Conformità CMEK nell'API Vision

Per impostazione predefinita, Google Cloud cripta automaticamente i dati in stato at-rest utilizzando chiavi di crittografia gestite da Google.

L'API Vision ha due richieste di annotazione batch asincrone: AsyncBatchAnnotateImages e AsyncBatchAnnotateFiles. Questi metodi memorizzano i dati su disco internamente durante l'elaborazione (per ulteriori informazioni, consulta le Domande frequenti sull'utilizzo dei dati). Il resto di questo argomento descrive la conformità CMEK nell'API Vision e come questi dati temporanei vengono protetti a riposo. Per ulteriori informazioni su CMEK in generale, consulta la documentazione di Cloud Key Management Service relativa a CMEK.

Come funziona la conformità CMEK nell'API Vision

Nell'API Vision, i metodi di richiesta di annotazione batch sono sincroni o asincroni.

Prima che l'API Vision scriva i dati su disco, questi vengono criptati automaticamente utilizzando una chiave temporanea chiamata chiave di crittografia dei dati (DEK). Per ogni richiesta di annotazione asincrona viene generato automaticamente un nuovo DEK.

La DEK stessa è criptata da un'altra chiave chiamata chiave di crittografia della chiave (KEK). La KEK non è accessibile agli ingegneri o al personale di assistenza di Google.

Quando la chiave temporanea (DEK) utilizzata per criptare i dati temporanei viene eliminata, non è più possibile accedere ai dati temporanei, anche se non sono stati ancora eliminati.

L'API Vision scrive i risultati di una richiesta di annotazione batch nel bucket Cloud Storage, che supporta anche CMEK. Ti consigliamo di impostare una chiave di crittografia predefinita nei bucket di input e di output.

Per ulteriori informazioni sull'utilizzo dei dati nell'API Vision, consulta le Domande frequenti sull'utilizzo dei dati.

Passaggi successivi