Encripta recursos de Speech-to-Text

En esta página, se muestra cómo configurar una clave de encriptación en Speech-to-Text para encriptar los recursos de Speech-to-Text.

Speech-to-Text te permite proporcionar claves de encriptación de Cloud Key Management Service y encripta los datos con la clave proporcionada. Para obtener más información sobre la encriptación, consulta la página Encriptación.

Antes de comenzar

Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

Habilita las API de Speech-to-Text.

Habilita las API

Asegúrate de tener los siguientes roles en el proyecto: Cloud Speech Administrator

Verifica los roles

En la consola de Google Cloud, ve a la página IAM.
Ir a IAM
Selecciona el proyecto.
En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.

Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.
En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

Otorga los roles

En la consola de Google Cloud, ve a la página IAM.
Ir a IAM
Selecciona el proyecto.
Haz clic en Grant access.
En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
En la lista Seleccionar un rol, elige un rol.
Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
Haz clic en Guardar.

Instala Google Cloud CLI.

Para inicializar la CLI de gcloud, ejecuta el siguiente comando:

gcloud init

Nota: Si ya instalaste la CLI de gcloud, asegúrate de que tienes la versión más reciente mediante la ejecución de

gcloud components
      update

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

Habilita las API de Speech-to-Text.

Habilita las API

Asegúrate de tener los siguientes roles en el proyecto: Cloud Speech Administrator

Verifica los roles

En la consola de Google Cloud, ve a la página IAM.
Ir a IAM
Selecciona el proyecto.
En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.

Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.
En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

Otorga los roles

En la consola de Google Cloud, ve a la página IAM.
Ir a IAM
Selecciona el proyecto.
Haz clic en Grant access.
En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
En la lista Seleccionar un rol, elige un rol.
Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
Haz clic en Guardar.

Instala Google Cloud CLI.

Para inicializar la CLI de gcloud, ejecuta el siguiente comando:

gcloud init

Nota: Si ya instalaste la CLI de gcloud, asegúrate de que tienes la versión más reciente mediante la ejecución de

gcloud components
      update

Las bibliotecas cliente pueden usar las credenciales predeterminadas de la aplicación para autenticarse fácilmente con las APIs de Google y enviar solicitudes a esas API. Con las credenciales predeterminadas de la aplicación, puedes probar tu aplicación de forma local y, luego, implementarla sin cambiar el código subyacente. Para obtener más información, consulta <atrack-type="commonincludes" l10n-attrs-original-order="href,track-type,track-name" l10n-encrypted-href="WDE63JFVMK0YqIWBqG8nCycgwkRfOeEqRvzYs1N+2tJUEhcZvE5VtDH5LoWw0lj/" track-name="referenceLink"> Se autentica para usar las bibliotecas cliente.</atrack-type="commonincludes">

Crea credenciales de autenticación locales para tu Cuenta de Google:
```
gcloud auth application-default login
```

También asegúrate de haber instalado la biblioteca cliente.

Habilita el acceso a las claves de Cloud Key Management Service

Speech-to-Text usa una cuenta de servicio para acceder a tus claves de Cloud KMS. Según la configuración predeterminada, la cuenta de servicio no tiene acceso a las claves de Cloud KMS.

La siguiente es la dirección de correo electrónico de la cuenta de servicio:

service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

Para encriptar los recursos de Speech-to-Text con las claves de Cloud KMS, puedes otorgar a esta cuenta de servicio el rol de roles/cloudkms.cryptoKeyEncrypterDecrypter:

gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Para obtener más información sobre la política del IAM del proyecto, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Para obtener más información sobre la administración del acceso a Cloud Storage, consulta Crea y administra listas de control de acceso en la documentación de Cloud Storage.

Especifica una clave de encriptación

En el siguiente ejemplo, se proporciona una clave de encriptación a Speech-to-Text mediante el recurso Config:

Python

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

def enable_cmek(
    project_id: str,
    kms_key_name: str,
) -> cloud_speech.RecognizeResponse:
    """Enable CMEK in a project and region."""
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{project_id}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")

    return response

Cuando se especifica una clave de encriptación en el recurso [Config] de tu proyecto, se encriptan todos los recursos nuevos creados en la ubicación correspondiente con esta clave. Consulta la página de encriptación para obtener más información sobre qué se encripta y cuándo.

