CMEK-Compliance in Vision API

Standardmäßig verschlüsselt Google Cloud Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln.

Die Vision API hat zwei asynchrone Anmerkungsanfragen im Batch: AsyncBatchAnnotateImages und AsyncBatchAnnotateFiles. Mit diesen Methoden werden Ihre Daten während der Verarbeitung intern auf dem Laufwerk gespeichert. Weitere Informationen finden Sie in den FAQ zur Datennutzung. Der Rest dieses Themas beschreibt die CMEK-Compliance in der Vision API und wie diese temporären Daten im Ruhezustand geschützt werden. Weitere Informationen zu CMEK im Allgemeinen finden Sie in der Dokumentation zum Cloud Key Management Service zu CMEK.

Funktionsweise der CMEK-Compliance in der Vision API

In der Vision API sind Methoden für Batch-Anmerkungsanfragen synchron oder asynchron.

Bevor die Vision API Daten auf das Laufwerk schreibt, werden die Daten automatisch mit einem sitzungsspezifischen Datenverschlüsselungsschlüssel (Data-Encryption Key, DEK) verschlüsselt. Für jede asynchrone Anmerkungsanfrage wird automatisch ein neuer DEK generiert.

Der DEK selbst wird durch einen anderen Schlüssel, den Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK), verschlüsselt. Der KEK ist für Google-Entwickler oder -Supportmitarbeiter nicht zugänglich.

Wenn der sitzungsspezifische Schlüssel (DEK), mit dem die temporären Daten verschlüsselt wurden, gelöscht wird, kann nicht mehr auf die temporären Daten zugegriffen werden – auch dann nicht, wenn die Daten noch nicht gelöscht wurden.

Die Vision API schreibt die Ergebnisse einer Batch-Anmerkungsanfrage in Ihren Cloud Storage-Bucket, der auch CMEK unterstützt. Es wird empfohlen, einen Standardverschlüsselungsschlüssel für Ihre Eingabe- und Ausgabe-Buckets einzurichten.

Weitere Informationen zur Datennutzung in der Vision API finden Sie in den FAQ zur Datennutzung.

Nächste Schritte