Cumplimiento de CMEK en la API de Vision

De forma predeterminada, Google Cloud encripta los datos cuando están en reposo de manera automática mediante claves de encriptación administradas por Google.

La API de Vision tiene dos solicitudes de anotaciones asíncronas por lotes: AsyncBatchAnnotateImages y AsyncBatchAnnotateFiles. Estos métodos almacenan tus datos en el disco internamente durante el procesamiento (consulta las Preguntas frecuentes sobre el uso de datos para obtener más información). En el resto de este tema, se describe el cumplimiento de CMEK en la API de Vision y cómo se protegen estos datos temporales en reposo. Para obtener más información sobre CMEK en general, consulta la documentación de Cloud Key Management Service sobre CMEK.

Cómo funciona el cumplimiento de CMEK en la API de Vision

En la API de Vision, los métodos de solicitud de anotaciones por lotes son síncronos o asíncronos.

Antes de que la API de Vision escriba datos en el disco, los datos se encriptan automáticamente mediante una clave efímera llamada clave de encriptación de datos (DEK). Se genera automáticamente una nueva DEK para cada solicitud de anotación asíncrona.

La DEK está encriptada por otra clave llamada clave de encriptación de claves (KEK). Los ingenieros o el personal de asistencia de Google no pueden acceder a la KEK.

Cuando se destruye la clave efímera (DEK) que se usó para encriptar sus datos temporales, ya no se puede acceder a los datos temporales, incluso si aún no se borraron.

La API de Vision escribe los resultados de una solicitud de anotación por lotes en tu bucket de Cloud Storage, que también es compatible con CMEK. Se recomienda configurar una clave de encriptación predeterminada en tus depósitos de entrada y salida.

Para obtener más información sobre el uso de datos en la API de Vision, consulta las Preguntas frecuentes sobre el uso de datos.

Próximos pasos