Chaves de encriptação geridas do cliente

Por predefinição, o NotebookLM Enterprise encripta o conteúdo do cliente em repouso. O NotebookLM Enterprise processa a encriptação por si, sem ações adicionais da sua parte. Esta opção chama-se Encriptação predefinida da Google.

Se quiser controlar as suas chaves de encriptação, pode usar chaves de encriptação geridas pelo cliente (CMEK) no Cloud KMS com serviços integrados com CMEK, incluindo o NotebookLM Enterprise. A utilização de chaves do Cloud KMS dá-lhe controlo sobre o respetivo nível de proteção, localização, programação de rotação, utilização e autorizações de acesso, bem como limites criptográficos. A utilização do Cloud KMS também permite monitorizar a utilização das chaves, ver registos de auditoria e controlar os ciclos de vida das chaves. Em vez de a Google possuir e gerir as chaves de encriptação de chaves (KEKs) simétricas que protegem os seus dados, controla e gere estas chaves no Cloud KMS.

Depois de configurar os seus recursos com CMEKs, a experiência de acesso aos recursos do NotebookLM Enterprise é semelhante à utilização da encriptação predefinida da Google. Para mais informações acerca das suas opções de encriptação, consulte o artigo Chaves de encriptação geridas pelo cliente (CMEK).

Limitações do Cloud KMS no NotebookLM Enterprise

As seguintes limitações aplicam-se às chaves CMEK (Cloud KMS) no NotebookLM Enterprise:

  • Não é possível alterar nem rodar as chaves.

  • Não é possível aplicar restrições de políticas da organização ao NotebookLM Enterprise.

  • A proteção CMEK com o NotebookLM Enterprise não está integrada com a pesquisa do Cloud Asset Inventory.

  • Não pode alterar as definições de encriptação dos blocos de notas. Não é possível proteger mais tarde um bloco de notas não protegido.

  • Depois de uma chave ser registada, não é possível anular o registo nem removê-la de um armazenamento de dados.
  • Tem de usar apps e arquivos de dados multirregionais dos EUA ou da UE (não globais). Para mais informações sobre várias regiões e residência de dados, incluindo limites associados à utilização de localizações não globais, consulte as localizações.

  • Se precisar de registar mais do que uma chave para um projeto, contacte a equipa da sua Conta Google para pedir um aumento da quota para configurações de CMEK, indicando uma justificação para precisar de mais do que uma chave.

  • A utilização do gestor de chaves externo (EKM) com CMEK está em disponibilidade geral com lista de autorizações. Para usar a EKM com a CMEK, contacte a equipa de contas da Google.

    Aplicam-se as seguintes limitações ao EKM ou HSM com CMEK:

    • A sua quota de EKM e HSM para chamadas de encriptação e desencriptação deve ter, pelo menos, 1000 QPM de margem. Para saber como verificar as suas quotas, consulte o artigo Verifique as suas quotas do Cloud KMS.

    • Se usar a GKM, a chave tem de estar acessível durante mais de 90% de qualquer período de tempo superior a 30 segundos. Se a chave não estiver acessível durante este período, pode afetar negativamente a indexação e a atualidade da pesquisa.

    • Se existirem problemas de faturação, problemas persistentes de limite excedido ou problemas persistentes de inacessibilidade durante mais de 12 horas, o serviço desativa automaticamente o CmekConfig associado à chave do EKM ou HSM.

  • Não pode usar o Terraform para configurar a CMEK para o NotebookLM Enterprise.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Crie uma chave simétrica multirregional do Cloud KMS. Consulte os artigos Crie um conjunto de chaves e Crie uma chave na documentação do Cloud KMS.

    • Defina o período de rotação como Nunca (rotação manual).

    • Para Localização, selecione Várias regiões e selecione europe ou us no menu pendente.

  • A função da IAM encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave foi concedida ao agente do serviço Discovery Engine. A conta do agente de serviço tem um endereço de email que usa o seguinte formato: service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com. Para obter instruções gerais sobre como adicionar uma função a um agente de serviço, consulte o artigo Conceda ou revogue uma única função.

  • A função do IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave foi concedida ao agente de serviço do Cloud Storage. Se esta função não for concedida, a importação de dados para arquivos de dados protegidos por CMEK falha porque o Discovery Engine não consegue criar o diretório e o contentor temporários protegidos por CMEK necessários para a importação.

  • Não crie nenhuma app nem repositório de dados que queira gerir com a sua chave até concluir as instruções de registo da chave nesta página.

Registe a sua chave do Cloud KMS

Para encriptar dados com as CMEK, tem de registar a sua chave multirregional. Opcionalmente, se os seus dados precisarem de chaves de região única, por exemplo, quando usar conetores de terceiros, tem de registar as suas chaves de região única.

Antes de começar

Certifique-se do seguinte:

  • A região ainda não está protegida por uma chave. O procedimento abaixo falha se já existir uma chave registada para a região através do comando REST. Para determinar se existe uma chave ativa no NotebookLM Enterprise para uma localização, consulte o artigo Ver chaves do Cloud KMS.

