Criptografar recursos do Speech-to-Text

Nesta página, você verá como definir uma chave de criptografia no Speech-to-Text para criptografar recursos do Speech-to-Text.

O Speech-to-Text permite fornecer chaves de criptografia do Cloud Key Management Service e criptografar dados com a chave fornecida. Para saber mais, consulte a página sobre criptografia.

Antes de começar

Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

Acessar o seletor de projetos

Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

Ative as APIs Speech-to-Text.

Ative as APIs

Verifique se você tem os seguintes papéis no projeto: Cloud Speech Administrator

Verificar os papéis

No console do Google Cloud, abra a página IAM.
Acessar IAM
Selecionar um projeto.
Na coluna Principal, encontre a linha que contém seu endereço de e-mail.

Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.
Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

Conceder os papéis

No console do Google Cloud, abra a página IAM.
Acesse o IAM
Selecionar um projeto.
Clique em CONCEDER ACESSO.
No campo Novos participantes, digite seu endereço de e-mail.
Na lista Selecionar um papel, escolha um.
Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
Clique em Save.

Instale a CLI do Google Cloud.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

Observação: se você instalou a CLI gcloud anteriormente, verifique se tem a versão mais recente executando

gcloud components
      update

No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

Acessar o seletor de projetos

Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

Ative as APIs Speech-to-Text.

Ative as APIs

Verifique se você tem os seguintes papéis no projeto: Cloud Speech Administrator

Verificar os papéis

No console do Google Cloud, abra a página IAM.
Acessar IAM
Selecionar um projeto.
Na coluna Principal, encontre a linha que contém seu endereço de e-mail.

Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.
Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

Conceder os papéis

No console do Google Cloud, abra a página IAM.
Acesse o IAM
Selecionar um projeto.
Clique em CONCEDER ACESSO.
No campo Novos participantes, digite seu endereço de e-mail.
Na lista Selecionar um papel, escolha um.
Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
Clique em Save.

Instale a CLI do Google Cloud.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

Observação: se você instalou a CLI gcloud anteriormente, verifique se tem a versão mais recente executando

gcloud components
      update

As bibliotecas de cliente podem usar o Application Default Credentials para autenticar facilmente com as APIs do Google e enviar solicitações para essas APIs. Com esse serviço, é possível testar seu aplicativo localmente e implantá-lo sem alterar o código subjacente. Par amais informações, consulte <atrack-type="commonincludes" l10n-attrs-original-order="href,track-type,track-name" l10n-encrypted-href="WDE63JFVMK0YqIWBqG8nCycgwkRfOeEqRvzYs1N+2tJUEhcZvE5VtDH5LoWw0lj/" track-name="referenceLink"> Faça a autenticação para usar as bibliotecas do cliente.</atrack-type="commonincludes">

Crie as credenciais de autenticação para sua Conta do Google:
```
gcloud auth application-default login
```

Verifique também se você instalou a biblioteca de cliente.

Ativar o acesso às chaves do Cloud Key Management Service

O Speech-to-Text usa uma conta de serviço para acessar as chaves do Cloud KMS. Por padrão, a conta de serviço não tem acesso às chaves do Cloud KMS.

O endereço de e-mail da conta de serviço é:

service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

Para criptografar recursos do Speech-to-Text usando chaves do Cloud KMS, atribua à conta de serviço o papel de roles/cloudkms.cryptoKeyEncrypterDecrypter:

gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Mais informações sobre a política de IAM de projetos estão disponíveis em Gerenciar acesso a projetos, pastas e organizações.

Mais informações sobre como gerenciar o acesso ao Cloud Storage estão disponíveis em Criar e gerenciar listas de controle de acesso na documentação do Cloud Storage.

Especificar uma chave de criptografia

Veja um exemplo de como fornecer uma chave de criptografia para o Speech-to-Text usando o recurso Config:

Python

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

def enable_cmek(
    project_id: str,
    kms_key_name: str,
) -> cloud_speech.RecognizeResponse:
    """Enable CMEK in a project and region."""
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{project_id}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")

    return response

Quando uma chave de criptografia é especificada no recurso [Config] do projeto, todos os novos recursos criados no local correspondente são criptografados usando essa chave. Consulte a página de criptografia para mais informações sobre o que é criptografado e quando.

