客戶自行管理的加密金鑰

根據預設,NotebookLM Enterprise 會加密靜態儲存的客戶內容。NotebookLM Enterprise 會為您處理加密作業,您不必採取任何其他動作。這項做法稱為「Google 預設加密」

如要控管加密金鑰,您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK),並搭配 NotebookLM Enterprise 等整合 CMEK 的服務。使用 Cloud KMS 金鑰可讓您控管保護等級、位置、輪替時間表、使用權限和存取權,以及加密範圍。 使用 Cloud KMS 還可追蹤金鑰用量、查看稽核記錄,以及控管金鑰生命週期。 您可以在 Cloud KMS 中控制及管理用來保護資料的對稱金鑰加密金鑰 (KEK),而不是由 Google 擁有及管理這些金鑰。

使用 CMEK 設定資源後,存取 NotebookLM Enterprise 資源的體驗與使用 Google 預設加密機制類似。如要進一步瞭解加密選項,請參閱「客戶管理的加密金鑰 (CMEK)」。

NotebookLM Enterprise 中 Cloud KMS 的限制

在 NotebookLM Enterprise 中,客戶管理加密金鑰 (Cloud KMS) 有以下限制:

  • 金鑰無法變更或旋轉。

  • 機構政策限制無法套用至 NotebookLM Enterprise。

  • NotebookLM Enterprise 的 CMEK 保護機制不會與 Cloud Asset Inventory 搜尋功能整合。

  • 記事本的加密設定無法變更。未受保護的記事本無法在之後受到保護。

  • 金鑰註冊後,就無法取消註冊或從資料儲存庫中移除。
  • 您必須使用美國或歐盟多區域資料儲存庫和應用程式 (而非全球資料儲存庫和應用程式)。如要進一步瞭解多地區和資料所在地,包括使用非全域位置的相關限制,請參閱位置

  • 如要為專案註冊多個金鑰,請與 Google 帳戶團隊聯絡,要求增加 CMEK 設定的配額,並說明需要多個金鑰的原因。

  • 搭配使用外部金鑰管理工具 (EKM) 和 CMEK 的功能已正式推出,但僅限允許清單中的使用者。如要搭配使用 EKM 和 CMEK,請與 Google 帳戶團隊聯絡。

    使用 EKM 或 HSM 搭配 CMEK 時,有以下限制:

    • 加密和解密呼叫的 EKM 和 HSM 配額應至少有 1,000 QPM 的空間。如要瞭解如何檢查配額,請參閱「檢查 Cloud KMS 配額」。

    • 如果使用 EKM,金鑰在任何超過 30 秒的時間範圍內,都必須有 90% 以上的時間可供存取。如果金鑰在這段時間內無法連線,可能會對索引和搜尋結果的新鮮度造成負面影響。

    • 如果發生帳單問題、持續超出配額,或持續無法連線超過 12 小時,服務會自動關閉與 EKM 或 HSM 金鑰相關聯的 CmekConfig。

  • 您無法使用 Terraform 為 NotebookLM Enterprise 設定 CMEK。

事前準備

請確認符合下列必要條件:

  • 建立多區域對稱 Cloud KMS 金鑰。請參閱 Cloud KMS 說明文件中的「建立金鑰環」和「建立金鑰」。

    • 將輪替週期設為「永不 (手動輪替)」

    • 在「Location」(位置) 中選取「Multi-region」(多區域),然後從下拉式選單中選取「europe」(歐洲) 或「us」(美國)

  • 已將金鑰的 CryptoKey Encrypter/Decrypter IAM 角色 (roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予 Discovery Engine 服務代理人。服務代理程式帳戶的電子郵件地址採用下列格式: service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com。 如需為服務代理程式新增角色的一般操作說明,請參閱授予或撤銷單一角色

  • 已將金鑰的 CryptoKey Encrypter/Decrypter IAM 角色 (roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予 Cloud Storage 服務代理人。如果未授予這項角色,Discovery Engine 就無法建立匯入所需的受 CMEK 保護臨時值區和目錄,因此受 CMEK 保護的資料儲存庫資料匯入作業會失敗。

  • 請先完成本頁的金鑰註冊說明,再建立任何要由金鑰管理的資料儲存庫或應用程式。

註冊 Cloud KMS 金鑰

如要使用 CMEK 加密資料,您必須註冊多區域金鑰。如果資料需要單一地區金鑰 (例如使用第三方連結器時),您必須註冊單一地區金鑰。

事前準備

請確認您做到了以下各項:

  • 該區域尚未受到金鑰保護。如果已透過 REST 指令為區域註冊金鑰,下列程序就會失敗。如要判斷 NotebookLM Enterprise 中是否有某個位置的有效金鑰,請參閱「查看 Cloud KMS 金鑰」。

