Por predefinição, o Cloud Speech-to-Text encripta o conteúdo do cliente em repouso. A STT na nuvem processa a encriptação por si, sem ações adicionais da sua parte. Esta opção chama-se Encriptação predefinida da Google.
Se quiser controlar as suas chaves de encriptação, pode usar chaves de encriptação geridas pelo cliente (CMEK) no Cloud KMS com serviços integrados com CMEK, incluindo o Cloud STT. A utilização de chaves do Cloud KMS dá-lhe controlo sobre o respetivo nível de proteção, localização, programação de rotação, utilização, autorizações de acesso e limites criptográficos. A utilização do Cloud KMS também permite ver registos de auditoria e controlar os ciclos de vida das chaves. Em vez de a Google possuir e gerir as chaves de encriptação de chaves (KEKs) simétricas que protegem os seus dados, controla e gere estas chaves no Cloud KMS.
Depois de configurar os seus recursos com CMEKs, a experiência de acesso aos recursos do Cloud STT é semelhante à utilização da encriptação predefinida da Google. Para mais informações acerca das suas opções de encriptação, consulte o artigo Chaves de encriptação geridas pelo cliente (CMEK).
Para obter informações acerca das vantagens específicas da utilização das CMEK com recursos do Cloud Speech-to-Text, consulte o artigo Compreenda as CMEK para recursos do Cloud STT.
Compreenda a CMEK para recursos do Cloud STT
As seguintes condições são verdadeiras quando é definida uma nova chave através da API Speech-to-Text:
- Os recursos encriptados anteriormente com a chave original permanecem encriptados com essa chave anterior. Se um recurso for atualizado (através de um método
Update*), é novamente encriptado com a nova chave. - Os recursos encriptados anteriormente sem CMEK permanecem não encriptados. Se um recurso for atualizado (através de um método
Update*), é novamente encriptado com a nova chave. Para operações de longa duração (como o reconhecimento em lote), se o processamento estiver em curso e não estiver concluído, a operação armazenada é novamente encriptada com a nova chave. - Os recursos criados recentemente são encriptados com a chave definida recentemente.
Quando remove uma chave através da API Speech-to-Text, são criados novos recursos sem encriptação CMEK. Os recursos existentes permanecem encriptados com as chaves com as quais foram encriptados anteriormente. Se um recurso for atualizado (através de um método Update*), é reencriptado através da encriptação predefinida gerida pela Google. Para operações de longa duração (como o reconhecimento em lote), se o processamento estiver em curso e não tiver terminado, a operação armazenada é novamente encriptada através da encriptação predefinida gerida pela Google.
A localização da chave do Cloud KMS usada para encriptar os recursos do Cloud STT tem de corresponder ao ponto final do Cloud STT usado. Para mais informações sobre as localizações do Cloud STT, consulte o artigo Localizações do Cloud STT. Para mais informações sobre as localizações do Cloud KMS, consulte o artigo Localizações do Cloud KMS.
Recursos compatíveis com CMEK
Seguem-se os recursos atuais do Cloud Speech-to-Text abrangidos pela CMEK:
| Recurso | Material encriptado | Links para documentação |
|---|---|---|
| Reconhecedor |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| Operação |
|
|
| Artefactos de reconhecimento em lote |
|