Vertex AI RAG Engine で CMEK を使用する

このページでは、CMEK を有効にして Vertex AI RAG Engine で使用する方法について説明します。

概要

Vertex AI RAG Engine は、保存データの暗号化方法を管理するための堅牢なオプションを提供します。デフォルトでは、RagManagedDb 内のすべてのユーザーデータは Google-owned and Google-managed encryption keyを使用して暗号化されます。これはデフォルトの設定です。このデフォルト設定により、特定の構成を必要とせずにデータの安全性を確認できます。

暗号化に使用される鍵をより詳細に制御する必要がある場合は、Vertex AI RAG Engine で顧客管理の暗号鍵（CMEK）がサポートされています。CMEK を使用すると、Cloud Key Management Service（KMS）内で管理されている暗号鍵を使用して、RAG コーパスデータを保護できます。

RAG コーパスで暗号鍵を設定する

暗号鍵を設定するには、KMS 鍵を設定して権限を付与するの手順に沿って操作します。

Vertex AI RAG Engine の CMEK の制限事項

Vertex AI RAG Engine は、次の制限付きで CMEK をサポートしています。

• RAG コーパスを作成する前に、RAG サービス アカウントを手動で有効にする必要があります。詳細な手順については、Vertex AI RAG Engine サービス エージェントに権限を付与するをご覧ください。

• CMEK は、タイプ RagManagedDb の RagVectorDbConfig でのみサポートされます。

• encryption_spec フィールドは KMS 鍵を定義します。このフィールドは不変であるため、RAG コーパスの作成後に CMEK を有効または無効にすることはできません。

• プロジェクトとリージョンごとに、RAG コーパスの作成に使用できる一意の KMS 鍵は 50 個までです。

次のステップ

• 暗号化の管理については、暗号化を管理するをご覧ください。
• Vertex AI RAG Engine の詳細については、Vertex AI RAG Engine の概要をご覧ください。
• 保存データについて詳しくは、データ所在地をご覧ください。
• RAG API の詳細を確認する。RAG Engine API をご覧ください。