  • 您具備 Discovery Engine 管理員 (roles/discoveryengine.admin) 角色。

程序

REST

如要為 NotebookLM Enterprise 註冊自有金鑰,請按照下列步驟操作:

  1. 使用要註冊的金鑰呼叫 UpdateCmekConfig 方法。

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"}' \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"

    更改下列內容:

    • KMS_PROJECT_ID:含有金鑰的專案 ID。專案編號無法使用。
    • KMS_LOCATION:金鑰的多區域:useurope
    • KEY_RING:保存金鑰的金鑰環名稱。
    • KEY_NAME:金鑰名稱。
    • PROJECT_ID:包含資料存放區的專案 ID。
    • LOCATION:資料儲存庫的多區域:useu
    • CMEK_CONFIG_ID:為 CmekConfig 資源設定專屬 ID,例如 default_cmek_config
    • SET_DEFAULT:設為 true,將金鑰做為在多區域中建立後續資料儲存庫時的預設金鑰。

  2. 選用:記錄方法傳回的 name 值,並按照「取得長時間執行的作業詳細資料」一文中的操作說明,查看作業完成時間。

    註冊金鑰通常需要幾分鐘。

控制台

程序

如要註冊 NotebookLM Enterprise 的專屬金鑰,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Gemini Enterprise」頁面。

    Gemini Enterprise

  2. 按一下「設定」,然後選取「CMEK」分頁標籤。

  3. 按一下 useu 地點的「新增金鑰」

    按一下地點的「新增金鑰」。
    按一下「新增金鑰」。

    1. 按一下「選取 Cloud KMS 金鑰」下拉式選單,然後選取金鑰。

      • 如果金鑰位於其他專案,請按一下「切換專案」,然後按一下專案名稱,輸入您建立的金鑰名稱,並選取該金鑰。

      • 如果您知道金鑰的資源名稱,請按一下「手動輸入」,貼上金鑰資源名稱,然後按一下「儲存」

    2. 依序點選「確定」和「儲存」

這會註冊金鑰,並建立名為 default_cmek_config 的 CmekResource。

擷取的資料可能需要幾小時才會顯示在搜尋結果中。

取消註冊 Cloud KMS 金鑰

如要從 NotebookLM Enterprise 取消註冊金鑰,請按照下列步驟操作:

  1. 使用要取消註冊的 CmekConfig 資源名稱呼叫 DeleteCmekConfig 方法。

    curl -X DELETE \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"

    更改下列內容:

    • LOCATION:資料儲存庫的多區域:useu
    • PROJECT_ID:包含資料存放區的專案 ID。
    • CMEK_CONFIG_ID:CmekConfig 資源的 ID。如果您使用控制台註冊金鑰,ID 為 default_cmek_config

    以下是 curl 呼叫和回應的範例: 

    $ curl -X DELETE
-H "Authorization: Bearer $(gcloud auth print-access-token)"
"https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config"
 
{
 "name": "projects/my-ai-app-project-123/locations/us/operations/delete-cmek-config-56789",
 "metadata": {
  "@type": "type.googleapis.com/google.cloud.discoveryengine.v1.DeleteCmekConfigMetadata"
 }
}

  2. 選用:記錄方法傳回的 name 值,並按照「取得長時間執行的作業詳細資料」一文中的操作說明,查看作業何時完成。

    刪除金鑰通常需要幾分鐘的時間。

確認 NotebookLM Enterprise 是否受到金鑰保護

如要確認 NotebookLM Enterprise 是否受到金鑰保護,請按照下列步驟操作:

  1. 呼叫 ListCmekConfigs 方法:

      curl -X GET \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs"

    更改下列內容:

    • LOCATION:資料儲存庫的多區域:useu
    • PROJECT_ID:含有資料的 Google Cloud 專案 ID。

  2. 查看指令的輸出內容。如果輸出內容包含下列所有項目,即可使用 CmekConfig:

    • "state": "ACTIVE"
    • "isDefault": true
    • "notebooklmState": NOTEBOOK_LM_READY

如果 Cloud KMS 金鑰遭到停用或撤銷

如果金鑰停用或金鑰權限遭到撤銷,資料存放區會在 15 分鐘內停止擷取及提供資料。不過,重新啟用金鑰或還原權限需要很長時間。資料存放區最多可能需要 24 小時,才能繼續提供資料。

因此,除非必要,否則請勿停用金鑰。在資料儲存區中停用及啟用金鑰是耗時的作業。舉例來說,如果頻繁切換金鑰的啟用/停用狀態,資料存放區就需要很長時間才能達到受保護狀態。停用金鑰後立即重新啟用,可能會導致數天的停機時間,因為系統會先從資料存放區停用金鑰,然後再重新啟用。