De forma predeterminada, Gemini Enterprise encripta el contenido del cliente en reposo. Gemini Enterprise controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Gemini Enterprise. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Gemini Enterprise es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
Cuando se registra una clave de CMEK, Gemini Enterprise llama a Cloud KMS periódicamente para mantener una instancia aislada lógicamente de tus datos. Esto sucede incluso si el parámetro de configuración de la CMEK no está establecido como predeterminado y no hay apps ni conectores de datos que la usen. El uso proviene de la configuración y la ejecución de la instancia, no de la cantidad de datos ni de la cantidad de usuarios que acceden a ella. Consulta los precios de Cloud Key Management Service.
Para detener por completo el uso de Cloud KMS, debes anular el registro de tu clave de Cloud KMS, inhabilitar la clave o revocar sus permisos. Si inhabilitas la API de Gemini Enterprise, no se borrarán tus datos ni tu CmekConfig, y se te seguirá facturando el uso de la CMEK.
Limitaciones de Cloud KMS en Gemini Enterprise
Las siguientes limitaciones se aplican a las claves de CMEK (Cloud KMS) en Gemini Enterprise:
- Las claves que ya se aplicaron a una app o a un conector de datos no se pueden cambiar, aunque se pueden rotar las versiones de las claves.
- Debes usar aplicaciones o almacenes de datos multirregionales de EE.UU. o la UE (no globales). Para obtener más información sobre las multirregiones y la residencia de datos, incluidos los límites asociados con el uso de ubicaciones no globales, consulta ubicaciones.
Si necesitas registrar más de una clave para un proyecto, comunícate con tu equipo de cuentas de Google para solicitar un aumento de la cuota para las configuraciones de CMEK y proporciona una justificación de por qué necesitas más de una clave.
Se aplican las siguientes limitaciones al EKM o HSM con CMEK:
Tu cuota de EKM y HSM para las llamadas de encriptación y desencriptación debe tener al menos 1,000 QPM de margen. Para obtener información sobre cómo consultar tus cuotas, consulta Cómo consultar tus cuotas de Cloud KMS.
Si se usa EKM, se debe poder acceder a la clave durante más del 90% de cualquier período de más de 30 segundos. Si no se puede acceder a la clave durante este período, se puede afectar negativamente la indexación y la actualización de la búsqueda.
Si hay problemas de facturación, problemas persistentes de falta de cuota o problemas persistentes de inaccesibilidad durante más de 12 horas, el servicio desactiva automáticamente el CmekConfig asociado con la clave del EKM o del HSM.
- Las apps o los conectores de datos creados antes de que se registre una clave en el proyecto no pueden protegerse con esa clave.
- En el caso de las apps con varios conectores de datos, si un conector de datos usa una configuración de CMEK, todos los demás conectores de datos también deben usar la misma configuración de CMEK.
Los conectores de origen no cumplen con los requisitos de la CMEK, excepto las apps y los conectores de datos de "importación única" y "periódica" para BigQuery y Cloud Storage.
En el caso de Gemini Notebook Enterprise, se aplican restricciones adicionales de Cloud KMS. Consulta Limitaciones de Cloud KMS en Gemini Notebook Enterprise.
- Puedes usar Terraform para configurar la CMEK para Gemini Enterprise. Consulta google_discovery_engine_cmek_config.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
Crea una clave simétrica multirregional de Cloud KMS. Consulta Crea un llavero de claves y Crea una clave en la documentación de Cloud KMS.
Establece el período de rotación en Nunca (rotación manual).
En Ubicación, selecciona Multirregión y, luego, europe o us en el menú desplegable.
Si usas conectores de terceros, crea tres claves simétricas de Cloud KMS de una sola región. De lo contrario, es opcional.
Establece el período de rotación en Nunca (rotación manual).
En Ubicación, selecciona región.
Selecciona las regiones únicas en el menú desplegable de ubicación de la siguiente tabla. Debes tener las tres claves contigo cuando registres tus claves de Cloud KMS para conectores de terceros.
us single-regionseurope single-regionsus-east1europe-west1us-central1europe-west4us-west1europe-north1
Se otorgó el rol de IAM de encriptador/desencriptador de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave al agente de servicio de Discovery Engine. La cuenta del agente de servicio tiene una dirección de correo electrónico con el siguiente formato:service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com. Para obtener instrucciones generales sobre cómo agregar un rol a un agente de servicio, consulta Otorga o revoca un solo rol.Se otorgó el rol de IAM de encriptador/desencriptador de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave al agente de servicio de Cloud Storage. Si no se otorga este rol, fallará la importación de datos para las apps y los conectores de datos protegidos por CMEK, ya que Discovery Engine no podrá crear el bucket y el directorio temporales protegidos por CMEK que se requieren para la importación.No crees ninguna app ni conector de datos que quieras que administre tu clave hasta que completes las instrucciones de registro de la clave que se indican en esta página.