  • Tem a função de administrador do Discovery Engine (roles/discoveryengine.admin).

Procedimento

REST

Para registar a sua própria chave para o NotebookLM Enterprise, siga estes passos:

  1. Chame o método UpdateCmekConfig com a chave que quer registar.

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"}' \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"

    Substitua o seguinte:

    • KMS_PROJECT_ID: o ID do seu projeto que contém a chave. O número do projeto não funciona.
    • KMS_LOCATION: a região múltipla da sua chave: us ou europe.
    • KEY_RING: o nome do conjunto de chaves que contém a chave.
    • KEY_NAME: o nome da chave.
    • PROJECT_ID: o ID do seu projeto que contém o arquivo de dados.
    • LOCATION: a multirregião do seu repositório de dados: us ou eu.
    • CMEK_CONFIG_ID: defina um ID exclusivo para o recurso CmekConfig, por exemplo, default_cmek_config.
    • SET_DEFAULT: definido como true para usar a chave como a chave predefinida para as lojas de dados subsequentes criadas na multirregião.

  2. Opcional: registe o valor name devolvido pelo método e siga as instruções em Obtenha detalhes sobre uma operação de longa duração para ver quando a operação está concluída.

    Normalmente, o registo de uma chave demora alguns minutos.

Consola

Procedimento

Para registar a sua própria chave para o NotebookLM Enterprise, siga estes passos:

  1. Na Google Cloud consola, aceda à página Gemini Enterprise.

    Gemini Enterprise

  2. Clique em Definições e selecione o separador CMEK.

  3. Clique em Adicionar chave para a localização us ou eu.

    Clique em Adicionar chave para uma localização.
    Clique em Adicionar chave.

    1. Clique no menu pendente Selecionar uma chave do Cloud KMS e selecione a chave.

      • Se a chave estiver num projeto diferente, clique em Mudar de projeto, clique no nome do seu projeto, escreva o nome da chave que criou e selecione a chave.

      • Se souber o nome do recurso da chave, clique em Introduzir manualmente, cole o nome do recurso da chave e clique em Guardar.

    2. Clique em OK > Guardar.

Isto regista a sua chave, criando um CmekResource denominado default_cmek_config.

Os dados carregados podem demorar várias horas a aparecer nos resultados da pesquisa.

Anule o registo da sua chave do Cloud KMS

Para anular o registo da sua chave no NotebookLM Enterprise, siga estes passos:

  1. Chame o método DeleteCmekConfig com o nome do recurso CmekConfig que quer anular o registo.

    curl -X DELETE \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"

    Substitua o seguinte:

    • LOCATION: a multirregião do seu repositório de dados: us ou eu.
    • PROJECT_ID: o ID do seu projeto que contém o arquivo de dados.
    • CMEK_CONFIG_ID: o ID do recurso CmekConfig. Se registou a chave através da consola, o ID é default_cmek_config.

    Uma chamada e uma resposta curl de exemplo têm o seguinte aspeto: 

    $ curl -X DELETE
-H "Authorization: Bearer $(gcloud auth print-access-token)"
"https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config"
 
{
 "name": "projects/my-ai-app-project-123/locations/us/operations/delete-cmek-config-56789",
 "metadata": {
  "@type": "type.googleapis.com/google.cloud.discoveryengine.v1.DeleteCmekConfigMetadata"
 }
}

  2. Opcional: registe o valor name devolvido pelo método e siga as instruções em Obtenha detalhes acerca de uma operação de longa duração para ver quando a operação está concluída.

    Normalmente, a eliminação de uma chave demora alguns minutos.

Confirme que o NotebookLM Enterprise está protegido por uma chave

Se quiser confirmar que o NotebookLM Enterprise está protegido pela sua chave, siga estes passos:

  1. Chame o método ListCmekConfigs:

      curl -X GET \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs"

    Substitua o seguinte:

    • LOCATION: a multirregião do seu repositório de dados: us ou eu.
    • PROJECT_ID: o ID do seu Google Cloud projeto que contém os dados.

  2. Reveja a saída do comando. O CmekConfig está pronto a ser usado se todos os seguintes elementos estiverem na saída:

    • "state": "ACTIVE"
    • "isDefault": true
    • "notebooklmState": NOTEBOOK_LM_READY

Se uma chave do Cloud KMS estiver desativada ou revogada

Se uma chave estiver desativada ou as autorizações da chave forem revogadas, o armazenamento de dados deixa de carregar dados e de disponibilizar dados no prazo de 15 minutos. No entanto, a reativação de uma chave ou a reposição de autorizações demora muito tempo. A reposição do armazenamento de dados pode demorar até 24 horas.

Por conseguinte, não desative uma chave, a menos que seja necessário. A desativação e a ativação de uma chave num arquivo de dados é uma operação demorada. Por exemplo, alternar repetidamente uma chave entre desativada e ativada significa que o armazenamento de dados vai demorar muito tempo a atingir um estado protegido. A desativação de uma chave e a sua reativação imediata podem resultar em dias de inatividade, uma vez que a chave é primeiro desativada da base de dados e, posteriormente, reativada.