このページでは、CMEK を有効にして Vertex AI RAG Engine で使用する方法について説明します。
概要
Vertex AI RAG Engine は、保存データの暗号化方法を管理するための堅牢なオプションを提供します。デフォルトでは、RagManagedDb 内のすべてのユーザーデータは Google-owned and Google-managed encryption keyを使用して暗号化されます。これはデフォルトの設定です。このデフォルト設定により、特定の構成を必要とせずにデータの安全性を確認できます。
暗号化に使用される鍵をより詳細に制御する必要がある場合は、Vertex AI RAG Engine で顧客管理の暗号鍵(CMEK)がサポートされています。CMEK を使用すると、Cloud Key Management Service(KMS)内で管理されている暗号鍵を使用して、RAG コーパスデータを保護できます。
RAG コーパスで暗号鍵を設定する
暗号鍵を設定するには、KMS 鍵を設定して権限を付与するの手順に沿って操作します。
Vertex AI RAG Engine の CMEK の制限事項
Vertex AI RAG Engine は、次の制限付きで CMEK をサポートしています。
RAG コーパスを作成する前に、RAG サービス アカウントを手動で有効にする必要があります。詳細な手順については、Vertex AI RAG Engine サービス エージェントに権限を付与するをご覧ください。
CMEK は、タイプ
RagManagedDbのRagVectorDbConfigでのみサポートされます。encryption_specフィールドは KMS 鍵を定義します。このフィールドは不変であるため、RAG コーパスの作成後に CMEK を有効または無効にすることはできません。プロジェクトとリージョンごとに、RAG コーパスの作成に使用できる一意の KMS 鍵は 50 個までです。
次のステップ
- 暗号化の管理については、暗号化を管理するをご覧ください。
- Vertex AI RAG Engine の詳細については、Vertex AI RAG Engine の概要をご覧ください。
- 保存データについて詳しくは、データ所在地をご覧ください。
- RAG API の詳細を確認する。RAG Engine API をご覧ください。