Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

Gemini Data Analytics verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird von Gemini Data Analytics für Sie übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie kundenverwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Gemini Data Analytics verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Gemini Data Analytics-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Auf dieser Seite wird beschrieben, wie Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden, um Daten zu schützen, die von der Conversational Analytics API mit Looker-Datenquellen verwendet werden. Die Conversational Analytics API ist ein Produkt im Gemini Data Analytics-Dienst (geminidataanalytics.googleapis.com).

CMEK für Conversational Analytics API-Ressourcen

Wenn Sie CMEK für eine Conversational Analytics API-Ressource konfigurieren, werden die vertraulichen ruhenden Daten mit dem angegebenen Cloud KMS-Schlüssel verschlüsselt. Sie können CMEK für DataAgent- und Conversation-Ressourcen unabhängig voneinander konfigurieren.

Sie können CMEK nur beim Erstellen der Ressource konfigurieren. Wenn Sie CMEK verwenden möchten, müssen Sie das Feld kms_key angeben, wenn Sie eine DataAgent- oder Conversation-Ressource erstellen. Sie können einen Cloud KMS-Schlüssel nicht zu einer vorhandenen Ressource hinzufügen oder ändern.

Mit CMEK geschützte Inhalte

CMEK für die Conversational Analytics API schützt die folgenden Daten im Ruhezustand:

• DataAgent-Ressourcen: Alle wichtigen Kundeninhalte in den Feldern staging_context, published_context und last_published_context des data_analytics_agent. Dazu gehören Felder wie system_instruction und example_queries.
• Conversation-Ressourcen: Alle Nachrichten und der Statusverlauf.

Die folgenden Daten werden nicht mit dem CMEK-Schlüssel des Kunden verschlüsselt. Stattdessen werden diese Daten durch die Google-Standardverschlüsselung geschützt:

• DataAgent-Ressourcen: Metadatenfelder wie name, display_name, description, labels, create_time, update_time, delete_time, purge_time und kms_key
• Conversation-Ressourcen: Metadatenfelder wie name, agents, labels, create_time, last_used_time und kms_key

Beschränkungen

Für CMEK für die Conversational Analytics API gelten die folgenden Einschränkungen:

• CMEK muss beim Erstellen der Ressource konfiguriert werden. Sie kann nicht zu einer vorhandenen Ressource hinzugefügt oder geändert werden.
• Der Cloud KMS-Schlüssel und die Conversational Analytics API-Ressource müssen sich am selben Standort befinden. Die Region global wird nicht unterstützt.
• Für Conversational Analytics API-Ressourcen wird CMEK in der Region us-east4 unterstützt.
• Für Ressourcen der Conversational Analytics API wird CMEK nur für Looker-Datenquellen unterstützt.
• Sie können nur einen CMEK pro Projekt und Region für alle Conversation-Ressourcen in diesem Projekt und dieser Region verwenden.

Hinweis

Bevor Sie CMEK mit der Conversational Analytics API verwenden können, müssen Sie die folgenden Schritte ausführen:

1. Aktivieren Sie die erforderlichen APIs in der Google Cloud Console oder der Google Cloud CLI.

   Console

   Aktivieren Sie die folgenden APIs in der Google Cloud Console für Ihr Google Cloud -Projekt.

   Gemini Data Analytics API aktivieren

   Gemini für Google Cloud API aktivieren

   Cloud Key Management Service API aktivieren

   gcloud

   Führen Sie mit der Google Cloud CLI die folgenden gcloud services enable-Befehle aus, um die Gemini Data Analytics API, die Gemini for Google Cloud API und die Cloud Key Management Service API zu aktivieren:

   gcloud services enable geminidataanalytics.googleapis.com --project=project_id
   gcloud services enable cloudaicompanion.googleapis.com --project=project_id
   gcloud services enable cloudkms.googleapis.com --project=project_id
   

   Ersetzen Sie in den vorherigen Beispielbefehlen der gcloud CLI project_id durch die Projekt-ID Ihres Projekts in Google Cloud .

2. Fügen Sie Ihr Projekt der Zulassungsliste hinzu.

   Ihr Google Cloud -Projekt muss auf einer Zulassungsliste stehen, damit Sie CMEK mit Gemini Data Analytics verwenden können. Wenn Sie Ihr Projekt auf die Zulassungsliste setzen lassen möchten, senden Sie die Projekt-ID über das GDA CMEK Allowlisting form (Formular für die Zulassungsliste für CMEK für Google Data Analytics) ein. Das Hinzufügen Ihres Projekts zur Zulassungsliste dauert etwa ein bis zwei Arbeitstage.

