Usa la CMEK con el motor de RAG de Vertex AI

En esta página, se muestra cómo habilitar la CMEK para que funcione con el motor de RAG de Vertex AI.

Descripción general

El motor de RAG de Vertex AI proporciona opciones sólidas para administrar cómo se encriptan tus datos en reposo. De forma predeterminada, todos los datos del usuario en RagManagedDb se encriptan con un Google-owned and Google-managed encryption key, que es el parámetro de configuración predeterminado. Este parámetro de configuración predeterminado te ayuda a verificar que tus datos estén protegidos sin necesidad de realizar ninguna configuración específica.

Si necesitas más control sobre las claves que se usan para la encriptación, el motor de RAG de Vertex AI admite claves de encriptación administradas por el cliente (CMEK). Con las CMEK, puedes usar tus claves criptográficas, administradas en Cloud Key Management Service (KMS), para proteger los datos de tu corpus de RAG.

Configura la clave de encriptación con tu corpus RAG

Para configurar una clave de encriptación, sigue los pasos que se indican en Configura tu clave de KMS y otorga permisos.

Limitaciones de CMEK para el motor de RAG de Vertex AI

El motor de RAG de Vertex AI admite CMEK con las siguientes limitaciones:

  • Antes de crear un corpus de RAG, debes habilitar manualmente la cuenta de servicio de RAG. Para obtener instrucciones detalladas, consulta Cómo otorgar permisos al agente de servicio de Vertex AI RAG Engine.

  • CMEK solo se admite en RagVectorDbConfig del tipo RagManagedDb.

  • El campo encryption_spec define la clave de KMS y es inmutable, lo que significa que la CMEK no se puede habilitar ni inhabilitar después de que se crea el corpus de la RAG.

  • No se pueden usar más de 50 claves de KMS únicas para crear corpus de RAG por proyecto y región.

¿Qué sigue?