根據預設, Google Cloud 系統會使用 Google 代管的加密金鑰,在資料處於靜態狀態時自動加密。
Vision API 有兩項批次非同步註解要求:AsyncBatchAnnotateImages 和 AsyncBatchAnnotateFiles。這些方法會在處理期間,將資料儲存在內部磁碟上 (詳情請參閱資料使用常見問題)。本主題的其餘部分將說明 Vision API 中的 CMEK 法規遵循情況,以及如何保護這類暫時性靜態資料。如要進一步瞭解 CMEK,請參閱 Cloud Key Management Service 說明文件。
Vision API 中的 CMEK 法規遵循情況
在 Vision API 中,批次註解要求方法可以是同步或非同步。
同步 Vision API 方法不會將資料保留在磁碟上,因此自動符合 CMEK 規定,不需進行任何設定:
非同步 Vision API 方法會暫時將資料儲存到磁碟 (請參閱資料用量常見問題)。這些方法會自動遵守 CMEK 規定,不需進行任何設定:
Vision API 會先使用暫時性金鑰 (稱為資料加密金鑰 (DEK)) 自動加密資料,再將資料寫入磁碟。系統會為每個非同步註解要求自動產生新的 DEK。
DEK 本身會使用另一個稱為「金鑰加密金鑰」(KEK) 的金鑰進行加密。Google 工程師或支援人員無法存取 KEK。
當用於加密暫時資料的暫時金鑰 (DEK) 遭到刪除,即使資料尚未刪除,也無法再存取暫時資料。
Vision API 會將批次註解要求的結果寫入 Cloud Storage 值區,該值區也支援 CMEK。建議您在輸入和輸出 bucket 中設定預設加密金鑰。
如要進一步瞭解 Vision API 的資料使用方式,請參閱資料使用常見問題。