Registra tu clave de Cloud KMS
Para encriptar datos con CMEK, debes registrar tu clave multirregional. De manera opcional, si tus datos necesitan claves de una sola región (por ejemplo, cuando usas conectores de terceros), también debes registrar tus claves de una sola región.
Registra tu clave de Cloud KMS multirregional
Antes de comenzar
Asegúrate de que se den las siguientes condiciones:
- La región aún no está protegida por una clave. El siguiente procedimiento falla si ya se registró una clave para la región a través del comando de REST. Para determinar si hay una clave activa en Gemini Enterprise para una ubicación, consulta Cómo ver las claves de Cloud KMS.
- Tienes el rol de administrador de Gemini Enterprise (
roles/discoveryengine.agentspaceAdmin).
Procedimiento
REST
Para registrar tu propia clave de Gemini Enterprise, sigue estos pasos:
Llama al método
UpdateCmekConfigcon la clave que deseas registrar.curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"}' \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"Reemplaza lo siguiente:
KMS_PROJECT_ID: Es el ID del proyecto que contiene la clave. El número de proyecto no funcionará.KMS_LOCATION: Es la multirregión de tu clave:usoeurope.KEY_RING: Es el nombre del llavero de claves que contiene la clave.KEY_NAME: el nombre de la clave.PROJECT_ID: Es el ID del proyecto que contiene el conector de datos o de la app.LOCATION: Es la multirregión de tu app o conector de datos:usoeu.CMEK_CONFIG_ID: Establece un ID único para el recurso CmekConfig, por ejemplo,default_cmek_config.SET_DEFAULT: Se establece entruepara usar la clave como clave predeterminada para las apps y los conectores de datos posteriores que se creen en la multirregión.
-
Verifica que tu clave esté lista para usarse antes de crear apps o conectores de datos. Una clave registrada no puede proteger recursos hasta que esté lista. Por lo general, el registro de una llave tarda unos minutos. Consulta Cómo verificar que tu clave de Cloud KMS esté lista para usarse.
Para hacer un seguimiento de la operación de registro, puedes registrar el valor de
nameque devuelve el método y seguir los pasos que se indican en Cómo obtener detalles sobre una operación de larga duración.Una vez que la clave esté lista, las apps y los conectores de datos nuevos de esa multirregión estarán protegidos por la clave. Para obtener información general sobre la creación de apps, consulta Acerca de las apps y los almacenes de datos.
-
Crea la app. Para obtener instrucciones, consulta Crea una app y Acerca de las apps y los almacenes de datos.
Console
Procedimiento
Para registrar tu propia clave de Gemini Enterprise, sigue estos pasos:
En la consola de Google Cloud , ve a la página Gemini Enterprise.
Haz clic en Configuración y selecciona la pestaña CMEK.
Haz clic en Agregar clave para la ubicación us o eu.
Haz clic en Agregar clave. Haz clic en el menú desplegable Selecciona una clave de Cloud KMS y elige la clave.
Si la clave está en un proyecto diferente, haz clic en Cambiar proyecto, luego en el nombre de tu proyecto, escribe el nombre de la clave que creaste y selecciona la clave.
Si conoces el nombre del recurso de la clave, haz clic en Ingresar manualmente, pega el nombre del recurso de la clave y haz clic en Guardar.
Haz clic en Aceptar > Guardar.
-
Verifica que tu clave esté lista para usarse antes de crear apps o conectores de datos. Una clave registrada no puede proteger recursos hasta que esté lista. Consulta Verifica que tu clave de Cloud KMS esté lista para usarse.
-
Crea la app. Para obtener instrucciones, consulta Crea una app y Acerca de las apps y los almacenes de datos.
Esto registra tu clave y crea un CmekResource llamado default_cmek_config.
Los datos transferidos pueden tardar varias horas en aparecer en los resultados de la búsqueda.
