客户管理的加密密钥

默认情况下,NotebookLM Enterprise 会对静态客户内容进行加密。NotebookLM Enterprise 会为您处理加密,您无需执行任何其他操作。此选项称为“Google 默认加密”

如果您想要控制加密密钥,则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务(包括 NotebookLM Enterprise)搭配使用。使用 Cloud KMS 密钥时,您可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。 使用 Cloud KMS 还可让您跟踪密钥使用情况、查看审核日志以及控制密钥生命周期。 这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称密钥加密密钥 (KEK),而不是由 Google 拥有和管理这些密钥。

使用 CMEK 设置资源后,访问 NotebookLM Enterprise 资源的体验与使用 Google 默认加密功能类似。如需详细了解加密选项,请参阅客户管理的加密密钥 (CMEK)

NotebookLM Enterprise 中 Cloud KMS 的限制

NotebookLM Enterprise 中的 CMEK (Cloud KMS) 密钥存在以下限制:

  • 密钥无法更改或轮替。

  • 组织政策限制条件无法应用于 NotebookLM Enterprise。

  • NotebookLM Enterprise 的 CMEK 保护功能未与 Cloud Asset Inventory 搜索功能集成。

  • 您无法更改笔记本的加密设置。未受保护的笔记本以后无法再受保护。

  • 密钥注册后,无法从数据存储区中取消注册或移除。
  • 您必须使用美国或欧盟多区域数据存储区和应用(而非全球数据存储区和应用)。 如需详细了解多区域和数据驻留,包括使用非全球位置的相关限制,请参阅位置

  • 如果您需要为项目注册多个密钥,请与您的 Google 客户支持团队联系,申请增加 CMEK 配置的配额,并说明您需要多个密钥的原因。

  • 搭配使用外部密钥管理器 (EKM) 与 CMEK 的功能已正式发布,但仅限加入许可名单的客户使用。如需将 EKM 与 CMEK 搭配使用,请与您的 Google 客户支持团队联系。

    将 EKM 或 HSM 与 CMEK 搭配使用时,存在以下限制:

    • 用于加密和解密调用的 EKM 和 HSM 配额应至少有 1,000 QPM 的余量。如需了解如何查看配额,请参阅查看 Cloud KMS 配额

    • 如果使用 EKM,密钥必须在任何时长超过 30 秒的时间窗口内有 90% 以上的时间可访问。如果密钥在此时间段内无法访问,则可能会对索引编制和搜索新鲜度产生负面影响。

    • 如果出现结算问题、持续性配额不足问题或持续性无法访问问题超过 12 小时,服务会自动关闭与 EKM 或 HSM 密钥相关联的 CmekConfig。

  • 您无法使用 Terraform 为 NotebookLM Enterprise 配置 CMEK。

准备工作

请确保您满足以下前提条件:

  • 创建多区域对称 Cloud KMS 密钥。请参阅 Cloud KMS 文档中的创建密钥环创建密钥

    • 将轮替周期设置为永不(手动轮替)

    • 对于位置,选择多区域,然后从下拉菜单中选择 europeus

  • 密钥的 CryptoKey Encrypter/Decrypter IAM 角色 (roles/cloudkms.cryptoKeyEncrypterDecrypter) 已授予 Discovery Engine 服务代理。 服务代理账号的电子邮件地址采用以下格式: service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com。 如需了解如何向服务代理添加角色,请参阅授予或撤消单个角色

  • 已向 Cloud Storage 服务代理授予密钥的 CryptoKey Encrypter/Decrypter IAM 角色 (roles/cloudkms.cryptoKeyEncrypterDecrypter)。如果未授予此角色,则受 CMEK 保护的数据存储区的数据导入将失败,因为 Discovery Engine 无法创建导入所需的受 CMEK 保护的临时存储桶和目录。

  • 在完成本页上的密钥注册说明之前,请勿创建任何您希望由密钥管理的数据存储区或应用。

注册 Cloud KMS 密钥

如需使用 CMEK 加密数据,您必须注册多区域密钥。(可选)如果您的数据需要单区域密钥(例如,在使用第三方连接器时),您需要注册单区域密钥。

准备工作

为此,您需要确保实现以下各项安排:

  • 相应区域尚未受到密钥的保护。如果已通过 REST 命令为相应区域注册密钥,则以下程序会失败。如需确定 NotebookLM Enterprise 中某个位置是否存在有效密钥,请参阅查看 Cloud KMS 密钥

