Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page vous explique comment activer CMEK pour qu'il fonctionne avec le moteur RAG Vertex AI.
Présentation
Le moteur RAG Vertex AI offre des options robustes pour gérer le chiffrement de vos données au repos. Par défaut, toutes les données utilisateur de RagManagedDb sont chiffrées à l'aide de Google-owned and Google-managed encryption key, qui est le paramètre par défaut. Ce paramètre par défaut vous permet de vérifier que vos données sont sécurisées sans nécessiter de configuration spécifique.
Si vous avez besoin de plus de contrôle sur les clés utilisées pour le chiffrement, le moteur RAG Vertex AI est compatible avec les clés de chiffrement gérées par le client (CMEK). Avec CMEK, vous pouvez utiliser vos clés cryptographiques, gérées dans Cloud Key Management Service (KMS), pour protéger les données de votre corpus RAG.
Configurer la clé de chiffrement avec votre corpus RAG
Le chiffrement CMEK n'est compatible qu'avec les RagVectorDbConfig de type RagManagedDb.
Le champ encryption_spec définit la clé KMS. Il est immuable, ce qui signifie que la CMEK ne peut pas être activée ni désactivée une fois le corpus RAG créé.
Vous ne pouvez pas utiliser plus de 50 clés KMS uniques pour créer des corpus RAG par projet et par région.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[],[],null,["# Use CMEK with Vertex AI RAG Engine\n\n| The [VPC-SC security controls](/vertex-ai/generative-ai/docs/security-controls) and\n| CMEK are supported by Vertex AI RAG Engine. Data residency and AXT security controls aren't\n| supported.\n\nThis page shows you how to enable CMEK to work with\nVertex AI RAG Engine.\n\nOverview\n--------\n\nVertex AI RAG Engine provides robust options for managing how\nyour data at rest is encrypted. By default, all user data within `RagManagedDb`\nis encrypted using a Google-owned and Google-managed encryption key, which is the default\nsetting. This default setting helps you to verify that your data is secure\nwithout requiring any specific configuration.\n\nIf you require more control over your keys used for encryption,\nVertex AI RAG Engine supports [Customer-managed encryption keys\n(CMEK)](/kms/docs/cmek). With CMEK, you can use your\ncryptographic keys, managed within Cloud Key Management Service (KMS), to protect your RAG\ncorpus data.\n\nSet up the encryption key with your RAG corpus\n----------------------------------------------\n\nTo set up an encryption key, follow the steps at [Set up your KMS key and grant permissions](/vertex-ai/generative-ai/docs/rag-engine/use-ragmanageddb-with-rag#set_up_your_kms_key_and_grant_permissions).\n\nCMEK limitations for Vertex AI RAG Engine\n-----------------------------------------\n\nVertex AI RAG Engine supports CMEK with the following limitations:\n\n- Before creating a RAG corpus, you must manually enable the RAG Service account. For detailed instructions, see [Grant Permissions to the Vertex AI RAG Engine service agent](/vertex-ai/generative-ai/docs/rag-engine/use-ragmanageddb-with-rag#grant_permissions_to_the_vertex_ai_rag_engine_service_agent).\n\n- CMEK is only supported on `RagVectorDbConfig` of type `RagManagedDb`.\n\n- The `encryption_spec` field defines the KMS key, and the field is immutable,\n which means that CMEK can't be enabled or disabled after the RAG corpus is\n created.\n\n- No more than 50 unique KMS keys can be used to create RAG corpora per project\n per region.\n\nWhat's next\n-----------\n\n- For information about managing your encryption, see [Manage your\n encryption](/vertex-ai/generative-ai/docs/rag-engine/use-ragmanageddb-with-rag#manage_your_encryption).\n- For more information on Vertex AI RAG Engine, see [Vertex AI RAG Engine\n overview](/vertex-ai/generative-ai/docs/rag-engine/rag-overview).\n- To learn more about data at rest, see [Data\n residency](/vertex-ai/generative-ai/docs/learn/data-residency).\n- To learn more about the RAG API, see [RAG Engine\n API](/vertex-ai/generative-ai/docs/model-reference/rag-api)."]]