Registra claves de Cloud KMS de una sola región para conectores de terceros
REST
Para registrar tu propia clave de Gemini Enterprise, sigue estos pasos:
Llama al método
UpdateCmekConfigcon la clave que deseas registrar.curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"}' \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"Reemplaza lo siguiente:
KMS_PROJECT_ID: Es el ID del proyecto que contiene la clave. El número de proyecto no funcionará.KMS_LOCATION: Es la multirregión de tu clave:usoeurope.KEY_RING: Es el nombre del llavero de claves que contiene la clave.KEY_NAME: el nombre de la clave.PROJECT_ID: Es el ID del proyecto que contiene el conector de datos o la app.LOCATION: Es la multirregión de tu app o conector de datos:usoeu.CMEK_CONFIG_ID: Establece un ID único para el recurso CmekConfig, por ejemplo,default_cmek_config.SET_DEFAULT: Se establece entruepara usar la clave como la clave predeterminada para las apps y los conectores de datos posteriores que se creen en la multirregión.
Opcional: Registra el valor de
nameque devuelve el método y sigue las instrucciones en Obtén detalles sobre una operación de larga duración para ver cuándo se completa la operación.Por lo general, el registro de una llave tarda unos minutos.
Una vez que se completa la operación, la clave protege las nuevas apps y los conectores de datos en esa región múltiple. Para obtener información general sobre la creación de apps, consulta Acerca de las apps y los almacenes de datos.
Si utilizas conectores de terceros y deseas proteger tus datos de terceros con tu propia clave, crea tres claves adicionales de una sola región de la siguiente manera:
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{ "kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME", "singleRegionKeys": [ \ {"kmsKey": "projects/KMS_PROJECT_ID/locations/REGION_1/keyRings/KEY_RING_1/cryptoKeys/KEY_NAME_1"}, \ {"kmsKey": "projects/KMS_PROJECT_ID/locations/REGION_2/keyRings/KEY_RING_2/cryptoKeys/KEY_NAME_2"}, \ {"kmsKey": "projects/KMS_PROJECT_ID/locations/REGION_3/keyRings/KEY_RING_3/cryptoKeys/KEY_NAME_3"} \ ] \ }' \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"Reemplaza lo siguiente:
KMS_PROJECT_ID: Es el ID del proyecto que contiene la clave. El número de proyecto no funcionará.Establece los valores de
REGION:REGION_1: Para la ubicacióneu, configura este parámetro comoeurope-west1y, para la ubicaciónus, configúralo comous-east1.REGION_2: Para la ubicacióneu, configura este parámetro comoeurope-west4y, para la ubicaciónus, configúralo comous-central1.REGION_3: Para la ubicacióneu, configura este parámetro comoeurope-north1y, para la ubicaciónus, configúralo comous-west1.
KEY_RING: Es el nombre del llavero de claves que contiene la clave.KEY_NAME: Es el nombre de la clave multirregional.LOCATION: Es la multirregión de tu app o conector de datos:usoeu.PROJECT_ID: Es el ID del proyecto que contiene el conector de datos o de la app.CMEK_CONFIG_ID: Se establece en el ID del recurso CmekConfig. Usa el mismo valor que en el paso 1, por ejemplo,default_cmek_config.SET_DEFAULT: Se establece entruepara usar la clave como la clave predeterminada para las apps y los conectores de datos posteriores que se creen en la multirregión.
-
Verifica que tu clave esté lista para usarse antes de crear apps o conectores de datos. Una clave registrada no puede proteger recursos hasta que esté lista. Consulta Verifica que tu clave de Cloud KMS esté lista para usarse.
-
Crea la app. Para obtener instrucciones, consulta Crea una app y Acerca de las apps y los almacenes de datos.
Console
Antes de comenzar
Asegúrate de que las regiones no estén protegidas por claves. El siguiente procedimiento falla si ya se registró una clave para la región a través del comando REST.
Para determinar si hay una clave activa para una ubicación, consulta Cómo ver las claves de Cloud KMS.
Procedimiento
Para registrar tu propia clave cuando uses conectores de terceros de Gemini Enterprise, sigue estos pasos:
En la consola de Google Cloud , ve a la página Gemini Enterprise.
Haz clic en Configuración y selecciona la pestaña CMEK.
Haz clic en Agregar clave para la ubicación de EE.UU. o la UE.
Haz clic en Agregar clave. Haz clic en el menú desplegable Selecciona una clave de Cloud KMS y selecciona la clave.
