Chiffrer des ressources Speech-to-Text

Cette page explique comment définir une clé de chiffrement dans Speech-to-Text afin de chiffrer des ressources Speech-to-Text.

Speech-to-Text vous permet de fournir des clés de chiffrement Cloud Key Management Service et de chiffrer les données avec la clé fournie. Pour en savoir plus sur le chiffrement, consultez la page Chiffrement.

Avant de commencer

Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Vérifiez que la facturation est activée pour votre projet Google Cloud.

Activer les API Speech-to-Text.

Activer les API

Assurez-vous que vous disposez du ou des rôles suivants au niveau du projet : Cloud Speech Administrator

Vérifier les rôles

Dans la console Google Cloud, accédez à la page IAM.
Accéder à IAM
Sélectionnez le projet.
Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.
Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

Attribuer les rôles

Dans la console Google Cloud, accédez à la page IAM.
Accéder à IAM
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
Cliquez sur Enregistrer.

Installez Google Cloud CLI.

Pour initialiser gcloudCLI, exécutez la commande suivante :

gcloud init

Remarque : Si vous avez déjà installé gcloud CLI, assurez-vous que vous disposez de la dernière version en exécutant

gcloud components
      update

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Vérifiez que la facturation est activée pour votre projet Google Cloud.

Activer les API Speech-to-Text.

Activer les API

Assurez-vous que vous disposez du ou des rôles suivants au niveau du projet : Cloud Speech Administrator

Vérifier les rôles

Dans la console Google Cloud, accédez à la page IAM.
Accéder à IAM
Sélectionnez le projet.
Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.
Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

Attribuer les rôles

Dans la console Google Cloud, accédez à la page IAM.
Accéder à IAM
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
Cliquez sur Enregistrer.

Installez Google Cloud CLI.

Pour initialiser gcloudCLI, exécutez la commande suivante :

gcloud init

Remarque : Si vous avez déjà installé gcloud CLI, assurez-vous que vous disposez de la dernière version en exécutant

gcloud components
      update

Les bibliothèques clientes peuvent utiliser les identifiants par défaut de l'application pour s'authentifier facilement auprès des API Google et envoyer des requêtes à ces API. Ces identifiants vous permettent de tester votre application localement et de la déployer sans modifier le code sous-jacent. Pour plus d'informations, consultez la page <atrack-type="commonincludes" l10n-attrs-original-order="href,track-type,track-name" l10n-encrypted-href="WDE63JFVMK0YqIWBqG8nCycgwkRfOeEqRvzYs1N+2tJUEhcZvE5VtDH5LoWw0lj/" track-name="referenceLink"> Authentifiez-vous à l'aide des bibliothèques clientes.</atrack-type="commonincludes">

Créez des identifiants d'authentification locaux pour votre compte Google :
```
gcloud auth application-default login
```

Vérifiez également que vous avez installé la bibliothèque cliente.

Activer l'accès aux clés Cloud Key Management Service

Speech-to-Text utilise un compte de service pour accéder à vos clés Cloud KMS. Par défaut, le compte de service n'a pas accès aux clés Cloud KMS.

L'adresse e-mail du compte de service est la suivante:

service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

Pour chiffrer des ressources Speech-to-Text à l'aide de clés Cloud KMS, vous pouvez attribuer à ce compte de service le rôle roles/cloudkms.cryptoKeyEncrypterDecrypter :

gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Pour en savoir plus sur la stratégie IAM du projet, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Pour en savoir plus sur la gestion des accès à Cloud Storage, consultez la page intitulée Créer et gérer des listes de contrôle d'accès dans la documentation Cloud Storage.

Spécifier une clé de chiffrement

Voici un exemple de spécification d'une clé de chiffrement pour Speech-to-Text à l'aide de la ressource Config :

Python

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech


def enable_cmek(
    project_id: str,
    kms_key_name: str,
) -> cloud_speech.RecognizeResponse:
    """Enable CMEK in a project and region."""
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{project_id}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")

    return response

Lorsqu'une clé de chiffrement est spécifiée dans la ressource [Config] de votre projet, toutes les ressources créées dans l'emplacement correspondant sont chiffrées à l'aide de cette clé. Consultez la page Chiffrement pour en savoir plus sur ce qui est chiffré, et à quel moment.

Dans une ressource chiffrée, les champs kms_key_name et kms_key_version_name sont renseignés dans les réponses de l'API Speech-to-Text.

