Criptare le risorse Cloud Speech-to-Text

Questa pagina mostra come impostare una chiave di crittografia in Cloud Speech-to-Text per criptare le risorse Speech-to-Text.

Speech-to-Text ti consente di fornire chiavi di crittografia Cloud Key Management Service e cripta i dati con la chiave fornita. Per saperne di più sulla crittografia, consulta Introduzione alla crittografia.

Prima di iniziare

  1. Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Speech-to-Text APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. Click Grant access.

    4. In the New principals field, enter your user identifier. This is typically the email address for a Google Account.

    5. Click Select a role, then search for the role.
    6. To grant additional roles, click Add another role and add each additional role.
    7. Click Save.

  6. Installa Google Cloud CLI.

  7. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  8. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Speech-to-Text APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. Click Grant access.

    4. In the New principals field, enter your user identifier. This is typically the email address for a Google Account.

    5. Click Select a role, then search for the role.
    6. To grant additional roles, click Add another role and add each additional role.
    7. Click Save.

  13. Installa Google Cloud CLI.

  14. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  15. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

    16. Le librerie client possono utilizzare Credenziali predefinite dell'applicazione per autenticarsi facilmente con le API di Google e inviare richieste a queste API. Con Credenziali predefinite dell'applicazionee, puoi testare l'applicazione localmente ed eseguirne il deployment senza modificare il codice sottostante. Per saperne di più, vedi Autenticati per usare le librerie client.

  16. Se utilizzi una shell locale, crea le credenziali di autenticazione locali per il tuo account utente: 

    gcloud auth application-default login

    Non è necessario eseguire questa operazione se utilizzi Cloud Shell.

    Se viene restituito un errore di autenticazione e utilizzi un provider di identità (IdP) esterno, verifica di aver acceduto a gcloud CLI con la tua identità federata.

Assicurati inoltre di aver installato la libreria client.

Attiva l'accesso alle chiavi di Cloud Key Management Service

Cloud Speech-to-Text utilizza un account di servizio per accedere alle tue chiavi Cloud KMS. Per impostazione predefinita, il account di servizio non ha accesso alle chiavi Cloud KMS.

L'indirizzo email del account di servizio è il seguente:

service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

Per criptare le risorse Speech-to-Text utilizzando le chiavi Cloud KMS, puoi assegnare a questo account di servizio il ruolo roles/cloudkms.cryptoKeyEncrypterDecrypter:

gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Per saperne di più sulla policy Identity and Access Management (IAM) del progetto, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Per saperne di più sulla gestione dell'accesso a Cloud Storage, consulta Creare e gestire controllo dell'accesso dell'accesso nella documentazione di Cloud Storage.

Specifica una chiave di crittografia

Ecco un esempio di fornitura di una chiave di crittografia a Cloud Speech-to-Text utilizzando la risorsa Config:

Python

import os

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

PROJECT_ID = os.getenv("GOOGLE_CLOUD_PROJECT")


def enable_cmek(
    kms_key_name: str,
) -> cloud_speech.Config:
    """Enable Customer-Managed Encryption Keys (CMEK) in a project and region.
    Args:
        kms_key_name (str): The full resource name of the KMS key to be used for encryption.
            E.g,: projects/{PROJECT_ID}/locations/{LOCATION}/keyRings/{KEY_RING}/cryptoKeys/{KEY_NAME}
    Returns:
        cloud_speech.Config: The response from the update configuration request,
        containing the updated configuration details.
    """
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{PROJECT_ID}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")
    return response

Quando viene specificata una chiave di crittografia nella risorsa Config del progetto, tutte le nuove risorse create nella località corrispondente vengono criptate utilizzando questa chiave. Consulta la pagina Introduzione alla crittografia per ulteriori informazioni su cosa viene criptato e quando.

Le risorse criptate hanno i campi kms_key_name e kms_key_version_name compilati nelle risposte dell'API Speech-to-Text.

Rimuovi crittografia

Per impedire che le risorse future vengano criptate con una chiave di crittografia, utilizza il codice riportato sopra e fornisci la stringa vuota ("") come chiave nella richiesta. In questo modo, le nuove risorse non vengono criptate. Questo comando non decripta le risorse esistenti.

Rotazione ed eliminazione delle chiavi

Durante rotazione della chiave, le risorse criptate con una versione precedente della chiave Cloud KMS rimangono criptate con quella versione. Tutte le risorse create dopo la rotazione della chiave vengono criptate con la nuova versione predefinita della chiave. Tutte le risorse aggiornate (utilizzando i metodi Update*) dopo la rotazione della chiave vengono ricriptate con la nuova versione predefinita della chiave.

Una volta eliminata la chiave, Speech-to-Text non può decriptare i tuoi dati e non può creare risorse o accedere a risorse criptate con la chiave eliminata. Allo stesso modo, quando revoca l'autorizzazione di Speech-to-Text per una chiave, Speech-to-Text non può decriptare i tuoi dati e non può creare risorse o accedere a risorse criptate con la chiave per cui è stata revocata l'autorizzazione di Speech-to-Text.

Ricrittografa i dati

Per crittografare nuovamente le risorse, puoi chiamare il metodo Update* corrispondente per ogni risorsa dopo aver aggiornato la specifica della chiave nella risorsa Config.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

  1. (Facoltativo) Revoca le credenziali di autenticazione che hai creato ed elimina il file delle credenziali locale. 

    gcloud auth application-default revoke

  2. (Facoltativo) Revoca le credenziali da gcloud CLI. 

    gcloud auth revoke

Console

  • Nella console Google Cloud , vai alla pagina Gestisci risorse.

    Vai a Gestisci risorse

  • Nell'elenco dei progetti, seleziona quello che vuoi eliminare, quindi fai clic su Elimina.
  • Nella finestra di dialogo, digita l'ID del progetto e fai clic su Chiudi per eliminare il progetto.

    • gcloud

    Elimina un progetto Google Cloud :

    gcloud projects delete PROJECT_ID

    Passaggi successivi