Si la clave está en un proyecto diferente, haz clic en Cambiar proyecto, luego en el nombre de tu proyecto, escribe el nombre de la clave que creaste y selecciona la clave.
Si conoces el nombre del recurso de la clave, haz clic en Ingresar manualmente, pega el nombre del recurso de la clave y haz clic en Guardar.
Haz clic en Aceptar > Guardar.
Esto registra tu clave y crea un CmekResource llamado
default_cmek_config.
Si conectarás una fuente de datos de terceros, haz clic en Establecer claves de una sola región.
Haz clic en Establecer claves de una sola región. Haz clic en el menú desplegable Seleccionar una clave de Cloud KMS y selecciona la clave para cada región.
Si la clave está en un proyecto diferente, haz clic en Cambiar proyecto, luego en el nombre de tu proyecto, escribe el nombre de la clave que creaste y selecciona la clave.
Si conoces el nombre del recurso de la clave, haz clic en Ingresar manualmente, pega el nombre del recurso de la clave y haz clic en Guardar.
Haz clic en Guardar.
Esto registra tus claves de una sola región en el CmekResource llamado
default_cmek_config.
-
Verifica que tu clave esté lista para usarse antes de crear apps o conectores de datos. Una clave registrada no puede proteger recursos hasta que esté lista. Consulta Verifica que tu clave de Cloud KMS esté lista para usarse.
-
Crea la app. Para obtener instrucciones, consulta Crea una app y Acerca de las apps y los almacenes de datos.
Los datos transferidos pueden tardar varias horas en aparecer en los resultados de la búsqueda.
Cómo ver las claves de Cloud KMS
Para ver una clave registrada para Gemini Enterprise, realiza una de las siguientes acciones:
Si tienes el nombre del recurso CmekConfig, llama al método
GetCmekConfig:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"Reemplaza lo siguiente:
LOCATION: Es la multirregión de tu app o conector de datos:usoeu.PROJECT_ID: Es el ID del proyecto que contiene los datos.CMEK_CONFIG_ID: Es el ID del recurso CmekConfig. Si registraste tu clave con la consola, el ID esdefault_cmek_config.
Un ejemplo de llamada y respuesta de curl se ve de la siguiente manera:
$ curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config"
{ "name": "projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config", "kmsKey": "projects/key-project-456/locations/us/keyRings/my-key-ring/cryptoKeys/my-key" "state": "ACTIVE" "isDefault": true }Si no tienes el nombre del recurso CmekConfig, llama al método
ListCmekConfigs:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs"Reemplaza lo siguiente:
LOCATION: Es la multirregión de tu app o conector de datos:usoeu.PROJECT_ID: Es el ID del proyecto que contiene los datos.
Un ejemplo de llamada y respuesta de curl se ve de la siguiente manera:
$ curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs"
{ "cmek_configs": [ { "name": "projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config", "kmsKey": "projects/key-project-456/locations/us/keyRings/my-key-ring/cryptoKeys/my-key" "state": "ACTIVE" "isDefault": true } ] }
Verifica que tu clave de Cloud KMS esté lista para usarse
Después de registrar una clave, debes verificar que esté lista para usarse antes de que pueda proteger recursos:
Visualiza tus claves de Cloud KMS registradas. Consulta Cómo ver las claves de Cloud KMS.
Revisa el resultado del comando. El objeto CmekConfig está listo para usarse si todos los siguientes valores se encuentran en el resultado:
"state": "ACTIVE""isDefault": true
Si es
"isDefault": true, la clave se aplica automáticamente para proteger las nuevas apps y los conectores de datos.
También puedes verificar que se haya establecido una configuración predeterminada de CMEK (es decir, "isDefault": true) con la consola de Google Cloud :
En la consola de Google Cloud , ve a la página Gemini Enterprise.
Haz clic en Configuración y selecciona la pestaña CMEK.
Verifica que el estado de configuración de tu ubicación muestre la clave registrada.
Anula el registro de tu clave de Cloud KMS
Para anular el registro de tu clave en Gemini Enterprise, sigue estos pasos:
Llama al método
DeleteCmekConfigcon el nombre del recurso CmekConfig que deseas anular el registro.curl -X DELETE \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"Reemplaza lo siguiente:
LOCATION: Es la multirregión de tu app o conector de datos:usoeu.PROJECT_ID: Es el ID del proyecto que contiene el conector de datos o la app.CMEK_CONFIG_ID: Es el ID del recurso CmekConfig. Si registraste tu clave con la consola, el ID esdefault_cmek_config.
