Secara default, NotebookLM Enterprise mengenkripsi konten pelanggan dalam penyimpanan. NotebookLM Enterprise menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.
Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk NotebookLM Enterprise. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Anda yang mengontrol dan mengelola kunci ini di Cloud KMS.
Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource NotebookLM Enterprise Anda mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).
Batasan Cloud KMS di NotebookLM Enterprise
Batasan berikut berlaku untuk kunci CMEK (Cloud KMS) di NotebookLM Enterprise:
Kunci tidak dapat diubah atau dirotasi.
Batasan kebijakan organisasi tidak dapat diterapkan ke NotebookLM Enterprise.
Perlindungan CMEK dengan NotebookLM Enterprise tidak terintegrasi dengan penelusuran Cloud Asset Inventory.
Anda tidak dapat mengubah setelan enkripsi notebook. Notebook yang tidak dilindungi tidak dapat dilindungi nanti.
- Setelah didaftarkan, kunci tidak dapat dibatalkan pendaftarannya atau dihapus dari penyimpanan data.
- Anda harus menggunakan penyimpanan dan aplikasi data multi-region AS atau Uni Eropa (bukan global). Untuk mengetahui informasi selengkapnya tentang multi-region dan residensi data, termasuk batas yang terkait dengan penggunaan lokasi non-global, lihat lokasi.
Jika Anda perlu mendaftarkan lebih dari satu kunci untuk project, hubungi tim akun Google Anda untuk meminta penambahan kuota untuk konfigurasi CMEK, dengan memberikan alasan mengapa Anda memerlukan lebih dari satu kunci.
Penggunaan external key manager (EKM) dengan CMEK tersedia dalam GA dengan daftar yang diizinkan. Untuk menggunakan EKM dengan CMEK, hubungi tim akun Google Anda.
Batasan berikut berlaku untuk EKM atau HSM dengan CMEK:
Kuota EKM dan HSM Anda untuk panggilan enkripsi dan dekripsi harus memiliki ruang kosong QPM minimal 1.000. Untuk mengetahui cara memeriksa kuota, lihat Memeriksa kuota Cloud KMS.
Jika menggunakan EKM, kunci harus dapat dijangkau selama lebih dari 90% dari setiap jangka waktu yang lebih dari 30 detik. Jika kunci tidak dapat dijangkau selama jangka waktu ini, hal tersebut dapat berdampak negatif pada pengindeksan dan keaktualan penelusuran.
Jika ada masalah penagihan, masalah kehabisan kuota yang terus-menerus, atau masalah tidak dapat dijangkau yang terus-menerus selama lebih dari 12 jam, layanan akan otomatis menonaktifkan CmekConfig yang terkait dengan kunci EKM atau HSM.
- Anda tidak dapat menggunakan Terraform untuk mengonfigurasi CMEK untuk NotebookLM Enterprise.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
Buat kunci simetris Cloud KMS multi-region. Lihat Membuat key ring dan Membuat kunci di dokumentasi Cloud KMS.
Tetapkan periode rotasi ke Tidak pernah (Rotasi manual).
Untuk Location, pilih Multi-region, lalu pilih europe atau us dari drop-down.
Peran IAM Pengenkripsi/Pendekripsi CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci telah diberikan kepada agen layanan Discovery Engine. Akun agen layanan memiliki alamat email yang menggunakan format berikut:service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com. Untuk mengetahui petunjuk umum tentang cara menambahkan peran ke agen layanan, lihat Memberikan atau mencabut satu peran.Peran IAM Pengenkripsi/Pendekripsi CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci telah diberikan kepada agen layanan Cloud Storage. Jika peran ini tidak diberikan, impor data untuk penyimpanan data yang dilindungi CMEK akan gagal karena Discovery Engine tidak dapat membuat bucket dan direktori sementara yang dilindungi CMEK yang diperlukan untuk mengimpor.Jangan membuat penyimpanan data atau aplikasi yang ingin Anda kelola dengan kunci Anda hingga setelah Anda menyelesaikan petunjuk pendaftaran kunci di halaman ini.
Mendaftarkan kunci Cloud KMS Anda
Untuk mengenkripsi data menggunakan CMEK, Anda harus mendaftarkan kunci multi-region. Secara opsional, jika data Anda memerlukan kunci satu region, misalnya, saat menggunakan konektor pihak ketiga, Anda harus mendaftarkan kunci satu region Anda.
Sebelum memulai
Pastikan hal berikut:
Region belum dilindungi oleh kunci. Prosedur di bawah akan gagal jika kunci sudah terdaftar untuk region melalui perintah REST. Untuk menentukan apakah ada kunci aktif di NotebookLM Enterprise untuk suatu lokasi, lihat Melihat kunci Cloud KMS.
Anda memiliki peran Admin Discovery Engine (
roles/discoveryengine.admin).