3. Erstellen Sie einen Cloud KMS-Schlüsselbund und -Schlüssel am selben Standort wie Ihre Conversational Analytics API-Ressourcen. Weitere Informationen finden Sie unter Schlüssel erstellen.

4. Erstellen Sie die von Google verwalteten Dienst-Agents, auch bekannt als Per-Project-Per-Product Service Accounts (P4SAs), falls sie noch nicht vorhanden sind. Diese Dienst-Agents sind erforderlich, damit die Dienste, die zum Schutz Ihrer Conversational Analytics API-Ressourcen mit CMEK verwendet werden, auf Ihren Cloud KMS-Schlüssel zugreifen können.

   Führen Sie die folgenden gcloud-Befehle aus, um die Dienst-Agents zu erstellen:

   gcloud beta services identity create --service=geminidataanalytics.googleapis.com --project PROJECT_ID
   gcloud beta services identity create --service=cloudaicompanion.googleapis.com --project PROJECT_ID
   

   Ersetzen Sie PROJECT_ID durch Ihre Google Cloud Projekt-ID.

5. Weisen Sie beiden Dienst-Agents, die Sie im vorherigen Schritt erstellt haben, in Identity and Access Management (IAM) die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu, damit der Gemini Data Analytics-Dienst Ihren Cloud KMS-Schlüssel zum Verschlüsseln und Entschlüsseln Ihrer Conversational Analytics API-Daten verwenden kann.

   Erteilen Sie dem Gemini Data Analytics-Dienst-Agent die Berechtigung:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
     --location KEY_LOCATION \
     --keyring KEY_RING_NAME \
     --member
   serviceAccount:service-PROJECT_NUMBER@gcp-sa-geminidataanalytics.iam.gserviceaccount.com \
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
     --project KMS_PROJECT_ID
   

   Gewähren Sie dem Dienst-Agent für die Gemini für Google Cloud API die Berechtigung:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
     --location KEY_LOCATION \
     --keyring KEY_RING_NAME \
     --member
   serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudaicompanion.iam.gserviceaccount.com \
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
     --project KMS_PROJECT_ID
   

   Ersetzen Sie in den vorherigen Codebeispielen die Beispielwerte so:

   • KEY_NAME: Der Name Ihres Cloud KMS-Schlüssels.
   • KEY_LOCATION: Die Region Ihres Schlüsselbunds, z. B. us-east4.
   • KEY_RING_NAME: Name des Schlüsselbunds.
   • PROJECT_NUMBER: Die Nummer Ihres Google Cloud Projekts, in dem Sie API-Ressourcen erstellen.
   • KMS_PROJECT_ID: Die Projekt-ID, in der der Schlüssel erstellt wurde. Dies kann dasselbe Projekt sein, in dem Sie API-Ressourcen erstellen.

Ressourcen mit CMEK schützen

In diesem Abschnitt wird gezeigt, wie Sie eine neue DataAgent- oder Conversation-Ressource mit CMEK schützen, indem Sie bei der Ressourcenerstellung mit der REST API einen Cloud KMS-Schlüssel im Feld kms_key angeben.

Sie können CMEK nur aktivieren, wenn Sie eine DataAgent- oder Conversation-Ressource erstellen.

Ein CMEK-Schlüssel muss sich in derselben Region wie die Ressource befinden, die er schützt. Weitere Informationen finden Sie unter Einschränkungen.

DataAgent-Ressource mit CMEK schützen

Wenn Sie eine neue DataAgent-Ressource mit CMEK schützen möchten, geben Sie beim Erstellen des Daten-Agents einen Cloud KMS-Schlüssel im Feld kms_key an.

# Define the KMS key.
billing_project = "BILLING_PROJECT_ID"
key_ring = "KEY_RING_NAME"
key_name = "KEY_NAME"
key_project = "KMS_PROJECT_ID" # Project where the key was created
location = "LOCATION" # Region of your key ring

if key_project == "":
  key_project = billing_project

kms_key_data_agent = f"projects/{key_project}/locations/{location}/keyRings/{key_ring}/cryptoKeys/{key_name}"

data_agent = geminidataanalytics.DataAgent()
data_agent.data_analytics_agent.published_context = published_context
data_agent.kms_key = kms_key_data_agent

data_agent_payload = {
      "name": f"projects/{billing_project}/locations/{location}/dataAgents/{data_agent_id}",
      "description": "This is the description of data_agent_1.",
      # If using CMEK, include the kms_key field.
      "kms_key": f"projects/{key_project}/locations/{location}/keyRings/{key_ring}/cryptoKeys/{key_name}",
      "data_analytics_agent": {
          "published_context": {
              "datasource_references": looker_data_source,
              "system_instruction": system_instruction,
          }
      }
  }

Conversation-Ressource mit CMEK schützen

Wenn Sie eine neue Conversation-Ressource mit CMEK schützen möchten, geben Sie beim Erstellen der Konversation einen Cloud KMS-Schlüssel im Feld kms_key an.