Un ejemplo de llamada y respuesta de curl se ve de la siguiente manera:
$ curl -X DELETE -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config" { "name": "projects/my-ai-app-project-123/locations/us/operations/delete-cmek-config-56789", "metadata": { "@type": "type.googleapis.com/google.cloud.discoveryengine.v1.DeleteCmekConfigMetadata" } }Opcional: Registra el valor de
nameque muestra el método y sigue las instrucciones en Cómo obtener detalles sobre una operación de larga duración para ver cuándo se completa la operación.Borrar un CmekConfig es una operación de larga duración que puede tardar hasta un par de días en completarse. Esto se debe a que los recursos encriptados subyacentes se desaprovisionan por completo antes de que se quite CmekConfig.
Cómo verificar que un conector de datos o una app estén protegidos por una clave
Las apps y los conectores de datos que se creen después de que se registre tu clave estarán protegidos por ella. Si quieres confirmar que una app o un conector de datos en particular están protegidos por tu clave, sigue estos pasos:
Verifica con la consola de Google Cloud
Para verificar si una app está protegida por una clave, haz lo siguiente:
En la consola de Google Cloud , ve a la página Gemini Enterprise.
Haz clic en Apps y selecciona tu app.
Haz clic en Seguridad y busca la sección Configuración de CMEK.
Verifica que el campo Clave de KMS muestre tu clave registrada.
Para verificar si un conector de datos está protegido por una clave, haz lo siguiente:
En la consola de Google Cloud , ve a la página Gemini Enterprise.
Haz clic en Almacenes de datos y selecciona tu conector de datos.
Verifica que el campo Clave de KMS muestre tu clave registrada.
Verifica con la CLI o la API
Para verificar un almacén de datos, haz lo siguiente:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -H "x-goog-user-project: PROJECT_ID" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/dataStores/DATA_STORE_ID"Reemplaza lo siguiente:
LOCATION: Es la multirregión de tu proyecto:usoeu.PROJECT_ID: ID del proyecto que contiene el conector de datos o de la app.DATA_STORE_ID: Es el ID del almacén de datos asociado con tu app o conector de datos.
Un ejemplo de llamada de curl se ve de la siguiente manera:
curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -H "x-goog-user-project: my-ai-app-project-123" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/collections/default_collection/dataStores/my-data-store-1"
Para verificar una app, haz lo siguiente:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -H "x-goog-user-project: PROJECT_ID" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/ENGINE_ID"Reemplaza lo siguiente:
LOCATION: Es la multirregión de tu proyecto:usoeu.PROJECT_ID: Es el ID del proyecto que contiene la app.ENGINE_ID: Es el ID de tu app.
Un ejemplo de llamada de curl se ve de la siguiente manera:
curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -H "x-goog-user-project: my-ai-app-project-123" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/collections/default_collection/engines/my-app"
Revisa el resultado del comando: Si el campo
cmekConfigestá en el resultado y el campokmsKeymuestra la clave que registraste, la app o el conector de datos están protegidos por la clave.Un ejemplo de respuesta para un almacén de datos se ve de la siguiente manera:
{ "name": "projects/969795412903/locations/us/collections/default_collection/dataStores/my-data-store-1", "displayName": "my-data-store-1", "industryVertical": "GENERIC", "createTime": "2023-09-05T21:20:21.520552Z", "solutionTypes": [ "SOLUTION_TYPE_SEARCH" ], "defaultSchemaId": "default_schema", "cmekConfig": { "name": "projects/969795412903/locations/us/collections/default_collection/dataStores/my-data-store-1/cmekConfigs/default_cmek_config", "kmsKey": "projects/my-ai-app-project-123/locations/us/keyRings/my-key-ring/cryptoKeys/my-key" } }Un ejemplo de respuesta para una app se ve de la siguiente manera:
{ "name": "projects/969795412903/locations/us/collections/default_collection/engines/my-app", "displayName": "my-app", "dataStoreIds": [ "my-data-store-1" ], "solutionType": "SOLUTION_TYPE_SEARCH", "searchEngineConfig": { "searchTier": "SEARCH_TIER_STANDARD" }, "industryVertical": "GENERIC", "appType": "APP_TYPE_INTRANET", "cmekConfig": { "name": "projects/969795412903/locations/us/collections/default_collection/dataStores/my-data-store-1/cmekConfigs/default_cmek_config", "kmsKey": "projects/my-ai-app-project-123/locations/us/keyRings/my-key-ring/cryptoKeys/my-key" } }
Otros datos protegidos por la clave de Cloud KMS
Además de los datos en las apps y los conectores de datos, tus claves pueden proteger otros tipos de información principal propiedad de la app que Gemini Enterprise posee, como los datos de sesión generados durante la búsqueda con seguimiento. Este tipo de información principal está protegida por CMEK si las apps y los conectores de datos también lo están.
