Encripta recursos de Cloud Speech-to-Text

En esta página, se muestra cómo configurar una clave de encriptación en Cloud Speech-to-Text para encriptar recursos de Speech-to-Text.

Speech-to-Text permite proporcionar claves de encriptación de Cloud Key Management Service y encripta los datos con ellas. Para conocer más sobre la encriptación, consulta Introducción a la encriptación.

Antes de empezar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Speech-to-Text APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haz clic en Otorgar acceso.

    4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

    5. En la lista Seleccionar un rol, elige uno.
    6. Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
    7. Haz clic en Guardar.

  6. Install the Google Cloud CLI.

  7. Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

  8. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Speech-to-Text APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haz clic en Otorgar acceso.

    4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

    5. En la lista Seleccionar un rol, elige uno.
    6. Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
    7. Haz clic en Guardar.

  13. Install the Google Cloud CLI.

  14. Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

  15. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

    16. Las bibliotecas cliente pueden usar credenciales predeterminadas de la aplicación para autenticarse de manera sencilla con las APIs de Google y enviarles solicitudes. Con las credenciales predeterminadas de la aplicación, puedes probar tu aplicación de forma local y, luego, implementarla sin cambiar el código subyacente. Para obtener más información, consulta Autentícate para usar las bibliotecas cliente.

  16. If you're using a local shell, then create local authentication credentials for your user account: 

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

    If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

    17. También asegúrate de haber instalado la biblioteca cliente.

    Habilita el acceso a las claves de Cloud Key Management Service

    Cloud Speech-to-Text usa una cuenta de servicio para acceder a tus claves de Cloud KMS. De forma predeterminada, la cuenta de servicio no tiene acceso a las claves de Cloud KMS.

    La siguiente es la dirección de correo electrónico de la cuenta de servicio:

    service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

    Para encriptar los recursos de Speech-to-Text con las claves de Cloud KMS, puedes otorgar a esta cuenta de servicio el rol de roles/cloudkms.cryptoKeyEncrypterDecrypter:

    gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

    Para obtener más información sobre la política de Identity and Access Management (IAM) del proyecto, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    Para obtener más información sobre la administración del acceso a Cloud Storage, consulta Crea y administra Listas de control de acceso en la documentación de Cloud Storage.

    Especifica una clave de encriptación

    En el ejemplo siguiente, se proporciona una clave de encriptación para Cloud Speech-to-Text con el recurso Config:

    Python

    import os

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

PROJECT_ID = os.getenv("GOOGLE_CLOUD_PROJECT")


def enable_cmek(
    kms_key_name: str,
) -> cloud_speech.Config:
    """Enable Customer-Managed Encryption Keys (CMEK) in a project and region.
    Args:
        kms_key_name (str): The full resource name of the KMS key to be used for encryption.
            E.g,: projects/{PROJECT_ID}/locations/{LOCATION}/keyRings/{KEY_RING}/cryptoKeys/{KEY_NAME}
    Returns:
        cloud_speech.Config: The response from the update configuration request,
        containing the updated configuration details.
    """
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{PROJECT_ID}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")
    return response

    Cuando se especifica una clave de encriptación en el recurso Config de tu proyecto, se encriptan todos los recursos recién creados en la ubicación correspondiente con esta clave. Consulta la página Introducción a la encriptación para conocer más sobre qué se encripta y cuándo.

    Los recursos encriptados tienen los campos kms_key_name y kms_key_version_name completados en las respuestas de la API de Speech-to-Text.

    Quita la encriptación

    Para evitar que los recursos futuros se encripten con una clave de encriptación, usa el código anterior y proporciona la cadena vacía ("") como la clave en la solicitud. Esto garantiza que los recursos nuevos no se encripten. Este comando no desencripta los recursos existentes.

    Rotación y eliminación de claves

    En la rotación de claves, los recursos que se encriptan con una versión anterior de la clave de Cloud KMS permanecen encriptados con esa versión. Todos los recursos que se crean después de la rotación de claves se encriptan con la nueva versión predeterminada de la clave. Todos los recursos que se actualizan (con los métodos Update*) después de la rotación de claves se vuelven a encriptar con la nueva versión predeterminada de la clave.

    En la eliminación de claves, Speech-to-Text no puede desencriptar tus datos, crear recursos ni acceder a los recursos encriptados con la clave borrada. Del mismo modo, cuando revocas el permiso de Speech-to-Text para una clave, Speech-to-Text no puede desencriptar tus datos, crear recursos ni acceder a los recursos encriptados con una clave con permiso revocado de Speech-to-Text.

    Vuelve a encriptar datos

    Para volver a encriptar los recursos, puedes llamar al método Update* correspondiente para cada recurso después de actualizar la especificación de la clave en el recurso Config.

    Realiza una limpieza

    Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página.

    1. Optional: Revoke the authentication credentials that you created, and delete the local credential file. 

      gcloud auth application-default revoke

    2. Optional: Revoke credentials from the gcloud CLI. 

      gcloud auth revoke

    Consola

  17. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  18. In the project list, select the project that you want to delete, and then click Delete.
  19. In the dialog, type the project ID, and then click Shut down to delete the project.

    20. gcloud

  20. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  21. In the project list, select the project that you want to delete, and then click Delete.
  22. In the dialog, type the project ID, and then click Shut down to delete the project.

    23. ¿Qué sigue?