Vertex AI RAG Engine で CMEK を使用する

このページでは、CMEK を有効にして Vertex AI RAG Engine で使用する方法について説明します。

概要

Vertex AI RAG Engine は、保存データの暗号化方法を管理するための堅牢なオプションを提供します。デフォルトでは、RagManagedDb 内のすべてのユーザーデータは Google-owned and Google-managed encryption keyを使用して暗号化されます。これはデフォルトの設定です。このデフォルト設定により、特定の構成を必要とせずにデータの安全性を確認できます。

暗号化に使用される鍵をより詳細に制御する必要がある場合は、Vertex AI RAG Engine で顧客管理の暗号鍵(CMEK)がサポートされています。CMEK を使用すると、Cloud Key Management Service(KMS)内で管理されている暗号鍵を使用して、RAG コーパスデータを保護できます。

RAG コーパスで暗号鍵を設定する

暗号鍵を設定するには、KMS 鍵を設定して権限を付与するの手順に沿って操作します。

Vertex AI RAG Engine の CMEK の制限事項

Vertex AI RAG Engine は、次の制限付きで CMEK をサポートしています。

  • RAG コーパスを作成する前に、RAG サービス アカウントを手動で有効にする必要があります。詳細な手順については、Vertex AI RAG Engine サービス エージェントに権限を付与するをご覧ください。

  • CMEK は、タイプ RagManagedDbRagVectorDbConfig でのみサポートされます。

  • encryption_spec フィールドは KMS 鍵を定義します。このフィールドは不変であるため、RAG コーパスの作成後に CMEK を有効または無効にすることはできません。

  • プロジェクトとリージョンごとに、RAG コーパスの作成に使用できる一意の KMS 鍵は 50 個までです。

次のステップ