根據預設,Cloud Speech-to-Text 會加密靜態的客戶內容。Cloud STT 會為您處理加密作業,您不必採取其他動作。這項做法稱為「Google 預設加密」。
如要控管加密金鑰,您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK),搭配整合 CMEK 的服務 (包括 Cloud STT)。使用 Cloud KMS 金鑰可控管保護等級、位置、輪替時間表、使用權限和存取權,以及加密範圍。使用 Cloud KMS 也能查看稽核記錄,並控管金鑰生命週期。您可以在 Cloud KMS 中控制及管理這些金鑰,而不是由 Google 擁有及管理用來保護您資料的對稱金鑰加密金鑰 (KEK)。
使用 CMEK 設定資源後,存取 Cloud STT 資源的體驗與使用 Google 預設加密機制類似。如要進一步瞭解加密選項,請參閱「客戶管理的加密金鑰 (CMEK)」。
如要瞭解搭配使用 CMEK 與 Cloud Speech-to-Text 資源的具體優點,請參閱「瞭解 Cloud STT 資源的 CMEK」。
瞭解 Cloud STT 資源的 CMEK
使用 Speech-to-Text API 設定新金鑰時,會發生下列情況:
- 先前以原始金鑰加密的資源,仍會以該金鑰加密。如果資源經過更新 (使用
Update*方法),系統會以新金鑰重新加密。 - 先前未採用 CMEK 加密的資源仍會維持未加密狀態。如果資源已更新 (使用
Update*方法),系統會使用新金鑰重新加密。如果是長時間執行的作業 (例如批次辨識),如果處理作業正在進行中但尚未完成,系統會使用新金鑰重新加密儲存的作業。 - 新建立的資源會以新設定的金鑰加密。
使用 Speech-to-Text API 移除金鑰後,系統會建立不含 CMEK 加密的新資源。現有資源會繼續使用先前加密時的金鑰加密。如果資源已更新 (使用 Update* 方法),系統會使用 Google 管理的預設加密方式重新加密。如果是長時間執行的作業 (例如批次辨識),如果處理程序仍在進行中且尚未完成,系統會使用 Google 代管的預設加密方式,重新加密儲存的作業。
用於加密 Cloud STT 資源的 Cloud KMS 金鑰位置,必須與使用的 Cloud STT 端點相符。如要進一步瞭解 Cloud STT 位置,請參閱這篇文章。如要進一步瞭解 Cloud KMS 位置,請參閱 Cloud KMS 位置。
支援 CMEK 的資源
目前 Cloud Speech-to-Text 資源適用於 CMEK:
| 資源 | 教材已加密 | 說明文件連結 |
|---|---|---|
| 辨識器 |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| 作業 |
|
|
| 批次辨識構件 |
|