Speech-to-Text-Ressourcen verschlüsseln

Auf dieser Seite wird gezeigt, wie Sie in Speech-to-Text einen Verschlüsselungsschlüssel festlegen, um Speech-to-Text-Ressourcen zu verschlüsseln.

Mit Speech-to-Text können Sie Verschlüsselungsschlüssel von Cloud Key Management Service bereitstellen und Daten mit dem bereitgestellten Schlüssel verschlüsseln. Weitere Informationen zur Verschlüsselung finden Sie auf der Seite Verschlüsselung.

Hinweise

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  4. Speech-to-Text APIs aktivieren.

    Aktivieren Sie die APIs

  5. Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Cloud Speech Administrator

    Auf Rollen prüfen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.

    3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.

      Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

    4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

    Rollen zuweisen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriff erlauben.
    4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.
  6. Installieren Sie die Google Cloud CLI.

  7. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init
    8.

  8. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  9. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  10. Speech-to-Text APIs aktivieren.

    Aktivieren Sie die APIs

  11. Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Cloud Speech Administrator

    Auf Rollen prüfen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.

    3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.

      Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

    4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

    Rollen zuweisen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriff erlauben.
    4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.
  12. Installieren Sie die Google Cloud CLI.

  13. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init
    14.

    Clientbibliotheken können Standardanmeldedaten für Anwendungen verwenden, um sich einfach bei Google APIs zu authentifizieren und Anfragen an diese APIs zu senden. Mit den Standardanmeldedaten für Anwendungen können Sie Ihre Anwendung lokal testen und bereitstellen, ohne den zugrunde liegenden Code zu ändern. Weitere Informationen finden Sie unter <atrack-type="commonincludes" l10n-attrs-original-order="href,track-type,track-name" l10n-encrypted-href="WDE63JFVMK0YqIWBqG8nCycgwkRfOeEqRvzYs1N+2tJUEhcZvE5VtDH5LoWw0lj/" track-name="referenceLink">. Authentifizieren Sie sich für die Verwendung von Clientbibliotheken.</atrack-type="commoninclude">

  14. Erstellen Sie lokale Anmeldedaten zur Authentifizierung für Ihr Google-Konto: 

    gcloud auth application-default login

Prüfen Sie außerdem, ob Sie die Clientbibliothek installiert haben.

Zugriff auf Cloud Key Management Service-Schlüssel aktivieren

Speech-to-Text verwendet ein Dienstkonto, um auf Ihre Cloud KMS-Schlüssel zuzugreifen. Standardmäßig hat das Dienstkonto keinen Zugriff auf Cloud KMS-Schlüssel.

Die E-Mail-Adresse des Dienstkontos lautet:

service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

Zum Verschlüsseln von Speech-to-Text-Ressourcen mit Cloud KMS-Schlüsseln können Sie diesem Dienstkonto die Rolle roles/cloudkms.cryptoKeyEncrypterDecrypter zuweisen:

gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Weitere Informationen zur IAM-Richtlinie für Projekte finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Weitere Informationen zur Verwaltung des Zugriffs auf Cloud Storage finden Sie unter Zugriffssteuerungslisten erstellen und verwalten in der Cloud Storage-Dokumentation.

Verschlüsselungsschlüssel angeben

Im Folgenden sehen Sie ein Beispiel für die Bereitstellung eines Verschlüsselungsschlüssels für Speech-to-Text mit der Ressource Config:

Python

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

def enable_cmek(
    project_id: str,
    kms_key_name: str,
) -> cloud_speech.RecognizeResponse:
    """Enable CMEK in a project and region."""
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{project_id}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")

    return response

Wenn in der Ressource [Config] Ihres Projekts ein Verschlüsselungsschlüssel angegeben ist, werden alle am entsprechenden Standort erstellten neuen Ressourcen mit diesem Schlüssel verschlüsselt. Auf der Seite Verschlüsselung finden Sie weitere Informationen dazu, was verschlüsselt wird und wann.

Bei verschlüsselten Ressourcen werden die Felder kms_key_name und kms_key_version_name in die Antworten der Speech-to-Text API ausgefüllt.

Verschlüsselung entfernen

Wenn Sie verhindern möchten, dass zukünftige Ressourcen mit einem Verschlüsselungsschlüssel verschlüsselt werden, verwenden Sie den obigen Code und geben den leeren String ("") als Schlüssel in der Anfrage an. Dadurch wird sichergestellt, dass neue Ressourcen nicht verschlüsselt werden. Mit diesem Befehl werden vorhandene Ressourcen nicht entschlüsselt.

Schlüsselrotation und -löschung

Bei der Schlüsselrotation bleiben Ressourcen, die mit einer früheren Version des Cloud KMS-Schlüssels verschlüsselt wurden, mit dieser Version verschlüsselt. Alle Ressourcen, die nach der Schlüsselrotation erstellt werden, werden mit der neuen Standardversion des Schlüssels verschlüsselt. Alle nach der Schlüsselrotation aktualisierten Ressourcen werden (über Update*-Methoden) mit der neuen Standardversion des Schlüssels neu verschlüsselt.

Beim Löschen von Schlüsseln kann Speech-to-Text Ihre Daten nicht mehr entschlüsseln. Außerdem kann es keine Ressourcen erstellen oder nicht auf Ressourcen zugreifen, die mit dem gelöschten Schlüssel verschlüsselt wurden. Wenn Sie die Speech-to-Text-Berechtigung für einen Schlüssel widerrufen, kann Speech-to-Text Ihre Daten nicht entschlüsseln und keine Ressourcen erstellen, die mit dem Speech-to-Text-Schlüssel mit widerrufener Berechtigung verschlüsselt wurden.

Daten neu verschlüsseln

Wenn Sie Ihre Ressourcen neu verschlüsseln möchten, können Sie nach der Aktualisierung der Schlüsselspezifikation in der Ressource Config die entsprechende Update*-Methode für jede Ressource aufrufen.

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden:

  1. Optional: Widerrufen Sie die von Ihnen erstellten Anmeldedaten für die Authentifizierung und löschen Sie die lokale Datei mit den Anmeldedaten: 

    gcloud auth application-default revoke

  2. Optional: Widerrufen Sie Anmeldedaten von der gcloud-CLI. 

    gcloud auth revoke

Console

  • Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  • Wählen Sie in der Projektliste das Projekt aus, das Sie löschen möchten, und klicken Sie dann auf Löschen.
  • Geben Sie im Dialogfeld die Projekt-ID ein und klicken Sie auf Shut down (Beenden), um das Projekt zu löschen.

    • gcloud

    Google Cloud-Projekt löschen:

    gcloud projects delete PROJECT_ID

    Nächste Schritte