Los recursos encriptados tienen los campos kms_key_name y kms_key_version_name propagados en las respuestas de la API de Speech-to-Text.

Quitar encriptación

Para evitar que los recursos futuros se encripten con una clave de encriptación, usa el código anterior y proporciona la string vacía ("") como la clave en la solicitud. Esto garantiza que los recursos nuevos no estén encriptados. Este comando no desencripta los recursos existentes.

Rotación y eliminación de claves

En la rotación de claves, los recursos que están encriptados con una versión anterior de la clave de Cloud KMS permanecen encriptados con esa versión. Todos los recursos creados después de la rotación de claves se encriptan con la versión predeterminada nueva de la clave. Todos los recursos actualizados (con los métodos Update*) después de la rotación de claves se vuelven a encriptar con la versión predeterminada nueva de la clave.

En la eliminación de la clave, Speech-to-Text no puede desencriptar tus datos, crear recursos ni acceder a los recursos encriptados con la clave borrada. Del mismo modo, cuando revocas el permiso de Speech-to-Text para una clave, Speech-to-Text no puede desencriptar tus datos, crear recursos ni acceder a los recursos encriptados con la clave de permiso revocada de Speech-to-Text.

Vuelve a encriptar datos

Si deseas volver a encriptar tus recursos, puedes llamar al método Update* correspondiente para cada recurso después de actualizar la especificación de clave en el recurso Config.

Realiza una limpieza

Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página.

Opcional: Revoca las credenciales de autenticación que creaste y borra el archivo local de credenciales.
```
gcloud auth application-default revoke
```

Opcional: Revoca credenciales desde gcloud CLI.
```
gcloud auth revoke
```

Consola

Precaución: Borrar un proyecto tiene estas consecuencias:

Se borra todo en el proyecto. Si usaste un proyecto existente para las tareas de este documento, cuando lo borres, también se borrará cualquier otro trabajo que hayas realizado en el proyecto.
Se pierden los ID personalizados de proyectos. Cuando creaste este proyecto, es posible que hayas creado un ID del proyecto personalizado que desees utilizar en el futuro. Para conservar las URL que utilizan el ID del proyecto, como una URL appspot.com, borra los recursos seleccionados dentro del proyecto en lugar de borrar todo el proyecto.

Si planeas explorar varias infraestructuras, instructivos y guías de inicio rápido la reutilización de proyectos puede ayudarte a evitar exceder los límites de las cuotas del proyecto.

En la consola de Google Cloud, ve a la página Administrar recursos.

Ir a Administrar recursos

En la lista de proyectos, elige el proyecto que quieres borrar y haz clic en Borrar.

En el diálogo, escribe el ID del proyecto y, luego, haz clic en Cerrar para borrar el proyecto.

gcloud

Precaución: Borrar un proyecto tiene estas consecuencias:

Se borra todo en el proyecto. Si usaste un proyecto existente para las tareas de este documento, cuando lo borres, también se borrará cualquier otro trabajo que hayas realizado en el proyecto.
Se pierden los ID personalizados de proyectos. Cuando creaste este proyecto, es posible que hayas creado un ID del proyecto personalizado que desees utilizar en el futuro. Para conservar las URL que utilizan el ID del proyecto, como una URL appspot.com, borra los recursos seleccionados dentro del proyecto en lugar de borrar todo el proyecto.

Si planeas explorar varias infraestructuras, instructivos y guías de inicio rápido la reutilización de proyectos puede ayudarte a evitar exceder los límites de las cuotas del proyecto.

Borra un proyecto de Google Cloud:

gcloud projects delete PROJECT_ID

¿Qué sigue?

Obtén más información sobre qué se encripta cuando se especifican claves de encriptación en Speech-to-Text.
Obtén más información sobre cómo transcribir audio con transmisión continua.
Obtén información sobre cómo transcribir archivos de audio largos.
Practica transcribir archivos de audio cortos.
Para mejorar el rendimiento y la exactitud, así como ver otras sugerencias, consulta la documentación de prácticas recomendadas.