Vision API における CMEK コンプライアンス

Google Cloud では、デフォルトで、Google が管理する暗号鍵を使用して、自動的に保存されているデータを暗号化します。

Vision API には、AsyncBatchAnnotateImagesAsyncBatchAnnotateFiles という 2 つのバッチ非同期アノテーション リクエストがあります。これらのメソッドでは、データは処理中に内部的にディスクに保存されます(詳細については、データ使用に関するよくある質問をご覧ください)。この後は、Vision API での CMEK コンプライアンスと、この一時データの保存中の保護方法について説明します。CMEK の詳細については、CMEK に関する Cloud Key Management Service のドキュメントをご覧ください。

Vision API での CMEK コンプライアンスの仕組み

Vision API では、バッチ アノテーション リクエストのメソッドは、同期または非同期のどちらかです。

データは、Vision API でディスクに書き込まれる前に、データ暗号鍵(DEK)と呼ばれるエフェメラル キーで自動的に暗号化されます。新しい DEK は、非同期アノテーション リクエストごとに自動的に生成されます。

DEK 自体は、鍵暗号鍵(KEK)と呼ばれる別の鍵で暗号化されています。 KEK には、Google のエンジニアやサポート スタッフはアクセスできません。

一時データの暗号化に使用されたエフェメラル キー(DEK)が破棄されると、データが削除されていない場合でも、一時データにアクセスできなくなります。

Vision API は、バッチ アノテーション リクエストの結果を、Cloud Storage バケットに書き込みます。これも CMEK をサポートしています。入力バケットと出力バケットに、デフォルトの暗号鍵を設定することをおすすめします。

Vision API のデータ使用の詳細については、データ使用に関するよくある質問をご覧ください。

次のステップ