Si bien no puedes ejecutar un comando específico para verificar que las sesiones estén protegidas, puedes verificar si la app está protegida. Ejecuta el comando Verifica que una app o un conector de datos estén protegidos por una clave para que la app vea la clave en el recurso cmekConfig. Así sabrás que los datos de la sesión están protegidos.
Rota las claves de Cloud KMS
Cuando rotas las claves, creas una versión nueva de la clave y la configuras como la versión principal. Deja habilitada la versión original de la llave durante un tiempo antes de inhabilitarla. Esto les da tiempo a las operaciones de larga duración que podrían estar usando la clave anterior para completarse.
En el siguiente procedimiento, se describen los pasos para rotar las claves de una app de Gemini Enterprise o un conector de datos. Para obtener información general sobre la rotación de claves, consulta Rotación de claves en la guía de Cloud KMS.
Importante: No rotes las claves en las apps ni en los conectores de datos asociados con recomendaciones o con cualquier app que necesite estadísticas, y no rotes las claves de una sola región que se usan para los conectores de terceros. Consulta las limitaciones de Cloud KMS en Gemini Enterprise.
Vuelve a registrar tu llave. Para ello, repite el paso 1 de Registra tu clave de Cloud KMS.
Consulta las instrucciones en la sección Administra claves de la guía de Cloud KMS para hacer lo siguiente:
Crea una versión de clave nueva, habilítala y conviértela en la principal.
Después de que la nueva clave se convierte en la principal, los documentos de la app o del conector de datos se vuelven a encriptar con la nueva clave, y los documentos posteriores que se agreguen a la app o al conector de datos se encriptan con la nueva clave.
Deja habilitada la versión de clave anterior.
Después de una semana, inhabilita la versión de clave anterior y asegúrate de que todo funcione como antes.
En una fecha posterior, cuando tengas la certeza de que la inhabilitación de la versión anterior de la clave no causó problemas, puedes destruir esa versión.
Si se inhabilita o revoca una clave de Cloud KMS
Si una clave está inhabilitada o se revocan los permisos para la clave, la app o el conector de datos dejan de transferir datos y de publicarlos en un plazo de 15 minutos. Puedes volver a habilitar la clave en un plazo de 30 días para reanudar las operaciones antes de que venza la configuración de CMEK y se borren permanentemente los datos asociados. Sin embargo, volver a habilitar una clave o restablecer los permisos lleva mucho tiempo. La app o el conector de datos pueden tardar hasta 24 horas en reanudar la publicación de datos.
Por lo tanto, no inhabilite una clave a menos que sea necesario. Habilitar o inhabilitar una clave en un conector de datos o una app es una operación que lleva mucho tiempo. Por ejemplo, cambiar repetidamente una clave entre inhabilitada y habilitada significa que la app o el conector de datos tardarán mucho tiempo en alcanzar un estado protegido. Inhabilitar una clave y volver a habilitarla inmediatamente después podría provocar días de inactividad, ya que primero se inhabilita la clave del conector de datos o de la app y, luego, se vuelve a habilitar.
Solución de problemas: Error de no se encontraron proyectos de claves de KMS
Síntoma: Cuando intentas crear un conector de datos o una app con una clave de KMS, recibes un error similar al siguiente:
KMS key projects/[...] not found for location: [...] and project number: [...]
Problema: Este mensaje de error puede ser engañoso. No necesariamente significa que la clave no existe. En cambio, podría indicar que la clave de KMS no se registró para usarse con Gemini Enterprise en la ubicación especificada.
Solución: Para resolver este problema, registra tu clave siguiendo los pasos que se indican en Cómo registrar tu clave de Cloud KMS. Una vez que se complete el registro, podrás crear apps o conectores de datos protegidos por esa clave.