En esta página se explica cómo habilitar CMEK para que funcione con Vertex AI RAG Engine.
Información general
Vertex AI RAG Engine ofrece opciones sólidas para gestionar cómo se cifran tus datos en reposo. De forma predeterminada, todos los datos de usuario de RagManagedDb
se cifran con Google-owned and Google-managed encryption key, que es el ajuste predeterminado. Este ajuste predeterminado le ayuda a verificar que sus datos están protegidos sin necesidad de realizar ninguna configuración específica.
Si necesitas más control sobre las claves que usas para el encriptado, el motor RAG de Vertex AI admite claves de encriptado gestionadas por el cliente (CMEK). Con las CMEK, puedes usar tus claves criptográficas, gestionadas en Cloud Key Management Service (KMS), para proteger tus datos del corpus de RAG.
Configurar la clave de cifrado con tu corpus de RAG
Para configurar una clave de cifrado, sigue los pasos que se indican en el artículo Configurar la clave de KMS y conceder permisos.
Limitaciones de CMEK para el motor de RAG de Vertex AI
El motor de RAG de Vertex AI admite CMEK con las siguientes limitaciones:
Antes de crear un corpus de RAG, debes habilitar manualmente la cuenta de servicio de RAG. Para obtener instrucciones detalladas, consulta Conceder permisos al agente de servicio del motor RAG de Vertex AI.
La CMEK solo se admite en
RagVectorDbConfig
de tipoRagManagedDb
.El campo
encryption_spec
define la clave de KMS y es inmutable, lo que significa que no se puede habilitar ni inhabilitar CMEK después de crear el corpus de RAG.No se pueden usar más de 50 claves de KMS únicas para crear corpora de RAG por proyecto y por región.
Siguientes pasos
- Para obtener información sobre cómo gestionar el cifrado, consulta Gestionar el cifrado.
- Para obtener más información sobre el motor de RAG de Vertex AI, consulta la descripción general del motor de RAG de Vertex AI.
- Para obtener más información sobre los datos inactivos, consulta Residencia de los datos.
- Para obtener más información sobre la API RAG, consulta API RAG Engine.