Utilizza CMEK con Vertex AI RAG Engine

Questa pagina mostra come attivare CMEK per l'utilizzo con Vertex AI RAG Engine.

Panoramica

Vertex AI RAG Engine offre opzioni solide per gestire la modalità di crittografia dei dati at-rest. Per impostazione predefinita, tutti i dati utente all'interno di RagManagedDb sono criptati utilizzando un Google-owned and Google-managed encryption key, che è l'impostazione predefinita. Questa impostazione predefinita ti consente di verificare che i tuoi dati siano protetti senza richiedere alcuna configurazione specifica.

Se hai bisogno di un maggiore controllo sulle chiavi utilizzate per la crittografia, Vertex AI RAG Engine supporta le chiavi di crittografia gestite dal cliente (CMEK). Con CMEK, puoi utilizzare le tue chiavi crittografiche, gestite all'interno di Cloud Key Management Service (KMS), per proteggere i dati del corpus RAG.

Configurare la chiave di crittografia con il corpus RAG

Per configurare una chiave di crittografia, segui i passaggi descritti in Configurare la chiave KMS e concedere le autorizzazioni.

Limitazioni di CMEK per Vertex AI RAG Engine

Vertex AI RAG Engine supporta CMEK con le seguenti limitazioni:

  • Prima di creare un corpus RAG, devi attivare manualmente l'account di servizio RAG. Per istruzioni dettagliate, vedi Concedere le autorizzazioni al service agent del motore RAG di Vertex AI.

  • La chiave di crittografia gestita dal cliente è supportata solo su RagVectorDbConfig di tipo RagManagedDb.

  • Il campo encryption_spec definisce la chiave KMS ed è immutabile, il che significa che CMEK non può essere abilitata o disabilitata dopo la creazione del corpus RAG.

  • Per progetto e per regione, è possibile utilizzare non più di 50 chiavi KMS uniche per creare corpus RAG.

Passaggi successivi