Cripta le risorse Speech-to-Text

Questa pagina mostra come impostare una chiave di crittografia in Speech-to-Text su crittografa le risorse Speech-to-Text.

Speech-to-Text consente di fornire Cloud Key Management Service utilizza le chiavi di crittografia e cripta i dati. con la chiave fornita. Per saperne di più sulla crittografia, consulta crittografia.

Prima di iniziare

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

  4. Abilita le API Speech-to-Text.

    Abilita le API

  5. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.

    4. Nel campo Nuove entità, inserisci l'identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungiamo ogni altro ruolo.
    7. Fai clic su Salva.
    8. Install the Google Cloud CLI.

    9. To initialize the gcloud CLI, run the following command: 

      gcloud init

    10. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    11. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

    12. Abilita le API Speech-to-Text.

      Abilita le API

    13. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Vai a IAM
      2. Seleziona il progetto.
      3. Fai clic su Concedi l'accesso.

      4. Nel campo Nuove entità, inserisci l'identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

      5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
      6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungiamo ogni altro ruolo.
      7. Fai clic su Salva.
      8. Install the Google Cloud CLI.

      9. To initialize the gcloud CLI, run the following command: 

        gcloud init

        10. Le librerie client possono utilizzare le credenziali predefinite dell'applicazione per autenticarsi facilmente con le API di Google e inviare richieste a queste API. Con Credenziali predefinite dell'applicazione, puoi testare l'applicazione in locale ed eseguirne il deployment senza modificare il codice sottostante. Per ulteriori informazioni, consulta <atrack-type="common generate" l10n-attrs-original-order="href,track-type,track-name" l10n-encrypted-href="WDE63JFVMK0YqIWBqG8nCycgwkRfOeEqRvzYs1N+2tJUEhcZvE5WLink-reference for AuthenticatehcZvE5WLink-reference for Authenticate

      10. Create local authentication credentials for your user account: 

        gcloud auth application-default login

      Assicurati inoltre di aver installato la libreria client.

      Abilita l'accesso alle chiavi di Cloud Key Management Service

      Speech-to-Text utilizza un account di servizio per accedere alle chiavi Cloud KMS. Per impostazione predefinita, l'account di servizio non ha accesso alle chiavi Cloud KMS.

      L'indirizzo email dell'account di servizio è il seguente:

      service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

      Per criptare le risorse Speech-to-Text utilizzando Cloud KMS chiave, puoi assegnare a questo account di servizio Ruolo roles/cloudkms.cryptoKeyEncrypterDecrypter:

      gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

      Ulteriori informazioni sul criterio IAM del progetto sono disponibili all'indirizzo Gestire l'accesso a progetti, cartelle e organizzazioni.

      Ulteriori informazioni sulla gestione dell'accesso a Cloud Storage sono disponibili all'indirizzo Creare e gestire elenchi di controllo dell'accesso disponibile nella documentazione di Cloud Storage.

      Specifica una chiave di crittografia

      Ecco un esempio di fornitura di una chiave di crittografia a Speech-to-Text utilizzando Risorsa di Config:

      Python

      from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech


def enable_cmek(
    project_id: str,
    kms_key_name: str,
) -> cloud_speech.RecognizeResponse:
    """Enable CMEK in a project and region."""
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{project_id}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")

    return response

      Quando viene specificata una chiave di crittografia nella risorsa [Config] del progetto, tutte le nuove risorse create nella località corrispondente vengono criptate questa chiave. Consulta la pagina dedicata alla crittografia per ulteriori informazioni su cosa è criptato e quando.

      Le risorse criptate hanno i seguenti attributi: kms_key_name e kms_key_version_name campi compilati nelle risposte dell'API Speech-to-Text.

      Rimuovi crittografia

      Per impedire che in futuro le risorse vengano criptate con una chiave di crittografia, utilizza la classe precedente e fornisci la stringa vuota ("") come chiave nella richiesta. Questo assicura che le nuove risorse non siano criptate. Questo comando non decripta le risorse esistenti.

      Rotazione ed eliminazione delle chiavi

      Al momento della rotazione della chiave, le risorse criptate con una versione precedente di la chiave Cloud KMS rimane criptata con quella versione. Qualsiasi Le risorse create dopo la rotazione della chiave sono criptate con la nuova all'ultima versione della chiave. Eventuali risorse aggiornate (utilizzando i metodi Update*) dopo il la rotazione della chiave viene ricriptata con la nuova versione predefinita della chiave.

      Al momento dell'eliminazione della chiave, Speech-to-Text non può decriptare i dati e non può creare risorse o accedere a risorse criptate con la chiave eliminata. Allo stesso modo, quando revochi Speech-to-Text l'autorizzazione per una chiave, Speech-to-Text non può decriptare i dati e non può creare risorse o accedere a risorse criptate con la chiave revocata per autorizzazione di Speech-to-Text.

      Ricripta i dati

      Per criptare nuovamente le risorse, puoi chiamare il metodo Update* corrispondente per ogni risorsa dopo aver aggiornato la specifica della chiave nella risorsa Config.

      Esegui la pulizia

      Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

      1. Facoltativo: revoca le credenziali di autenticazione che hai creato ed elimina il file delle credenziali locale. 

        gcloud auth application-default revoke

      2. Facoltativo: revoca le credenziali dallgcloud CLI. 

        gcloud auth revoke

      Console

    14. Nella console Google Cloud, vai alla pagina Gestisci risorse.

      Vai a Gestisci risorse

    15. Nell'elenco dei progetti, seleziona il progetto che vuoi eliminare, quindi fai clic su Elimina.
    16. Nella finestra di dialogo, digita l'ID del progetto e fai clic su Chiudi per eliminare il progetto.

      17. gcloud

      Elimina un progetto Google Cloud:

      gcloud projects delete PROJECT_ID

      Passaggi successivi