Einführung in die Verschlüsselung für Cloud Speech-to-Text

Cloud Speech-to-Text verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird von Cloud STT übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Cloud STT verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Cloud STT-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Informationen zu den spezifischen Vorteilen von CMEKs mit Cloud Speech-to-Text-Ressourcen finden Sie unter Informationen zu CMEK für Cloud STT-Ressourcen.

Informationen zu CMEK für Cloud STT-Ressourcen

Die folgenden Bedingungen gelten, wenn mit der Speech-to-Text API ein neuer Schlüssel festgelegt wird:

  • Ressourcen, die zuvor mit dem ursprünglichen Schlüssel verschlüsselt wurden, bleiben mit diesem früheren Schlüssel verschlüsselt. Wenn eine Ressource mit einer Update*-Methode aktualisiert wird, wird sie mit dem neuen Schlüssel neu verschlüsselt.
  • Bisher waren nicht-CMEK-verschlüsselte Ressourcen unverschlüsselt. Wenn eine Ressource mit einer Update*-Methode aktualisiert wird, wird sie mit dem neuen Schlüssel neu verschlüsselt. Bei Vorgängen mit langer Ausführungszeit (z. B. Batcherkennung) wird der gespeicherte Vorgang mit dem neuen Schlüssel verschlüsselt, wenn die Verarbeitung noch nicht abgeschlossen ist.
  • Neu erstellte Ressourcen werden mit dem neu festgelegten Schlüssel verschlüsselt.

Wenn Sie einen Schlüssel mithilfe der Speech-to-Text API entfernen, werden neue Ressourcen ohne CMEK-Verschlüsselung erstellt. Vorhandene Ressourcen bleiben mit den Schlüsseln verschlüsselt, mit denen sie zuvor verschlüsselt wurden. Wenn eine Ressource mit einer Update*-Methode aktualisiert wird, wird sie mit der von Google verwalteten Standardverschlüsselung neu verschlüsselt. Bei Vorgängen mit langer Ausführungszeit (z. B. Batcherkennung) wird der gespeicherte Vorgang mit der Standardverschlüsselung von Google neu verschlüsselt, wenn die Verarbeitung noch nicht abgeschlossen ist.

Der Speicherort des Cloud KMS-Schlüssels, der zum Verschlüsseln von Cloud STT-Ressourcen verwendet wird, muss mit dem verwendeten Cloud STT-Endpunkt übereinstimmen. Weitere Informationen zu Cloud STT-Standorten finden Sie unter Cloud STT-Standorte. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte.

CMEK-unterstützte Ressourcen

Im Folgenden finden Sie die aktuellen Speech-to-Text-Ressourcen, die von CMEK abgedeckt werden:

Ressource Verschlüsseltes Material Links zur Dokumentation
Erkennungssystem
  • Der Sprachcode in der Erkennungskonfiguration.
  • Inline- und Referenzanpassungsressourcen
PhraseSet
  • Wortgruppen im Wortgruppensatz.
Benutzerdefinierte Klasse
  • Klassenelemente in der benutzerdefinierten Klasse.
Vorgang
  • Die ursprüngliche Anfrage, die den Vorgang ausgelöst hat.
  • Die Antwort der Methode, die den Vorgang ausgelöst hat.
Artefakte der Batcherkennung
  • Während der Transkription verwendete Anpassungsressourcen.
  • Die akkumulierten Transkriptergebnisse.
  • Für die Transkription erforderliche Audioartefakte.

Nächste Schritte