Usar CMEK con el motor de RAG de Vertex AI

En esta página se explica cómo habilitar CMEK para que funcione con Vertex AI RAG Engine.

Información general

Vertex AI RAG Engine ofrece opciones sólidas para gestionar cómo se cifran tus datos en reposo. De forma predeterminada, todos los datos de usuario de RagManagedDb se cifran con Google-owned and Google-managed encryption key, que es el ajuste predeterminado. Este ajuste predeterminado le ayuda a verificar que sus datos están protegidos sin necesidad de realizar ninguna configuración específica.

Si necesitas más control sobre las claves que usas para el encriptado, el motor RAG de Vertex AI admite claves de encriptado gestionadas por el cliente (CMEK). Con las CMEK, puedes usar tus claves criptográficas, gestionadas en Cloud Key Management Service (KMS), para proteger tus datos del corpus de RAG.

Configurar la clave de cifrado con tu corpus de RAG

Para configurar una clave de cifrado, sigue los pasos que se indican en el artículo Configurar la clave de KMS y conceder permisos.

Limitaciones de CMEK para el motor de RAG de Vertex AI

El motor de RAG de Vertex AI admite CMEK con las siguientes limitaciones:

  • Antes de crear un corpus de RAG, debes habilitar manualmente la cuenta de servicio de RAG. Para obtener instrucciones detalladas, consulta Conceder permisos al agente de servicio del motor RAG de Vertex AI.

  • La CMEK solo se admite en RagVectorDbConfig de tipo RagManagedDb.

  • El campo encryption_spec define la clave de KMS y es inmutable, lo que significa que no se puede habilitar ni inhabilitar CMEK después de crear el corpus de RAG.

  • No se pueden usar más de 50 claves de KMS únicas para crear corpora de RAG por proyecto y por región.

Siguientes pasos