Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Secara default, Gemini Data Analytics mengenkripsi konten pelanggan di penyimpanan. Gemini Data Analytics menangani enkripsi untuk Anda tanpa tindakan tambahan apa pun dari pihak Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Gemini Data Analytics. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan , lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Gemini Data Analytics Anda akan mirip dengan penggunaan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Halaman ini menjelaskan cara menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk melindungi data yang digunakan oleh Conversational Analytics API dengan sumber data BigQuery dan Looker. Conversational Analytics API adalah produk dalam layanan Gemini Data Analytics (geminidataanalytics.googleapis.com).

CMEK untuk resource Conversational Analytics API

Saat Anda mengonfigurasi CMEK untuk resource Conversational Analytics API, kunci Cloud KMS yang ditentukan akan mengenkripsi data sensitif dalam penyimpanan. Anda dapat mengonfigurasi CMEK untuk resource DataAgent dan Conversation secara terpisah.

CMEK untuk Conversational Analytics API tersedia di region us-east4 dan multi-region us dan eu. Lokasi global tidak didukung. Untuk mengetahui informasi selengkapnya tentang endpoint regional dan lokasi data, lihat Data residency.

Untuk mewajibkan semua resource yang dibuat di project atau folder Anda menggunakan CMEK, lihat Menerapkan penggunaan CMEK dengan kebijakan organisasi.

Yang dilindungi oleh CMEK

CMEK untuk Conversational Analytics API melindungi data berikut dalam penyimpanan:

  • Untuk resource DataAgent, semua konten inti pelanggan dalam kolom data_analytics_agent dilindungi. Konten ini mencakup kolom staging_context, published_context, dan last_published_context, serta kolom system_instruction dan example_queries.
  • Untuk resource Conversation, semua data histori pesan dan status dilindungi.

Data berikut tidak dienkripsi dengan kunci CMEK pelanggan. Sebagai gantinya, data ini dilindungi oleh enkripsi default Google:

  • Untuk DataAgent resource, enkripsi default Google melindungi kolom metadata seperti name, display_name, description, labels, create_time, update_time, delete_time, purge_time, dan kms_key.
  • Untuk resource Conversation, enkripsi default Google melindungi kolom metadata seperti name, agents, labels, create_time, last_used_time, dan kms_key.

Kebijakan organisasi

Conversational Analytics API mendukung batasan kebijakan organisasi yang dapat mewajibkan CMEK untuk pembuatan resource dan membatasi kunci Cloud KMS yang dapat digunakan untuk perlindungan CMEK. Misalnya, Anda dapat menggunakan batasan constraints/gcp.restrictNonCmekServices dan constraints/gcp.restrictCmekCryptoKeyProjects untuk memastikan perlindungan data yang konsisten di seluruh organisasi Anda.

Untuk mengetahui informasi selengkapnya, lihat Batasan kebijakan organisasi.

Batasan

CMEK untuk Conversational Analytics API memiliki batasan berikut:

  • CMEK harus dikonfigurasi saat resource dibuat. CMEK tidak dapat ditambahkan ke atau diubah pada resource yang ada.
  • Kunci Cloud KMS dan resource Conversational Analytics API harus berada di lokasi yang sama.
  • Region global tidak didukung.
  • Anda hanya dapat menggunakan satu CMEK per project per region untuk semua resource Conversation dalam project dan region tersebut.

Sebelum memulai

Sebelum dapat menggunakan CMEK dengan Conversational Analytics API, selesaikan langkah-langkah berikut:

  1. Aktifkan API yang diperlukan dalam Google Cloud konsol atau Google Cloud CLI.

    Konsol

    Aktifkan API berikut di Google Cloud konsol untuk Google Cloud project Anda.

    Mengaktifkan Gemini Data Analytics API

    Mengaktifkan Gemini for Google Cloud API

    Mengaktifkan Cloud Key Management Service API

    Google Cloud

    gcloud

    Dengan Google Cloud CLI, jalankan perintah gcloud services enable berikut untuk mengaktifkan Gemini Data Analytics API, Gemini for Google Cloud API, dan Cloud Key Management Service API:

    gcloud services enable geminidataanalytics.googleapis.com --project=project_id
    gcloud services enable cloudaicompanion.googleapis.com --project=project_id
    gcloud services enable cloudkms.googleapis.com --project=project_id
    

    Pada perintah gcloud CLI contoh sebelumnya, ganti project_id dengan Google Cloud project ID Anda.