  • 您具有 Discovery Engine Admin (roles/discoveryengine.admin) 角色。

过程

REST

如需为 NotebookLM 企业版注册您自己的密钥,请按以下步骤操作:

  1. 使用要注册的密钥调用 UpdateCmekConfig 方法。

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"}' \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"

    替换以下内容:

    • KMS_PROJECT_ID:包含密钥的项目的 ID。项目编号无效。
    • KMS_LOCATION:密钥的多区域:useurope
    • KEY_RING:包含密钥的密钥环的名称。
    • KEY_NAME:密钥的名称。
    • PROJECT_ID:包含数据存储区的项目的 ID。
    • LOCATION:数据存储区的多区域:useu
    • CMEK_CONFIG_ID:为 CmekConfig 资源设置唯一 ID,例如 default_cmek_config
    • SET_DEFAULT:设置为 true 可将相应密钥用作在多区域中创建的后续数据存储区的默认密钥。

  2. 可选:记录该方法返回的 name 值,然后按照获取有关长时间运行的操作的详细信息中的说明查看操作何时完成。

    注册密钥通常需要几分钟的时间。

控制台

过程

如需为 NotebookLM Enterprise 注册您自己的密钥,请按以下步骤操作:

  1. 在 Google Cloud 控制台中,前往 Gemini Enterprise 页面。

    Gemini Enterprise

  2. 点击设置,然后选择 CMEK 标签页。

  3. 点击 useu 位置的添加密钥

    点击相应位置的“添加密钥”。
    点击“添加密钥”。

    1. 点击选择 Cloud KMS 密钥下拉菜单,然后选择相应密钥。

      • 如果密钥位于其他项目中,请点击切换项目,点击您的项目名称,输入您创建的密钥的名称,然后选择该密钥。

      • 如果您知道密钥的资源名称,请点击手动输入,粘贴密钥资源名称,然后点击保存

    2. 依次点击确定 > 保存

此命令会注册您的密钥,并创建一个名为 default_cmek_config 的 CmekResource。

提取的数据可能需要过几个小时才会显示在搜索结果中。

取消注册 Cloud KMS 密钥

如需从 NotebookLM Enterprise 中取消注册密钥,请按以下步骤操作:

  1. 使用要取消注册的 CmekConfig 资源名称调用 DeleteCmekConfig 方法。

    curl -X DELETE \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"

    替换以下内容:

    • LOCATION:数据存储区的多区域:useu
    • PROJECT_ID:包含数据存储区的项目的 ID。
    • CMEK_CONFIG_ID:CmekConfig 资源的 ID。如果您使用控制台注册了密钥,则 ID 为 default_cmek_config

    以下是 curl 调用和响应的示例: 

    $ curl -X DELETE
-H "Authorization: Bearer $(gcloud auth print-access-token)"
"https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config"
 
{
 "name": "projects/my-ai-app-project-123/locations/us/operations/delete-cmek-config-56789",
 "metadata": {
  "@type": "type.googleapis.com/google.cloud.discoveryengine.v1.DeleteCmekConfigMetadata"
 }
}

  2. 可选:记录该方法返回的 name 值,然后按照获取长时间运行的操作的详细信息中的说明查看操作何时完成。

    删除密钥通常需要几分钟的时间。

验证 NotebookLM Enterprise 是否受密钥保护

如果您想确认 NotebookLM Enterprise 是否受到您的密钥保护,请按以下步骤操作:

  1. 调用 ListCmekConfigs 方法:

      curl -X GET \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs"

    替换以下内容:

    • LOCATION:数据存储区的多区域:useu
    • PROJECT_ID:包含数据的 Google Cloud 项目的 ID。

  2. 查看命令的输出。如果输出中包含以下所有内容,则表示 CmekConfig 已可供使用:

    • "state": "ACTIVE"
    • "isDefault": true
    • "notebooklmState": NOTEBOOK_LM_READY

如果 Cloud KMS 密钥已停用或已撤消

如果密钥被停用或密钥的权限被撤消,数据存储区会在 15 分钟内停止提取数据和传送数据。不过,重新启用密钥或恢复权限需要很长时间。数据存储区最多可能需要 24 小时才能恢复提供数据。

因此,除非必要,否则请勿停用密钥。在数据存储区中停用和启用密钥是一项耗时的操作。例如,如果反复在停用和启用之间切换密钥,数据存储区将需要很长时间才能达到受保护状态。停用密钥并立即重新启用密钥可能会导致停机数天,因为系统会先从数据存储区停用密钥,然后再重新启用密钥。