloud KMS 키를 사용하여 Speech-to-Text 리소스를 암호화하려면 이 서비스 계정에 roles/cloudkms.cryptoKeyEncrypterDecrypter 역할을 부여하면 됩니다.

      gcloud projects add-iam-policy-binding PROJECT_NUMBER \
          --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
          --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

      프로젝트 IAM 정책에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

      Cloud Storage의 액세스 관리에 대한 자세한 내용은 Cloud Storage 문서의 액세스 제어 목록(ACL) 생성 및 관리를 참조하세요.

      암호화 키 지정

      다음은 Config 리소스를 사용하여 Speech-to-Text에 암호화 키를 제공하는 방법의 예시입니다.

      Python

      import os
      
      from google.cloud.speech_v2 import SpeechClient
      from google.cloud.speech_v2.types import cloud_speech
      
      PROJECT_ID = os.getenv("GOOGLE_CLOUD_PROJECT")
      
      
      def enable_cmek(
          kms_key_name: str,
      ) -> cloud_speech.Config:
          """Enable Customer-Managed Encryption Keys (CMEK) in a project and region.
          Args:
              kms_key_name (str): The full resource name of the KMS key to be used for encryption.
                  E.g,: projects/{PROJECT_ID}/locations/{LOCATION}/keyRings/{KEY_RING}/cryptoKeys/{KEY_NAME}
          Returns:
              cloud_speech.Config: The response from the update configuration request,
              containing the updated configuration details.
          """
          # Instantiates a client
          client = SpeechClient()
      
          request = cloud_speech.UpdateConfigRequest(
              config=cloud_speech.Config(
                  name=f"projects/{PROJECT_ID}/locations/global/config",
                  kms_key_name=kms_key_name,
              ),
              update_mask={"paths": ["kms_key_name"]},
          )
      
          # Updates the KMS key for the project and region.
          response = client.update_config(request=request)
      
          print(f"Updated KMS key: {response.kms_key_name}")
          return response
      
      

      프로젝트의 [Config] 리소스에 암호화 키가 지정된 경우, 해당 위치에서 생성된 모든 새 리소스는 이 키를 사용하여 암호화됩니다. 암호화 대상과 시기에 대한 자세한 내용은 암호화 페이지를 참조하세요.

      암호화된 리소스에는 Speech-to-Text API 응답에서 채워지는 kms_key_namekms_key_version_name 필드가 있습니다.

      암호화 삭제

      이후 리소스가 암호화 키로 암호화되지 않도록 하려면 위 코드를 사용하여 요청의 키로 빈 문자열("")을 제공합니다. 이렇게 하면 새 리소스가 암호화되지 않습니다. 이 명령어는 기존 리소스를 복호화하지 않습니다.

      키 순환 및 삭제

      키 순환 시, 이전 버전의 Cloud KMS 키로 암호화된 리소스는 해당 버전으로 암호화된 상태를 유지합니다. 키 순환 후 생성된 모든 리소스는 해당 키의 새로운 기본 버전으로 암호화됩니다. 키 순환 후 업데이트된 모든 리소스(Update* 메서드 사용)는 키의 새로운 기본 버전으로 다시 암호화됩니다.

      키를 삭제하면 Speech-to-Text는 데이터를 복호화할 수 없으며 삭제된 키로 암호화된 리소스를 만들거나 액세스할 수 없습니다. 마찬가지로 키의 Speech-to-Text 권한을 취소하면 Speech-to-Text가 데이터를 복호화할 수 없으며 Speech-to-Text 권한 취소 키로 암호화된 리소스를 생성하거나 액세스할 수 없습니다.

      데이터 다시 암호화

      리소스를 다시 암호화하려면 Config 리소스에서 키 사양을 업데이트한 후 각 리소스에 대해 해당 Update* 메서드를 호출하면 됩니다.

      삭제

      이 페이지에서 사용한 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 다음 단계를 수행합니다.

      1. Optional: Revoke the authentication credentials that you created, and delete the local credential file.

        gcloud auth application-default revoke
      2. Optional: Revoke credentials from the gcloud CLI.

        gcloud auth revoke

      콘솔

    14. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

    15. In the project list, select the project that you want to delete, and then click Delete.
    16. In the dialog, type the project ID, and then click Shut down to delete the project.
    17. gcloud

      Delete a Google Cloud project:

      gcloud projects delete PROJECT_ID

      다음 단계