Encripte recursos de conversão de voz em texto

Esta página demonstra como definir uma chave de encriptação no Speech-to-Text para encriptar recursos do Speech-to-Text.

O Speech-to-Text permite-lhe fornecer chaves de encriptação do Cloud Key Management Service e encripta os dados com a chave fornecida. Para saber mais sobre a encriptação, consulte a página de encriptação.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Speech-to-Text APIs.

    Enable the APIs

  5. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Aceder ao IAM
    2. Selecione o projeto.
    3. Clique em Conceder acesso.

    4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

    5. Na lista Selecionar uma função, selecione uma função.
    6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
    7. Clique em Guardar.

  6. Install the Google Cloud CLI.

  7. Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro, tem de iniciar sessão na CLI gcloud com a sua identidade federada.

  8. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Speech-to-Text APIs.

    Enable the APIs

  12. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Aceder ao IAM
    2. Selecione o projeto.
    3. Clique em Conceder acesso.

    4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

    5. Na lista Selecionar uma função, selecione uma função.
    6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
    7. Clique em Guardar.

  13. Install the Google Cloud CLI.

  14. Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro, tem de iniciar sessão na CLI gcloud com a sua identidade federada.

  15. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

    16. As bibliotecas cliente podem usar as Credenciais padrão da aplicação para fazer a autenticação facilmente com as APIs Google e enviar pedidos para essas APIs. Com as credenciais predefinidas da aplicação, pode testar a sua aplicação localmente e implementá-la sem alterar o código subjacente. Para mais informações, consulte o artigo Autentique-se para usar bibliotecas de cliente.

  16. If you're using a local shell, then create local authentication credentials for your user account: 

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

    If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

    17. Certifique-se também de que instalou a biblioteca de cliente.

    Ative o acesso às chaves do Cloud Key Management Service

    O Speech-to-Text usa uma conta de serviço para aceder às suas chaves do Cloud KMS. Por predefinição, a conta de serviço não tem acesso às chaves do Cloud KMS.

    O endereço de email da conta de serviço é o seguinte:

    service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

    Para encriptar recursos do Speech-to-Text com chaves do Cloud KMS, pode atribuir a esta conta de serviço a função roles/cloudkms.cryptoKeyEncrypterDecrypter:

    gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

    Pode encontrar mais informações sobre a Política IAM do projeto em Faça a gestão do acesso a projetos, pastas e organizações.

    Pode encontrar mais informações sobre a gestão do acesso ao Cloud Storage no artigo Crie e faça a gestão de listas de controlo de acesso na documentação do Cloud Storage.

    Especifique uma chave de encriptação

    Segue-se um exemplo de como fornecer uma chave de encriptação ao Speech-to-Text através do recurso Config:

    Python

    import os

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

PROJECT_ID = os.getenv("GOOGLE_CLOUD_PROJECT")


def enable_cmek(
    kms_key_name: str,
) -> cloud_speech.Config:
    """Enable Customer-Managed Encryption Keys (CMEK) in a project and region.
    Args:
        kms_key_name (str): The full resource name of the KMS key to be used for encryption.
            E.g,: projects/{PROJECT_ID}/locations/{LOCATION}/keyRings/{KEY_RING}/cryptoKeys/{KEY_NAME}
    Returns:
        cloud_speech.Config: The response from the update configuration request,
        containing the updated configuration details.
    """
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{PROJECT_ID}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")
    return response

    Quando é especificada uma chave de encriptação no recurso [Config] do seu projeto, todos os novos recursos criados na localização correspondente são encriptados através desta chave. Consulte a página Encriptação para mais informações sobre o que é encriptado e quando.

    Os recursos encriptados têm os campos kms_key_name e kms_key_version_name preenchidos nas respostas da API Speech-to-Text.

    Remover encriptação

    Para impedir que os recursos futuros sejam encriptados com uma chave de encriptação, use o código acima e forneça a string vazia ("") como a chave no pedido. Isto garante que os novos recursos não são encriptados. Este comando não desencripta os recursos existentes.

    Rotação e eliminação de chaves

    Na rotação de chaves, os recursos encriptados com uma versão anterior da chave do Cloud KMS permanecem encriptados com essa versão. Todos os recursos criados após a rotação de chaves são encriptados com a nova versão predefinida da chave. Todos os recursos atualizados (através de métodos Update*) após a rotação de chaves são reencriptados com a nova versão predefinida da chave.

    Após a eliminação da chave, o Speech-to-Text não consegue desencriptar os seus dados nem criar recursos ou aceder a recursos encriptados com a chave eliminada. Da mesma forma, quando revoga a autorização de conversão de voz em texto para uma chave, a conversão de voz em texto não pode desencriptar os seus dados e não pode criar recursos nem aceder a recursos encriptados com a chave cuja autorização de conversão de voz em texto foi revogada.

    Reencriptar dados

    Para voltar a encriptar os seus recursos, pode chamar o método Update* correspondente para cada recurso depois de atualizar a especificação da chave no recurso Config.

    Limpar

    Para evitar incorrer em cobranças na sua Google Cloud conta pelos recursos usados nesta página, siga estes passos.

    1. Optional: Revoke the authentication credentials that you created, and delete the local credential file. 

      gcloud auth application-default revoke

    2. Optional: Revoke credentials from the gcloud CLI. 

      gcloud auth revoke

    Consola

  17. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  18. In the project list, select the project that you want to delete, and then click Delete.
  19. In the dialog, type the project ID, and then click Shut down to delete the project.

    20. gcloud

  20. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  21. In the project list, select the project that you want to delete, and then click Delete.
  22. In the dialog, type the project ID, and then click Shut down to delete the project.

    23. O que se segue?