本頁面由 Cloud Translation API 翻譯而成。

Vision API 中的 CMEK 法規遵循情況

根據預設， Google Cloud 系統會使用 Google 代管的加密金鑰，在資料處於靜態狀態時自動加密。

Vision API 有兩項批次非同步註解要求：AsyncBatchAnnotateImages 和 AsyncBatchAnnotateFiles。這些方法會在處理期間，將資料儲存在內部磁碟上 (詳情請參閱資料使用常見問題)。本主題的其餘部分將說明 Vision API 中的 CMEK 法規遵循情況，以及如何保護這類暫時性靜態資料。如要進一步瞭解 CMEK，請參閱 Cloud Key Management Service 說明文件。

在 Vision API 中，批次註解要求方法可以是同步或非同步。

同步 Vision API 方法不會將資料保留在磁碟上，因此自動符合 CMEK 規定，不需進行任何設定：
- BatchAnnotateImages
- BatchAnnotateFiles
非同步 Vision API 方法會暫時將資料儲存到磁碟 (請參閱資料用量常見問題)。這些方法會自動遵守 CMEK 規定，不需進行任何設定：
- AsyncBatchAnnotateImages
- AsyncBatchAnnotateFiles

Vision API 會先使用暫時性金鑰 (稱為資料加密金鑰 (DEK)) 自動加密資料，再將資料寫入磁碟。系統會為每個非同步註解要求自動產生新的 DEK。

DEK 本身會使用另一個稱為「金鑰加密金鑰」(KEK) 的金鑰進行加密。Google 工程師或支援人員無法存取 KEK。

當用於加密暫時資料的暫時金鑰 (DEK) 遭到刪除，即使資料尚未刪除，也無法再存取暫時資料。

Vision API 會將批次註解要求的結果寫入 Cloud Storage 值區，該值區也支援 CMEK。建議您在輸入和輸出 bucket 中設定預設加密金鑰。

如要進一步瞭解 Vision API 的資料使用方式，請參閱資料使用常見問題。

後續步驟