Prosedur
REST
Untuk mendaftarkan kunci Anda sendiri untuk NotebookLM Enterprise, ikuti langkah-langkah berikut:
Panggil metode
UpdateCmekConfigdengan kunci yang ingin Anda daftarkan.curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"}' \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"Ganti kode berikut:
KMS_PROJECT_ID: ID project Anda yang berisi kunci. Nomor project tidak akan berfungsi.KMS_LOCATION: multi-region kunci Anda:usataueurope.KEY_RING: nama key ring yang menyimpan kunci.KEY_NAME: nama kunci.PROJECT_ID: ID project Anda yang berisi penyimpanan data.LOCATION: multi-region penyimpanan data Anda:usataueu.CMEK_CONFIG_ID: tetapkan ID unik untuk resource CmekConfig, misalnya,default_cmek_config.SET_DEFAULT: ditetapkan ketrueuntuk menggunakan kunci sebagai kunci default bagi penyimpanan data berikutnya yang dibuat di multi-region.
Opsional: Catat nilai
nameyang ditampilkan oleh metode dan ikuti petunjuk di Mendapatkan detail tentang operasi yang berjalan lama untuk melihat kapan operasi selesai.Biasanya diperlukan waktu beberapa menit untuk mendaftarkan kunci.
Konsol
Prosedur
Untuk mendaftarkan kunci Anda sendiri untuk NotebookLM Enterprise, ikuti langkah-langkah berikut:
Di konsol Google Cloud , buka halaman Gemini Enterprise.
Klik Setelan, lalu pilih tab CMEK.
Klik Tambahkan kunci untuk lokasi us atau eu.
Klik tambahkan kunci. Klik drop-down Select a Cloud KMS key, lalu pilih kunci.
Jika kunci berada di project lain, klik Switch project, klik nama project Anda, ketik nama kunci yang Anda buat, lalu pilih kunci.
Jika Anda mengetahui nama resource kunci, klik Masukkan secara manual, tempel nama resource kunci, lalu klik Simpan.
Klik OK > Simpan.
Tindakan ini akan mendaftarkan kunci Anda, sehingga membuat CmekResource yang disebut default_cmek_config.
Diperlukan waktu beberapa jam agar data yang diserap muncul di hasil penelusuran.
Membatalkan pendaftaran kunci Cloud KMS Anda
Untuk membatalkan pendaftaran kunci Anda dari NotebookLM Enterprise, ikuti langkah-langkah berikut:
Panggil metode
DeleteCmekConfigdengan nama resource CmekConfig yang ingin Anda batalkan pendaftarannya.curl -X DELETE \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"Ganti kode berikut:
LOCATION: multi-region penyimpanan data Anda:usataueu.PROJECT_ID: ID project Anda yang berisi penyimpanan data.CMEK_CONFIG_ID: ID resource CmekConfig. Jika Anda mendaftarkan kunci menggunakan konsol, ID-nya adalahdefault_cmek_config.
Contoh panggilan dan respons curl akan terlihat seperti ini:
$ curl -X DELETE -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config" { "name": "projects/my-ai-app-project-123/locations/us/operations/delete-cmek-config-56789", "metadata": { "@type": "type.googleapis.com/google.cloud.discoveryengine.v1.DeleteCmekConfigMetadata" } }Opsional: Catat nilai
nameyang ditampilkan oleh metode dan ikuti petunjuk di Mendapatkan detail tentang operasi yang berjalan lama untuk melihat kapan operasi selesai.Biasanya perlu waktu beberapa menit untuk menghapus kunci.
Memverifikasi bahwa NotebookLM Enterprise dilindungi oleh kunci
Jika Anda ingin mengonfirmasi bahwa NotebookLM Enterprise dilindungi oleh kunci Anda, ikuti langkah-langkah berikut:
Panggil metode
ListCmekConfigs:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs"Ganti kode berikut:
LOCATION: multi-region penyimpanan data Anda:usataueu.PROJECT_ID: ID Google Cloud project yang berisi data.
Tinjau output dari perintah tersebut. CmekConfig siap digunakan jika semua hal berikut ada dalam output:
"state": "ACTIVE""isDefault": true"notebooklmState": NOTEBOOK_LM_READY
Jika kunci Cloud KMS dinonaktifkan atau dicabut
Jika kunci dinonaktifkan atau izin untuk kunci tersebut dicabut, penyimpanan data akan berhenti menyerap data dan berhenti menayangkan data dalam waktu 15 menit. Namun, mengaktifkan kembali kunci atau memulihkan izin memerlukan waktu yang lama. Perlu waktu hingga 24 jam sebelum penyimpanan data dapat melanjutkan penayangan data.
Oleh karena itu, jangan nonaktifkan kunci kecuali jika diperlukan. Menonaktifkan dan mengaktifkan kunci di penyimpanan data adalah operasi yang memakan waktu. Misalnya, jika kunci berulang kali dialihkan antara status nonaktif dan aktif, penyimpanan data akan membutuhkan waktu lama untuk mencapai status terlindungi. Menonaktifkan kunci dan mengaktifkannya kembali segera setelahnya dapat menyebabkan waktu henti kerja selama berhari-hari karena kunci pertama-tama dinonaktifkan dari penyimpanan data dan kemudian diaktifkan kembali.