Chiffrer des ressources Speech-to-Text

Cette page explique comment définir une clé de chiffrement dans Speech-to-Text afin de chiffrer des ressources Speech-to-Text.

Speech-to-Text vous permet de fournir des clés de chiffrement Cloud Key Management Service et de chiffrer les données avec la clé fournie. Pour en savoir plus sur le chiffrement, consultez la page Chiffrement.

Avant de commencer

Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Speech-to-Text APIs.

Enable the APIs

Make sure that you have the following role or roles on the project: Cloud Speech Administrator

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Accéder à IAM
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.
Dans la liste Sélectionner un rôle, sélectionnez un rôle.
Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
Cliquez sur Enregistrer.
Install the Google Cloud CLI.
To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Speech-to-Text APIs.

Enable the APIs

Make sure that you have the following role or roles on the project: Cloud Speech Administrator

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Accéder à IAM
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.
Dans la liste Sélectionner un rôle, sélectionnez un rôle.
Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
Cliquez sur Enregistrer.
Install the Google Cloud CLI.
To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.

Les bibliothèques clientes peuvent utiliser les identifiants par défaut de l'application pour s'authentifier facilement auprès des API Google et envoyer des requêtes à ces API. Ces identifiants vous permettent de tester votre application localement et de la déployer sans modifier le code sous-jacent. Pour plus d'informations, consultez la page Authentifiez-vous à l'aide des bibliothèques clientes.

Create local authentication credentials for your user account:
```
gcloud auth application-default login
```

Vérifiez également que vous avez installé la bibliothèque cliente.

Activer l'accès aux clés Cloud Key Management Service

Speech-to-Text utilise un compte de service pour accéder à vos clés Cloud KMS. Par défaut, le compte de service n'a pas accès aux clés Cloud KMS.

L'adresse e-mail du compte de service est la suivante:

service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

Pour chiffrer des ressources Speech-to-Text à l'aide de clés Cloud KMS, vous pouvez attribuer à ce compte de service le rôle roles/cloudkms.cryptoKeyEncrypterDecrypter :

gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Pour en savoir plus sur la stratégie IAM du projet, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Pour en savoir plus sur la gestion des accès à Cloud Storage, consultez la page intitulée Créer et gérer des listes de contrôle d'accès dans la documentation Cloud Storage.

Spécifier une clé de chiffrement

Voici un exemple de spécification d'une clé de chiffrement pour Speech-to-Text à l'aide de la ressource Config :

Python

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech


def enable_cmek(
    project_id: str,
    kms_key_name: str,
) -> cloud_speech.RecognizeResponse:
    """Enable CMEK in a project and region."""
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{project_id}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")

    return response

Lorsqu'une clé de chiffrement est spécifiée dans la ressource [Config] de votre projet, toutes les ressources créées dans l'emplacement correspondant sont chiffrées à l'aide de cette clé. Consultez la page Chiffrement pour en savoir plus sur ce qui est chiffré, et à quel moment.

Dans une ressource chiffrée, les champs kms_key_name et kms_key_version_name sont renseignés dans les réponses de l'API Speech-to-Text.

Supprimer le chiffrement

Pour empêcher le chiffrement de futures ressources avec une clé de chiffrement, utilisez le code ci-dessus et spécifiez une chaîne vide ("") comme clé de requête. Cela permet de s'assurer que les nouvelles ressources ne sont pas chiffrées. Cette commande ne déchiffre pas les ressources existantes.

Rotation et suppression de clés

Lors de la rotation des clés, les ressources chiffrées avec une version précédente de la clé Cloud KMS restent chiffrées avec cette version. Toutes les ressources créées après la rotation des clés sont chiffrées avec la nouvelle version de clé par défaut. Toutes les ressources mises à jour (à l'aide des méthodes Update*) après la rotation des clés sont rechiffrées avec la nouvelle version par défaut de la clé.

Lors d'une suppression de clé, Speech-to-Text ne peut pas déchiffrer vos données, et ne peut pas créer de ressources ni accéder à des ressources qui ont été chiffrées avec la clé supprimée. De même, lorsque vous révoquez l'autorisation Speech-to-Text pour une clé, Speech-to-Text ne peut plus déchiffrer vos données, et ne peut plus créer de ressources ni accéder aux ressources qui ont été chiffrées avec la clé dont l'autorisation Speech-to-Text a été révoquée.

Rechiffrer des données

Pour rechiffrer vos ressources, vous pouvez appeler la méthode Update* correspondante pour chaque ressource après avoir mis à jour la spécification de clé dans la ressource Config.

Effectuer un nettoyage

Pour éviter que les ressources utilisées sur cette page soient facturées sur votre compte Google Cloud, suivez les étapes ci-dessous :

Optional: Revoke the authentication credentials that you created, and delete the local credential file.
```
gcloud auth application-default revoke
```
Optional: Revoke credentials from the gcloud CLI.
```
gcloud auth revoke
```

Console

Attention : La suppression d'un projet entraîne les effets décrits ci-dessous :

Tout le contenu du projet est supprimé. Si vous avez utilisé un projet existant pour les tâches décrites dans ce document et que vous le supprimez, vous supprimerez également tout autre travail effectué dans le projet.
Les ID de projets personnalisés sont perdus. Lorsque vous avez créé ce projet, vous avez peut-être créé un ID de projet personnalisé que vous souhaitez utiliser à l'avenir. Pour conserver les URL qui utilisent l'ID de projet, telle qu'une URL appspot.com, supprimez les ressources sélectionnées dans le projet au lieu de supprimer l'ensemble du projet.

Si vous envisagez d'explorer plusieurs architectures, tutoriels et guides de démarrage rapide, réutiliser des projets peut vous aider à ne pas dépasser les limites de quotas des projets.

In the Google Cloud console, go to the Manage resources page.

Go to Manage resources

In the project list, select the project that you want to delete, and then click Delete.

In the dialog, type the project ID, and then click Shut down to delete the project.

gcloud

Attention : La suppression d'un projet entraîne les effets décrits ci-dessous :

Tout le contenu du projet est supprimé. Si vous avez utilisé un projet existant pour les tâches décrites dans ce document et que vous le supprimez, vous supprimerez également tout autre travail effectué dans le projet.
Les ID de projets personnalisés sont perdus. Lorsque vous avez créé ce projet, vous avez peut-être créé un ID de projet personnalisé que vous souhaitez utiliser à l'avenir. Pour conserver les URL qui utilisent l'ID de projet, telle qu'une URL appspot.com, supprimez les ressources sélectionnées dans le projet au lieu de supprimer l'ensemble du projet.

Si vous envisagez d'explorer plusieurs architectures, tutoriels et guides de démarrage rapide, réutiliser des projets peut vous aider à ne pas dépasser les limites de quotas des projets.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

Étapes suivantes

Apprenez-en plus sur les éléments qui sont chiffrés lorsque vous spécifiez des clés de chiffrement dans Speech-to-Text.
Découvrez comment transcrire du contenu audio diffusé en streaming.
Découvrez comment transcrire des fichiers audio longs.
Entraînez-vous à transcrire des fichiers audio courts.
Pour obtenir des conseils, entre autres sur l'optimisation des performances et l'amélioration de la précision, consultez la documentation relative aux bonnes pratiques.