Secara default, NotebookLM Enterprise mengenkripsi konten pelanggan dalam penyimpanan. NotebookLM Enterprise menangani enkripsi untuk Anda tanpa tindakan tambahan apa pun dari pihak Anda. Opsi ini disebut Enkripsi default Google.
Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk NotebookLM Enterprise. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan , lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.
Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource NotebookLM Enterprise Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).
Batasan Cloud KMS di NotebookLM Enterprise
Batasan berikut berlaku untuk kunci CMEK (Cloud KMS) di NotebookLM Enterprise:
Kunci tidak dapat diubah atau dirotasi.
Batasan kebijakan organisasi tidak dapat diterapkan ke NotebookLM Enterprise.
Perlindungan CMEK dengan NotebookLM Enterprise tidak terintegrasi dengan penelusuran Cloud Asset Inventory.
Anda tidak dapat mengubah setelan enkripsi notebook. Notebook yang tidak dilindungi tidak dapat dilindungi nanti.
Setelah didaftarkan, kunci tidak dapat dibatalkan pendaftarannya atau dihapus dari penyimpanan data.
- Anda harus menggunakan penyimpanan data dan aplikasi multi-region AS atau Uni Eropa (bukan global). Untuk mengetahui informasi selengkapnya tentang multi-region dan residensi data, termasuk batas yang terkait dengan penggunaan lokasi non-global, lihat lokasi.
Jika Anda perlu mendaftarkan lebih dari satu kunci untuk project, hubungi tim akun Google Anda untuk meminta peningkatan kuota untuk konfigurasi CMEK, dengan memberikan alasan mengapa Anda memerlukan lebih dari satu kunci.
Penggunaan pengelola kunci eksternal (EKM) dengan CMEK tersedia dalam GA dengan daftar yang diizinkan. Untuk menggunakan EKM dengan CMEK, hubungi tim akun Google Anda.
Batasan berikut berlaku untuk EKM atau HSM dengan CMEK:
Kuota EKM dan HSM Anda untuk panggilan enkripsi dan dekripsi harus memiliki headroom minimal 1.000 QPM. Untuk mengetahui cara memeriksa kuota, lihat Memeriksa kuota Cloud KMS.
Jika menggunakan EKM, kunci harus dapat dijangkau selama lebih dari 90% dari jangka waktu yang lebih lama dari 30 detik. Jika kunci tidak dapat dijangkau selama jangka waktu ini, hal tersebut dapat berdampak negatif pada pengindeksan dan kesegaran penelusuran.
Jika ada masalah penagihan, masalah di luar kuota yang persisten, atau masalah tidak dapat dijangkau yang persisten selama lebih dari 12 jam, layanan akan otomatis menonaktifkan CmekConfig yang terkait dengan kunci EKM atau HSM.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
Buat kunci Cloud KMS simetris multi-region. Lihat Membuat key ring dan Membuat kunci di dokumentasi Cloud KMS.
Tetapkan periode rotasi ke Tidak pernah (Rotasi manual).
Untuk Lokasi, pilih Multi-region, lalu pilih europe atau us dari menu drop-down.
Peran IAM CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci telah diberikan kepada agen layanan Discovery Engine. Akun agen layanan memiliki alamat email yang menggunakan format berikut: format:service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com. Untuk mengetahui petunjuk umum tentang cara menambahkan peran ke agen layanan, lihat Memberikan atau mencabut satu peran.Peran IAM CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci telah diberikan kepada agen layanan Cloud Storage. Jika peran ini tidak diberikan, impor data untuk penyimpanan data yang dilindungi CMEK akan gagal karena Discovery Engine tidak dapat membuat bucket dan direktori sementara yang dilindungi CMEK yang diperlukan untuk impor.Jangan membuat penyimpanan data atau aplikasi apa pun yang ingin Anda kelola dengan kunci Anda hingga setelah Anda menyelesaikan pendaftaran kunci petunjuk di halaman ini.
Mendaftarkan kunci Cloud KMS
Untuk mengenkripsi data menggunakan CMEK, Anda harus mendaftarkan kunci multi-region. Secara opsional, jika data Anda memerlukan kunci satu region, misalnya, saat menggunakan konektor pihak ketiga, Anda harus mendaftarkan kunci satu region.
Sebelum memulai
Pastikan hal berikut:
- Region belum dilindungi oleh kunci. Prosedur di bawah akan gagal jika kunci sudah terdaftar untuk region melalui perintah REST. Untuk menentukan apakah ada kunci aktif di NotebookLM Enterprise untuk suatu lokasi, lihat Melihat kunci Cloud KMS.
- Anda memiliki peran NotebookLM Enterprise Admin
(
roles/discoveryengine.agentspaceAdmin).
