Speech-to-Text 리소스 암호화

이 페이지에서는 Speech-to-Text에서 암호화 키를 설정하여 Speech-to-Text 리소스를 암호화하는 방법을 설명합니다.

Speech-to-Text를 사용하면 Cloud Key Management Service 암호화 키를 제공하고 제공된 키로 데이터를 암호화할 수 있습니다. 암호화에 대해 자세히 알아보려면 암호화 페이지를 참조하세요.

시작하기 전에

  1. Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

  4. Enable the Speech-to-Text APIs.

    Enable the APIs

  5. 프로젝트에 다음 역할이 있는지 확인합니다. Cloud Speech Administrator

    역할 확인

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.
    3. 주 구성원 열에서 이메일 주소가 있는 행을 찾습니다.

      이메일 주소가 열에 없으면 역할이 없는 것입니다.

    4. 이메일 주소가 있는 행에 대해 역할 열에서 역할 목록에 필요한 역할이 있는지 확인합니다.

    역할 부여

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.
    3. 액세스 권한 부여를 클릭합니다.
    4. 새 주 구성원 필드에 이메일 주소를 입력합니다.
    5. 역할 선택 목록에서 역할을 선택합니다.
    6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
    7. 저장을 클릭합니다.
  6. Install the Google Cloud CLI.
  7. To initialize the gcloud CLI, run the following command:

    gcloud init
  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

  10. Enable the Speech-to-Text APIs.

    Enable the APIs

  11. 프로젝트에 다음 역할이 있는지 확인합니다. Cloud Speech Administrator

    역할 확인

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.
    3. 주 구성원 열에서 이메일 주소가 있는 행을 찾습니다.

      이메일 주소가 열에 없으면 역할이 없는 것입니다.

    4. 이메일 주소가 있는 행에 대해 역할 열에서 역할 목록에 필요한 역할이 있는지 확인합니다.

    역할 부여

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.
    3. 액세스 권한 부여를 클릭합니다.
    4. 새 주 구성원 필드에 이메일 주소를 입력합니다.
    5. 역할 선택 목록에서 역할을 선택합니다.
    6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
    7. 저장을 클릭합니다.
  12. Install the Google Cloud CLI.
  13. To initialize the gcloud CLI, run the following command:

    gcloud init
  14. 클라이언트 라이브러리는 애플리케이션 기본 사용자 인증 정보를 사용하여 간편하게 Google API를 인증하고 API에 요청을 보낼 수 있습니다. 애플리케이션 기본 사용자 인증 정보를 사용하면 애플리케이션을 로컬에서 테스트하고 기본 코드를 변경하지 않은 상태로 배포할 수 있습니다. 자세한 내용은 클라이언트 라이브러리 사용 인증을 참조하세요.

  15. If you're using a local shell, then create local authentication credentials for your user account:

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

또한 클라이언트 라이브러리를 설치했는지 확인합니다.

Cloud Key Management Service 키에 대한 액세스 사용 설정

Speech-to-Text는 서비스 계정을 사용하여 Cloud KMS 키에 액세스합니다. 기본적으로 서비스 계정으로는 Cloud KMS 키에 액세스할 수 없습니다.

서비스 계정 이메일 주소는 다음과 같습니다.

service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

Cloud KMS 키를 사용하여 Speech-to-Text 리소스를 암호화하려면 이 서비스 계정에 roles/cloudkms.cryptoKeyEncrypterDecrypter 역할을 부여하면 됩니다.

gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

프로젝트 IAM 정책에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

Cloud Storage의 액세스 관리에 대한 자세한 내용은 Cloud Storage 문서의 액세스 제어 목록(ACL) 생성 및 관리를 참조하세요.

암호화 키 지정

다음은 Config 리소스를 사용하여 Speech-to-Text에 암호화 키를 제공하는 방법의 예시입니다.

Python

import os

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

PROJECT_ID = os.getenv("GOOGLE_CLOUD_PROJECT")


def enable_cmek(
    kms_key_name: str,
) -> cloud_speech.Config:
    """Enable Customer-Managed Encryption Keys (CMEK) in a project and region.
    Args:
        kms_key_name (str): The full resource name of the KMS key to be used for encryption.
            E.g,: projects/{PROJECT_ID}/locations/{LOCATION}/keyRings/{KEY_RING}/cryptoKeys/{KEY_NAME}
    Returns:
        cloud_speech.Config: The response from the update configuration request,
        containing the updated configuration details.
    """
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{PROJECT_ID}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")
    return response

프로젝트의 [Config] 리소스에 암호화 키가 지정된 경우, 해당 위치에서 생성된 모든 새 리소스는 이 키를 사용하여 암호화됩니다. 암호화 대상과 시기에 대한 자세한 내용은 암호화 페이지를 참조하세요.

암호화된 리소스에는 Speech-to-Text API 응답에서 채워지는 kms_key_namekms_key_version_name 필드가 있습니다.

암호화 삭제

이후 리소스가 암호화 키로 암호화되지 않도록 하려면 위 코드를 사용하여 요청의 키로 빈 문자열("")을 제공합니다. 이렇게 하면 새 리소스가 암호화되지 않습니다. 이 명령어는 기존 리소스를 복호화하지 않습니다.

키 순환 및 삭제

키 순환 시, 이전 버전의 Cloud KMS 키로 암호화된 리소스는 해당 버전으로 암호화된 상태를 유지합니다. 키 순환 후 생성된 모든 리소스는 해당 키의 새로운 기본 버전으로 암호화됩니다. 키 순환 후 업데이트된 모든 리소스(Update* 메서드 사용)는 키의 새로운 기본 버전으로 다시 암호화됩니다.

키를 삭제하면 Speech-to-Text는 데이터를 복호화할 수 없으며 삭제된 키로 암호화된 리소스를 만들거나 액세스할 수 없습니다. 마찬가지로 키의 Speech-to-Text 권한을 취소하면 Speech-to-Text가 데이터를 복호화할 수 없으며 Speech-to-Text 권한 취소 키로 암호화된 리소스를 생성하거나 액세스할 수 없습니다.

데이터 다시 암호화

리소스를 다시 암호화하려면 Config 리소스에서 키 사양을 업데이트한 후 각 리소스에 대해 해당 Update* 메서드를 호출하면 됩니다.

삭제

이 페이지에서 사용한 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 다음 단계를 수행합니다.

  1. 선택사항: 만든 사용자 인증 정보를 취소하고 로컬 사용자 인증 정보 파일을 삭제합니다.

    gcloud auth application-default revoke
  2. Optional: Revoke credentials from the gcloud CLI.

    gcloud auth revoke

콘솔

  • In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  • In the project list, select the project that you want to delete, and then click Delete.
  • In the dialog, type the project ID, and then click Shut down to delete the project.
  • gcloud

    Delete a Google Cloud project:

    gcloud projects delete PROJECT_ID

    다음 단계