默认情况下,Google Cloud 会使用 Google 管理的加密密钥自动加密静态数据。
Vision API 具有两个批量异步注释请求,即 AsyncBatchAnnotateImages 和 AsyncBatchAnnotateFiles。这些方法会在处理期间将数据内部存储在磁盘上(如需了解详情,请参阅数据使用常见问题解答)。本主题的其余部分介绍了 Vision API 中的 CMEK 合规性,以及如何为这些临时数据提供静态保护。如需从整体上详细了解 CMEK,请参阅关于 CMEK 的 Cloud Key Management Service 文档。
CMEK 合规性在 Vision API 中的工作原理
在 Vision API 中,批量注释请求方法可以是同步方法,也可以是异步方法。
同步 Vision API 方法不会将数据保存到磁盘,因此自动兼容 CMEK,且无需配置:
异步 Vision API 方法会将数据暂时保存到磁盘(请参阅数据使用常见问题解答)。以下方法自动兼容 CMEK,且无需配置:
在 Vision API 将数据写入磁盘之前,系统会使用临时密钥(称为数据加密密钥,简称 DEK)自动加密数据。系统会自动为每个异步注释请求生成一个新的 DEK。
DEK 本身由另一个密钥(称为密钥加密密钥,简称 KEK)加密。 Google 工程师或支持人员无法访问 KEK。
当用于加密临时数据的临时密钥 (DEK) 被销毁时,临时数据即使尚未被删除,也不再能够访问。
Vision API 会将批量注释请求的结果写入您的 Cloud Storage 存储分区,该存储分区也支持 CMEK。建议您在输入和输出存储分区上设置默认加密密钥。
如需详细了解 Vision API 中的数据使用情况,请参阅数据使用常见问题解答。