Criptografar recursos do Speech-to-Text

Nesta página, você verá como definir uma chave de criptografia no Speech-to-Text para criptografar recursos do Speech-to-Text.

O Speech-to-Text permite fornecer chaves de criptografia do Cloud Key Management Service e criptografar dados com a chave fornecida. Para saber mais, consulte a página sobre criptografia.

Antes de começar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

Enable the Speech-to-Text APIs.

Enable the APIs

Make sure that you have the following role or roles on the project: Cloud Speech Administrator

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Acessar o IAM
Selecionar um projeto.
Clique em CONCEDER ACESSO.
No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
Na lista Selecionar um papel, escolha um.
Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
Clique em Salvar.
Install the Google Cloud CLI.
To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

Enable the Speech-to-Text APIs.

Enable the APIs

Make sure that you have the following role or roles on the project: Cloud Speech Administrator

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Acessar o IAM
Selecionar um projeto.
Clique em CONCEDER ACESSO.
No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
Na lista Selecionar um papel, escolha um.
Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
Clique em Salvar.
Install the Google Cloud CLI.
To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.

As bibliotecas de cliente podem usar o Application Default Credentials para autenticar facilmente com as APIs do Google e enviar solicitações para essas APIs. Com esse serviço, é possível testar seu aplicativo localmente e implantá-lo sem alterar o código subjacente. Par amais informações, consulte Faça a autenticação para usar as bibliotecas do cliente.

If you're using a local shell, then create local authentication credentials for your user account:
```
gcloud auth application-default login
```
You don't need to do this if you're using Cloud Shell.

Verifique também se você instalou a biblioteca de cliente.

Ativar o acesso às chaves do Cloud Key Management Service

O Speech-to-Text usa uma conta de serviço para acessar as chaves do Cloud KMS. Por padrão, a conta de serviço não tem acesso às chaves do Cloud KMS.

O endereço de e-mail da conta de serviço é:

service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

Para criptografar recursos do Speech-to-Text usando chaves do Cloud KMS, atribua à conta de serviço o papel de roles/cloudkms.cryptoKeyEncrypterDecrypter:

gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Mais informações sobre a política de IAM de projetos estão disponíveis em Gerenciar acesso a projetos, pastas e organizações.

Mais informações sobre como gerenciar o acesso ao Cloud Storage estão disponíveis em Criar e gerenciar listas de controle de acesso na documentação do Cloud Storage.

Especificar uma chave de criptografia

Veja um exemplo de como fornecer uma chave de criptografia para o Speech-to-Text usando o recurso Config:

Python

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

def enable_cmek(
    project_id: str,
    kms_key_name: str,
) -> cloud_speech.RecognizeResponse:
    """Enable CMEK in a project and region."""
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{project_id}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")

    return response

Quando uma chave de criptografia é especificada no recurso [Config] do projeto, todos os novos recursos criados no local correspondente são criptografados usando essa chave. Consulte a página de criptografia para mais informações sobre o que é criptografado e quando.

Os recursos criptografados têm os campos kms_key_name e kms_key_version_name preenchidos nas respostas da API Speech-to-Text.

Remover criptografia

Para impedir que recursos futuros sejam criptografados com uma chave de criptografia, use o código acima e forneça a string vazia ("") como a chave na solicitação. Isso garante que novos recursos não sejam criptografados. Esse comando não descriptografa os recursos atuais.

Rotação e exclusão de chaves

Na rotação de chaves, os recursos criptografados com uma versão anterior da chave do Cloud KMS permanecem criptografados com essa versão. Todos os recursos criados após a rotação da chave são criptografados com a nova versão padrão da chave. Todos os recursos atualizados (usando métodos Update*) após a rotação de chaves são criptografados novamente com a nova versão padrão da chave.

Na exclusão de chaves, o Speech-to-Text não pode descriptografar os dados nem criar recursos ou acessar recursos criptografados com a chave excluída. Da mesma forma, quando você revoga a permissão de uma chave do Speech-to-Text, ele não pode descriptografar os dados nem criar recursos ou acessar recursos criptografados com a chave de revogação de permissão do Speech-to-Text.

Criptografar dados de novo

Para criptografar novamente os recursos, chame o método Update* correspondente para cada recurso após atualizar a especificação da chave no recurso Config.

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

Optional: Revoke the authentication credentials that you created, and delete the local credential file.
```
gcloud auth application-default revoke
```
Optional: Revoke credentials from the gcloud CLI.
```
gcloud auth revoke
```

Console

Cuidado: excluir um projeto tem os seguintes efeitos:

Tudo no projeto é excluído. Se você tiver usado um projeto existente para as tarefas neste documento, a exclusão dele incluirá a exclusão de quaisquer outros trabalhos feitos no projeto.
Os IDs do projeto personalizados são perdidos. Ao criar o projeto, você pode ter criado um código do projeto personalizado para ser usado no futuro. Para preservar os URLs que usam o ID do projeto, como um URL appspot.com, exclua recursos específicos do projeto, em vez de excluir o projeto inteiro.

Se você planeja passar por várias arquiteturas, tutoriais ou guias de início rápido, a reutilização de projetos pode evitar que você exceda os limites da cota do projeto.

In the Google Cloud console, go to the Manage resources page.

Go to Manage resources

In the project list, select the project that you want to delete, and then click Delete.

In the dialog, type the project ID, and then click Shut down to delete the project.

gcloud

Cuidado: excluir um projeto tem os seguintes efeitos:

Tudo no projeto é excluído. Se você tiver usado um projeto existente para as tarefas neste documento, a exclusão dele incluirá a exclusão de quaisquer outros trabalhos feitos no projeto.
Os IDs do projeto personalizados são perdidos. Ao criar o projeto, você pode ter criado um código do projeto personalizado para ser usado no futuro. Para preservar os URLs que usam o ID do projeto, como um URL appspot.com, exclua recursos específicos do projeto, em vez de excluir o projeto inteiro.

Se você planeja passar por várias arquiteturas, tutoriais ou guias de início rápido, a reutilização de projetos pode evitar que você exceda os limites da cota do projeto.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

A seguir

Saiba mais sobre o que é criptografado ao especificar chaves de criptografia no Speech-to-Text.
Saiba como transcrever streaming de áudio.
Saiba como transcrever arquivos de áudio longos.
Pratique como transcrever arquivos de áudio curtos.
Para dicas sobre como conseguir o melhor desempenho e precisão, entre outras, consulte a documentação sobre práticas recomendadas.