Os recursos criptografados têm os campos kms_key_name e kms_key_version_name preenchidos nas respostas da API Speech-to-Text.

Remover criptografia

Para impedir que recursos futuros sejam criptografados com uma chave de criptografia, use o código acima e forneça a string vazia ("") como a chave na solicitação. Isso garante que novos recursos não sejam criptografados. Esse comando não descriptografa os recursos atuais.

Rotação e exclusão de chaves

Na rotação de chaves, os recursos criptografados com uma versão anterior da chave do Cloud KMS permanecem criptografados com essa versão. Todos os recursos criados após a rotação da chave são criptografados com a nova versão padrão da chave. Todos os recursos atualizados (usando métodos Update*) após a rotação de chaves são criptografados novamente com a nova versão padrão da chave.

Na exclusão de chaves, o Speech-to-Text não pode descriptografar os dados nem criar recursos ou acessar recursos criptografados com a chave excluída. Da mesma forma, quando você revoga a permissão de uma chave do Speech-to-Text, ele não pode descriptografar os dados nem criar recursos ou acessar recursos criptografados com a chave de revogação de permissão do Speech-to-Text.

Criptografar dados de novo

Para criptografar novamente os recursos, chame o método Update* correspondente para cada recurso após atualizar a especificação da chave no recurso Config.

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

Opcional: revogue as credenciais de autenticação que você criou e exclua o arquivo de credenciais local:
```
gcloud auth application-default revoke
```

Opcional: revogar credenciais da CLI gcloud.
```
gcloud auth revoke
```

Console

Cuidado: excluir um projeto tem os seguintes efeitos:

Tudo no projeto é excluído. Se você tiver usado um projeto existente para as tarefas neste documento, a exclusão dele incluirá a exclusão de quaisquer outros trabalhos feitos no projeto.
Os IDs do projeto personalizados são perdidos. Ao criar o projeto, você pode ter criado um código do projeto personalizado para ser usado no futuro. Para preservar os URLs que usam o ID do projeto, como um URL appspot.com, exclua recursos específicos do projeto, em vez de excluir o projeto inteiro.

Se você planeja passar por várias arquiteturas, tutoriais ou guias de início rápido, a reutilização de projetos pode evitar que você exceda os limites da cota do projeto.

No Console do Google Cloud, acesse a página Gerenciar recursos.

Acessar "Gerenciar recursos"

Na lista de projetos, selecione o projeto que você quer excluir e clique em Excluir .

Na caixa de diálogo, digite o ID do projeto e clique em Encerrar para excluí-lo.

gcloud

Cuidado: excluir um projeto tem os seguintes efeitos:

Tudo no projeto é excluído. Se você tiver usado um projeto existente para as tarefas neste documento, a exclusão dele incluirá a exclusão de quaisquer outros trabalhos feitos no projeto.
Os IDs do projeto personalizados são perdidos. Ao criar o projeto, você pode ter criado um código do projeto personalizado para ser usado no futuro. Para preservar os URLs que usam o ID do projeto, como um URL appspot.com, exclua recursos específicos do projeto, em vez de excluir o projeto inteiro.

Se você planeja passar por várias arquiteturas, tutoriais ou guias de início rápido, a reutilização de projetos pode evitar que você exceda os limites da cota do projeto.

Exclua um projeto do Google Cloud:

gcloud projects delete PROJECT_ID

A seguir

Saiba mais sobre o que é criptografado ao especificar chaves de criptografia no Speech-to-Text.
Saiba como transcrever streaming de áudio.
Saiba como transcrever arquivos de áudio longos.
Pratique como transcrever arquivos de áudio curtos.
Para dicas sobre como conseguir o melhor desempenho e precisão, entre outras, consulte a documentação sobre práticas recomendadas.