Conformidade com CMEK na API Vision

Por padrão, o Google Cloud automaticamente criptografa os dados quando em repouso por meio de chaves de criptografia gerenciadas pelo Google.

A API Vision tem duas solicitações de anotação assíncronas em lote: AsyncBatchAnnotateImages e AsyncBatchAnnotateFiles. Esses métodos armazenam os dados no disco internamente durante o processamento. Consulte as Perguntas frequentes sobre o uso de dados para mais informações. O restante deste tópico descreve a conformidade com a CMEK na API Vision e como esses dados temporários são protegidos em repouso. Para mais informações sobre a CMEK em geral, consulte a documentação do Cloud Key Management Service sobre a CMEK.

Como funciona a conformidade com a CMEK na API Vision

Na API Vision, os métodos de solicitação de anotação em lote são síncronos ou assíncronos.

Antes da API Vision gravar dados no disco, os dados são criptografados automaticamente usando uma chave temporária chamada de chave de criptografia de dados (DEK, na sigla em inglês). Uma nova DEK é gerada automaticamente para cada solicitação de anotação assíncrona.

A própria DEK é criptografada por outra chave chamada KEK. A KEK não pode ser acessada pelos engenheiros ou pela equipe de suporte do Google.

Quando a chave temporária (DEK) usada para criptografar os dados temporários for destruída, os dados temporários não poderão mais ser acessados, mesmo que os dados ainda não tenham sido excluídos.

A API Vision grava os resultados de uma solicitação de anotação em lote no bucket do Cloud Storage, que também é compatível com o CMEK. É recomendável configurar uma chave de criptografia padrão nos buckets de entrada e saída.

Para mais informações sobre o uso de dados na API Vision, consulte as Perguntas frequentes sobre uso de dados.

A seguir