Supprimer le chiffrement

Pour empêcher le chiffrement de futures ressources avec une clé de chiffrement, utilisez le code ci-dessus et spécifiez une chaîne vide ("") comme clé de requête. Cela permet de s'assurer que les nouvelles ressources ne sont pas chiffrées. Cette commande ne déchiffre pas les ressources existantes.

Rotation et suppression de clés

Lors de la rotation des clés, les ressources chiffrées avec une version précédente de la clé Cloud KMS restent chiffrées avec cette version. Toutes les ressources créées après la rotation des clés sont chiffrées avec la nouvelle version de clé par défaut. Toutes les ressources mises à jour (à l'aide des méthodes Update*) après la rotation des clés sont rechiffrées avec la nouvelle version par défaut de la clé.

Lors d'une suppression de clé, Speech-to-Text ne peut pas déchiffrer vos données, et ne peut pas créer de ressources ni accéder à des ressources qui ont été chiffrées avec la clé supprimée. De même, lorsque vous révoquez l'autorisation Speech-to-Text pour une clé, Speech-to-Text ne peut plus déchiffrer vos données, et ne peut plus créer de ressources ni accéder aux ressources qui ont été chiffrées avec la clé dont l'autorisation Speech-to-Text a été révoquée.

Rechiffrer des données

Pour rechiffrer vos ressources, vous pouvez appeler la méthode Update* correspondante pour chaque ressource après avoir mis à jour la spécification de clé dans la ressource Config.

Effectuer un nettoyage

Pour éviter que les ressources utilisées sur cette page soient facturées sur votre compte Google Cloud, suivez les étapes ci-dessous :

Facultatif : Révoquez les identifiants d'authentification que vous avez créés et supprimez le fichier d'identifiants local.
```
gcloud auth application-default revoke
```

Facultatif : Révoquez les identifiants de la CLI gcloud.
```
gcloud auth revoke
```

Console

Attention : La suppression d'un projet aura les effets suivants :

Tout le contenu du projet est supprimé. Si vous avez utilisé un projet existant pour les tâches de ce document, lorsque vous le supprimez, vous supprimez également tout autre travail effectué dans le projet.
Les ID de projets personnalisés sont perdus. Lorsque vous avez créé ce projet, vous avez peut-être créé un ID de projet personnalisé que vous souhaitez utiliser à l'avenir. Pour conserver les URL qui utilisent l'ID de projet, telle qu'une URL appspot.com, supprimez les ressources sélectionnées dans le projet au lieu de supprimer l'ensemble du projet.

Si vous envisagez d'explorer plusieurs architectures, tutoriels et guides de démarrage rapide, réutiliser des projets peut vous aider à ne pas dépasser les limites de quotas des projets.

Dans la console Google Cloud, accédez à la page Gérer les ressources.

Accéder à la page Gérer les ressources

Dans la liste des projets, sélectionnez le projet que vous souhaitez supprimer, puis cliquez sur Supprimer.

Dans la boîte de dialogue, saisissez l'ID du projet, puis cliquez sur Arrêter pour supprimer le projet.

gcloud

Attention : La suppression d'un projet aura les effets suivants :

Tout le contenu du projet est supprimé. Si vous avez utilisé un projet existant pour les tâches de ce document, lorsque vous le supprimez, vous supprimez également tout autre travail effectué dans le projet.
Les ID de projets personnalisés sont perdus. Lorsque vous avez créé ce projet, vous avez peut-être créé un ID de projet personnalisé que vous souhaitez utiliser à l'avenir. Pour conserver les URL qui utilisent l'ID de projet, telle qu'une URL appspot.com, supprimez les ressources sélectionnées dans le projet au lieu de supprimer l'ensemble du projet.

Si vous envisagez d'explorer plusieurs architectures, tutoriels et guides de démarrage rapide, réutiliser des projets peut vous aider à ne pas dépasser les limites de quotas des projets.

Supprimez un projet Google Cloud :

gcloud projects delete PROJECT_ID

Étapes suivantes

Apprenez-en plus sur les éléments qui sont chiffrés lorsque vous spécifiez des clés de chiffrement dans Speech-to-Text.
Découvrez comment transcrire du contenu audio diffusé en streaming.
Découvrez comment transcrire des fichiers audio longs.
Entraînez-vous à transcrire des fichiers audio courts.
Pour obtenir des conseils, entre autres sur l'optimisation des performances et l'amélioration de la précision, consultez la documentation relative aux bonnes pratiques.