Conformità CMEK nell'API Vision

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono at-rest utilizzando chiavi di crittografia gestite da Google.

L'API Vision offre due richieste di annotazione batch asincrone: AsyncBatchAnnotateImages e AsyncBatchAnnotateFiles. Questi metodi archiviano internamente i dati su disco durante l'elaborazione (consulta le Domande frequenti sull'utilizzo dei dati per ulteriori informazioni). Il resto di questo argomento descrive la conformità CMEK nell'API Vision e come questi dati temporanei sono protetti quando inattivi. Per ulteriori informazioni su CMEK in generale, consulta la documentazione di Cloud Key Management Service su CMEK.

Come funziona la conformità CMEK nell'API Vision

Nell'API Vision, i metodi di richiesta di annotazione batch sono sincroni o asincroni.

Prima che l'API Vision scriva i dati su disco, questi vengono criptati automaticamente mediante una chiave temporanea chiamata chiave di crittografia dei dati (DEK). Per ogni richiesta di annotazione asincrona viene generata automaticamente una nuova DEK.

La DEK stessa è criptata da un'altra chiave chiamata chiave di crittografia della chiave (KEK). La KEK non è accessibile ai tecnici o al personale di assistenza di Google.

Quando la chiave temporanea (DEK) utilizzata per criptare i dati temporanei viene eliminata, non è più possibile accedere a questi dati, anche se non sono ancora stati eliminati.

L'API Vision scrive i risultati di una richiesta di annotazione batch nel bucket Cloud Storage, che supporta anche CMEK. Ti consigliamo di configurare una chiave di crittografia predefinita nei bucket di input e di output.

Per ulteriori informazioni sull'utilizzo dei dati nell'API Vision, consulta le Domande frequenti sull'utilizzo dei dati.

Che cosa succede dopo?