搭配 Vertex AI RAG 引擎使用 CMEK

本頁面說明如何啟用 CMEK，以便搭配 Vertex AI RAG 引擎使用。

總覽

Vertex AI RAG 引擎提供多種選項，可管理靜態資料的加密方式。根據預設，RagManagedDb 中的所有使用者資料都會使用 Google-owned and Google-managed encryption key加密，這是預設設定。這項預設設定可協助您確認資料安全無虞，不必進行任何特定設定。

如果您需要進一步控管用於加密的金鑰，Vertex AI RAG 引擎支援客戶管理的加密金鑰 (CMEK)。使用 CMEK 時，您可以透過 Cloud Key Management Service (KMS) 管理加密金鑰，保護 RAG 語料庫資料。

使用 RAG 語料庫設定加密金鑰

如要設定加密金鑰，請按照「設定 KMS 金鑰並授予權限」一文中的步驟操作。

Vertex AI RAG 引擎的 CMEK 限制

Vertex AI RAG 引擎支援 CMEK，但有下列限制：

• 建立 RAG 語料庫前，請務必手動啟用 RAG 服務帳戶。如需詳細操作說明，請參閱「授予 Vertex AI RAG 引擎服務代理程式權限」。

• CMEK 僅支援 RagVectorDbConfig 類型為 RagManagedDb 的資源。

• encryption_spec 欄位會定義 KMS 金鑰，且該欄位不可變動，也就是說，RAG 語料庫建立後，就無法啟用或停用 CMEK。

• 每個專案每個區域最多只能使用 50 個不重複的 KMS 金鑰建立 RAG 語料庫。

後續步驟

• 如要瞭解如何管理加密，請參閱管理加密。
• 如要進一步瞭解 Vertex AI RAG 引擎，請參閱 Vertex AI RAG 引擎總覽。
• 如要進一步瞭解靜態資料，請參閱「資料存放位置」。
• 如要進一步瞭解 RAG API，請參閱 RAG Engine API。