De forma predeterminada, Cloud Speech-to-Text encripta el contenido del cliente en reposo. Cloud STT controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en las CMEK, incluido Cloud STT. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con las CMEK, la experiencia de acceso a tus recursos de Cloud STT es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
Para obtener información sobre los beneficios específicos del uso de las CMEK con los recursos de Cloud Speech-to-Text, consulta Comprende las CMEK para los recursos de Cloud STT.
Información sobre las CMEK para los recursos de Cloud STT
Las siguientes condiciones son verdaderas cuando se configura una clave nueva con la API de Speech-to-Text:
- Los recursos que se encriptaron con la clave original permanecen encriptados con esa clave anterior. Si se actualiza un recurso (con un método
Update*), se vuelve a encriptar con la clave nueva. - Los recursos que no están encriptados con las CMEK permanecen sin encriptar. Si se actualiza un recurso (con un método
Update*), se vuelve a encriptar con la clave nueva. En el caso de las operaciones de larga duración (como el reconocimiento por lotes), si el tratamiento está en curso y no terminó, la operación almacenada se vuelve a encriptar con la clave nueva. - Los recursos recién creados se encriptan con la clave establecida.
Cuando quitas una clave con la API de Speech-to-Text, se crean recursos nuevos sin encriptación de las CMEK. Los recursos existentes permanecen encriptados con las claves con las que se encriptaron antes. Si se actualiza un recurso (con un método Update*), se vuelve a encriptar con la predeterminada administrada por Google. En el caso de las operaciones de larga duración (como el reconocimiento por lotes), si el tratamiento está en curso y no se completó, la operación almacenada se volverá a encriptar con la encriptación predeterminada administrada por Google.
La ubicación de la clave de Cloud KMS que se usa para encriptar los recursos de Cloud STT debe coincidir con el extremo de Cloud STT que se usó. Para obtener más información sobre las ubicaciones de Cloud STT, consulta Ubicaciones de Cloud STT. Para obtener más información sobre las ubicaciones de Cloud KMS, consulta Ubicaciones de Cloud KMS.
Recursos compatibles con las CMEK
Los siguientes son recursos actuales de Cloud Speech-to-Text que cubren las CMEK:
| Recurso | Material encriptado | Vínculos a la documentación |
|---|---|---|
| Recognizer |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| Operation |
|
|
| Batch recognition artifacts |
|
¿Qué sigue?
- Obtén más información para usar la encriptación con Cloud STT.