Prosedur
REST
Untuk mendaftarkan kunci Anda sendiri untuk NotebookLM Enterprise, ikuti langkah-langkah berikut:
Panggil
UpdateCmekConfigmetode dengan kunci yang ingin Anda daftarkan.curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"}' \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"Ganti kode berikut:
KMS_PROJECT_ID: ID project Anda yang berisi kunci. Nomor project tidak akan berfungsi.KMS_LOCATION: multi-region kunci Anda:usataueurope.KEY_RING: nama key ring yang menyimpan kunci.KEY_NAME: nama kunci.PROJECT_ID: ID project Anda yang berisi penyimpanan data.LOCATION: multi-region penyimpanan data Anda:usataueu.CMEK_CONFIG_ID: tetapkan ID unik untuk resource CmekConfig, misalnya,default_cmek_config.SET_DEFAULT: tetapkan ketrueuntuk menggunakan kunci sebagai kunci default untuk penyimpanan data berikutnya yang dibuat di multi-region.
Opsional: Catat nilai
nameyang ditampilkan oleh metode dan ikuti petunjuk di Mendapatkan detail tentang operasi yang berjalan lama untuk melihat kapan operasi selesai.Biasanya diperlukan waktu beberapa menit untuk mendaftarkan kunci.
Konsol
Prosedur
Untuk mendaftarkan kunci Anda sendiri untuk NotebookLM Enterprise, ikuti langkah-langkah berikut:
Di Google Cloud konsol, buka halaman Gemini Enterprise.
Klik Setelan, lalu pilih tab CMEK.
Klik Tambahkan kunci untuk lokasi us atau eu.
Klik tambahkan kunci. Klik drop-down Pilih kunci Cloud KMS, lalu pilih kunci.
Jika kunci berada di project lain, klik Ganti project, klik nama project Anda, ketik nama kunci yang Anda buat, lalu pilih kunci.
Jika Anda mengetahui nama resource kunci, klik Masukkan secara manual, tempel nama resource kunci, lalu klik Simpan.
Klik Oke > Simpan.
Tindakan ini akan mendaftarkan kunci Anda, sehingga membuat CmekResource bernama default_cmek_config.
Diperlukan waktu beberapa jam agar data yang di-ingest muncul di hasil penelusuran.
Membatalkan pendaftaran kunci Cloud KMS
Untuk membatalkan pendaftaran kunci dari NotebookLM Enterprise, ikuti langkah-langkah berikut:
Panggil metode
DeleteCmekConfigdengan nama resource CmekConfig yang ingin Anda batalkan pendaftarannya.curl -X DELETE \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"Ganti kode berikut:
LOCATION: multi-region penyimpanan data Anda:usataueu.PROJECT_ID: ID project Anda yang berisi penyimpanan data.CMEK_CONFIG_ID: ID resource CmekConfig. Jika Anda mendaftarkan kunci menggunakan konsol, ID-nya adalahdefault_cmek_config.
Contoh panggilan dan respons curl akan terlihat seperti ini:
$ curl -X DELETE -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config" { "name": "projects/my-ai-app-project-123/locations/us/operations/delete-cmek-config-56789", "metadata": { "@type": "type.googleapis.com/google.cloud.discoveryengine.v1.DeleteCmekConfigMetadata" } }Opsional: Catat nilai
nameyang ditampilkan oleh metode dan ikuti petunjuk di Mendapatkan detail tentang operasi yang berjalan lama untuk melihat kapan operasi selesai.Biasanya diperlukan waktu beberapa menit untuk menghapus kunci.
Memastikan NotebookLM Enterprise dilindungi oleh kunci
Jika ingin mengonfirmasi bahwa NotebookLM Enterprise dilindungi oleh kunci Anda, ikuti langkah-langkah berikut:
Panggil metode
ListCmekConfigs:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs"Ganti kode berikut:
LOCATION: multi-region penyimpanan data Anda:usataueu.PROJECT_ID: ID project Anda yang berisi data. Google Cloud
Tinjau output dari perintah. CmekConfig siap digunakan jika semua hal berikut ada dalam output:
"state": "ACTIVE""isDefault": true"notebooklmState": NOTEBOOK_LM_READY
Jika kunci Cloud KMS dinonaktifkan atau dicabut
Jika kunci dinonaktifkan atau izin untuk kunci dicabut, penyimpanan data akan berhenti meng-ingest data dan berhenti menayangkan data dalam waktu 15 menit. Namun, mengaktifkan kembali kunci atau memulihkan izin memerlukan waktu yang lama. Diperlukan waktu hingga 24 jam sebelum penyimpanan data dapat melanjutkan penayangan data.
Oleh karena itu, jangan nonaktifkan kunci kecuali jika diperlukan. Menonaktifkan dan mengaktifkan kunci pada penyimpanan data adalah operasi yang memakan waktu. Misalnya, jika kunci berulang kali dialihkan antara dinonaktifkan dan diaktifkan, penyimpanan data akan memerlukan waktu yang lama untuk mencapai status terlindungi. Menonaktifkan kunci dan mengaktifkannya kembali segera setelahnya dapat menyebabkan waktu nonaktif selama berhari-hari karena kunci pertama-tama dinonaktifkan dari penyimpanan data dan kemudian diaktifkan kembali.