Cripta le risorse Speech-to-Text

Questa pagina mostra come impostare una chiave di crittografia in Speech-to-Text per criptare le risorse di Speech-to-Text.

Speech-to-Text ti consente di fornire le chiavi di crittografia di Cloud Key Management Service e cripta i dati con la chiave fornita. Per scoprire di più sulla crittografia, consulta la pagina relativa alla crittografia.

Prima di iniziare

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

  4. Abilita le API Speech-to-Text.

    Abilita le API

  5. Assicurati di disporre dei seguenti ruoli nel progetto: Cloud Speech Administrator

    Verifica i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.

    3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.

      Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.

    4. Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.

    Concedi i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.
    4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
    5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
    7. Fai clic su Salva.
  6. Installa Google Cloud CLI.

  7. Per initialize gcloud CLI, esegui questo comando: 

    gcloud init
    8.

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

  10. Abilita le API Speech-to-Text.

    Abilita le API

  11. Assicurati di disporre dei seguenti ruoli nel progetto: Cloud Speech Administrator

    Verifica i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.

    3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.

      Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.

    4. Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.

    Concedi i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.
    4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
    5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
    7. Fai clic su Salva.
  12. Installa Google Cloud CLI.

  13. Per initialize gcloud CLI, esegui questo comando: 

    gcloud init
    14.

    Le librerie client possono utilizzare le credenziali predefinite dell'applicazione per autenticarsi facilmente con le API di Google e inviare richieste a queste API. Con Credenziali predefinite dell'applicazione, puoi testare l'applicazione in locale ed eseguirne il deployment senza modificare il codice sottostante. Per ulteriori informazioni, consulta <atrack-type="common generate" l10n-attrs-original-order="href,track-type,track-name" l10n-encrypted-href="WDE63JFVMK0YqIWBqG8nCycgwkRfOeEqRvzYs1N+2tJUEhcZvE5WLink-reference for AuthenticatehcZvE5WLink-reference for Authenticate

  14. Crea credenziali di autenticazione locali per il tuo Account Google: 

    gcloud auth application-default login

Assicurati inoltre di aver installato la libreria client.

Abilita l'accesso alle chiavi di Cloud Key Management Service

Speech-to-Text utilizza un account di servizio per accedere alle chiavi Cloud KMS. Per impostazione predefinita, l'account di servizio non ha accesso alle chiavi Cloud KMS.

L'indirizzo email dell'account di servizio è il seguente:

service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

Per criptare le risorse Speech-to-Text utilizzando le chiavi Cloud KMS, puoi assegnare a questo account di servizio il ruolo roles/cloudkms.cryptoKeyEncrypterDecrypter:

gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Per ulteriori informazioni sul criterio IAM del progetto, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Per ulteriori informazioni sulla gestione dell'accesso a Cloud Storage, consulta Creare e gestire gli controllo dell'accesso dell'accesso nella documentazione di Cloud Storage.

Specifica una chiave di crittografia

Ecco un esempio di come fornire una chiave di crittografia a Speech-to-Text utilizzando la risorsa Config:

Python

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

def enable_cmek(
    project_id: str,
    kms_key_name: str,
) -> cloud_speech.RecognizeResponse:
    """Enable CMEK in a project and region."""
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{project_id}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")

    return response

Quando viene specificata una chiave di crittografia nella risorsa [Config] del progetto, tutte le nuove risorse create nella località corrispondente vengono criptate con questa chiave. Consulta la pagina relativa alla crittografia per ulteriori informazioni su cosa viene criptato e quando.

I campi kms_key_name e kms_key_version_name delle risorse criptate vengono inseriti nelle risposte dell'API Speech-to-Text.

Rimuovi crittografia

Per evitare che le risorse future vengano criptate con una chiave di crittografia, utilizza il codice riportato sopra e fornisci la stringa vuota ("") come chiave nella richiesta. Questo garantisce che le nuove risorse non vengano criptate. Questo comando non decripta le risorse esistenti.

Rotazione ed eliminazione della chiave

Al momento della rotazione della chiave, le risorse criptate con una versione precedente della chiave Cloud KMS rimangono criptate con quella versione. Tutte le risorse create dopo la rotazione della chiave vengono criptate con la nuova versione predefinita della chiave. Le risorse aggiornate (utilizzando i metodi Update*) dopo la rotazione della chiave vengono ricriptate con la nuova versione predefinita della chiave.

Al momento dell'eliminazione della chiave, Speech-to-Text non può decriptare i tuoi dati e non può creare risorse o accedere a risorse criptate con la chiave eliminata. Allo stesso modo, quando revochi l'autorizzazione Speech-to-Text per una chiave, Speech-to-Text non può decriptare i tuoi dati e non può creare risorse o accedere a risorse criptate con la chiave revocata dall'autorizzazione Speech-to-Text.

Nuova crittografia dei dati

Per criptare nuovamente le risorse, puoi chiamare il metodo Update* corrispondente per ogni risorsa dopo aver aggiornato la specifica della chiave nella risorsa Config.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

  1. Facoltativo: revoca le credenziali di autenticazione che hai creato ed elimina il file delle credenziali locale. 

    gcloud auth application-default revoke

  2. Facoltativo: revoca le credenziali dallgcloud CLI. 

    gcloud auth revoke

Console

  • Nella console Google Cloud, vai alla pagina Gestisci risorse.

    Vai a Gestisci risorse

  • Nell'elenco dei progetti, seleziona il progetto che vuoi eliminare, quindi fai clic su Elimina.
  • Nella finestra di dialogo, digita l'ID del progetto e fai clic su Chiudi per eliminare il progetto.

    • gcloud

    Elimina un progetto Google Cloud:

    gcloud projects delete PROJECT_ID

    Passaggi successivi