# Define the KMS key.
billing_project = "BILLING_PROJECT_ID"
key_ring = "KEY_RING_NAME"
key_name = "KEY_NAME"
key_project = "KMS_PROJECT_ID" # Project where the key was created
location = "LOCATION" # Region of your key ring

if key_project == "":
  key_project = billing_project

kms_key_conversation = f"projects/{key_project}/locations/{location}/keyRings/{key_ring}/cryptoKeys/{key_name}"

conversation = geminidataanalytics.Conversation()
conversation.agents = [f"projects/{billing_project}/locations/{location}/dataAgents/{data_agent_id}"]
conversation.kms_key = kms_key_conversation

conversation_payload = {
    "agents": [
        f"projects/{billing_project}/locations/{location}/dataAgents/{data_agent_id}"
    ],
    "name": f"projects/{billing_project}/locations/{location}/conversations/{conversation_id}",
    # If using CMEK, include the kms_key field.
    "kms_key": f"projects/{key_project}/locations/{location}/keyRings/{key_ring_name}/cryptoKeys/{key_name}"
}

Fehlerbehebung

In diesem Abschnitt werden häufige Probleme und wichtige Überlegungen bei der Verwendung von CMEK mit der Conversational Analytics API behandelt.

Wichtige Statusänderungen

Wenn eine Cloud KMS-Schlüsselversion, die eine Conversational Analytics API-Ressource schützt, nicht mehr verfügbar ist, verlieren Sie den Zugriff auf die Daten, die mit diesem Schlüssel verschlüsselt sind. Wenn Sie versuchen, auf geschützte Daten zuzugreifen, während der Schlüssel nicht verfügbar ist, z. B. durch Lesen des Kontexts einer DataAgent-Ressource oder durch Zugriff auf den Conversation-Verlauf, schlägt die Anfrage fehl. Der zurückgegebene Fehler hängt davon ab, warum der Schlüssel nicht verfügbar ist:

• Wenn die Schlüsselversion deaktiviert oder gelöscht ist, schlägt der Vorgang in der Regel mit einem FAILED_PRECONDITION-Fehler fehl.
• Wenn die IAM-Rolle cloudkms.cryptoKeyEncrypterDecrypter für den Dienst-Agent gcp-sa-geminidataanalytics oder gcp-sa-cloudaicompanion widerrufen wird, schlägt der Vorgang in der Regel mit einem Fehler vom Typ PERMISSION_DENIED oder NOT_FOUND fehl.

Auch wenn der Schlüssel nicht verfügbar ist, können Sie weiterhin Vorgänge ausführen, bei denen der Inhalt nicht entschlüsselt werden muss, z. B. die Ressource DataAgent oder Conversation löschen.

Um den Zugriff auf verschlüsselte Daten wiederherzustellen, aktivieren Sie den Schlüssel wieder und sorgen Sie dafür, dass die Dienst-Agents die erforderlichen IAM-Berechtigungen haben, wie im Abschnitt Hinweis beschrieben.

Cloud KMS-Kontingente und die Conversational Analytics API

Wenn Sie CMEK in der Conversational Analytics API verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. Wenn Sie beispielsweise eine DataAgent-Ressource lesen oder auf den Conversation-Verlauf zugreifen, der durch CMEK geschützt ist, muss Cloud KMS die Daten entschlüsseln.

Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich auf die Cloud KMS-Kontingente so aus:

• Für in Cloud KMS generierte Software-CMEK-Schlüssel wird kein Cloud KMS-Kontingent verbraucht.
• Bei Hardware-CMEK-Schlüsseln (manchmal auch Cloud HSM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud HSM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
• Bei externen CMEK-Schlüsseln (manchmal auch Cloud EKM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud EKM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.

Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

Nächste Schritte

• Informationen zum Aktivieren der Conversational Analytics API
• Informationen zum Authentifizieren und Herstellen einer Verbindung zu einer Datenquelle mit der Conversational Analytics API
• Informationen zum Erstellen eines KI-Datenagenten mit dem Python SDK
• KI-Datenagenten mit HTTP und Python erstellen
• Weitere Informationen zu Cloud KMS.
• Weitere Informationen zu CMEK-Organisationsrichtlinien