기본적으로 Google Cloud는 Google에서 관리하는 암호화 키를 사용하여 자동으로 저장 데이터를 암호화합니다.
Vision API에는 AsyncBatchAnnotateImages 및 AsyncBatchAnnotateFiles라는 두 개의 일괄 비동기 주석 요청이 있습니다. 이러한 메서드는 처리 중에 데이터를 디스크에 내부적으로 저장합니다(자세한 내용은 데이터 사용량 FAQ 참조). 이 주제의 나머지 부분에서는 Vision API의 CMEK 규정 준수와 이 임시 데이터가 어떻게 보호되는지 설명합니다. 일반적인 CMEK에 대한 자세한 내용은 CMEK에 대한 Cloud Key Management Service 문서를 참조하세요.
Vision API에서 CMEK 규정 준수의 작동 방식
Vision API에서 일괄 주석 요청 메서드는 동기식 또는 비동기식입니다.
동기식 Vision API 메서드는 데이터를 디스크에 유지하지 않으므로 자동으로 CMEK를 준수하며, 따라서 구성이 필요하지 않습니다.
비동기식 Vision API 메서드는 데이터를 디스크에 일시적으로 유지합니다(데이터 사용량 FAQ 참조). 이러한 메서드는 자동으로 CMEK를 준수하며 구성할 필요가 없습니다.
Vision API가 데이터를 디스크에 쓰기 전에 데이터 암호화 키(DEK)라는 임시 키를 사용하여 데이터가 자동으로 암호화됩니다. 각 비동기 주석 요청에 대해 새로운 DEK가 자동으로 생성됩니다.
DEK 자체는 키 암호화 키(KEK)라는 다른 키로 암호화됩니다. Google 엔지니어 또는 지원 담당자는 KEK에 액세스 할 수 없습니다.
임시 데이터를 암호화하는 데 사용된 임시 키(DEK)가 폐기되면 데이터가 아직 삭제되지 않았더라도 임시 데이터에 더 이상 액세스할 수 없습니다.
Vision API는 일괄 주석 요청 결과를 Cloud Storage 버킷에 작성하며, 이 때도 역시 CMEK를 지원합니다. 입력 및 출력 버킷에 기본 암호화 키를 설정하는 것이 좋습니다.
Vision API의 데이터 사용량에 대한 자세한 내용은 데이터 사용량 FAQ를 참조하세요.