Encripte recursos do Cloud Speech-to-Text

Esta página demonstra como definir uma chave de encriptação no Cloud Speech-to-Text para encriptar recursos do Speech-to-Text.

O Speech-to-Text permite-lhe fornecer chaves de encriptação do Cloud Key Management Service e encripta os dados com a chave fornecida. Para saber mais sobre a encriptação, consulte o artigo Introdução à encriptação.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Speech-to-Text APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Aceder ao IAM
    2. Selecione o projeto.
    3. Clique em Conceder acesso.

    4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

    5. Clique em Selecionar uma função e, de seguida, pesquise a função.
    6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
    7. Clique em Guardar.

  6. Install the Google Cloud CLI.

  7. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

  8. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Speech-to-Text APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Make sure that you have the following role or roles on the project: Cloud Speech Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Aceder ao IAM
    2. Selecione o projeto.
    3. Clique em Conceder acesso.

    4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

    5. Clique em Selecionar uma função e, de seguida, pesquise a função.
    6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
    7. Clique em Guardar.

  13. Install the Google Cloud CLI.

  14. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

  15. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

    16. As bibliotecas cliente podem usar as Credenciais padrão da aplicação para fazer a autenticação facilmente com as APIs Google e enviar pedidos para essas APIs. Com as credenciais predefinidas da aplicação, pode testar a sua aplicação localmente e implementá-la sem alterar o código subjacente. Para mais informações, consulte o artigo Autentique-se para usar bibliotecas de cliente.

  16. If you're using a local shell, then create local authentication credentials for your user account: 

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

    If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

    17. Certifique-se também de que instalou a biblioteca de cliente.

    Ative o acesso às chaves do Cloud Key Management Service

    O Cloud Speech-to-Text usa uma conta de serviço para aceder às suas chaves do Cloud KMS. Por predefinição, a conta de serviço não tem acesso às chaves do Cloud KMS.

    O endereço de email da conta de serviço é o seguinte:

    service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com

    Para encriptar recursos do Speech-to-Text com chaves do Cloud KMS, pode atribuir a esta conta de serviço a função roles/cloudkms.cryptoKeyEncrypterDecrypter:

    gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-speech.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

    Pode encontrar mais informações sobre a política de gestão de identidade e de acesso (IAM) do projeto em Faça a gestão do acesso a projetos, pastas e organizações.

    Pode encontrar mais informações sobre a gestão do acesso ao Cloud Storage no artigo Crie e faça a gestão de listas de controlo de acesso na documentação do Cloud Storage.

    Especifique uma chave de encriptação

    Segue-se um exemplo de como fornecer uma chave de encriptação ao Cloud Speech-to-Text através do recurso Config:

    Python

    import os

from google.cloud.speech_v2 import SpeechClient
from google.cloud.speech_v2.types import cloud_speech

PROJECT_ID = os.getenv("GOOGLE_CLOUD_PROJECT")


def enable_cmek(
    kms_key_name: str,
) -> cloud_speech.Config:
    """Enable Customer-Managed Encryption Keys (CMEK) in a project and region.
    Args:
        kms_key_name (str): The full resource name of the KMS key to be used for encryption.
            E.g,: projects/{PROJECT_ID}/locations/{LOCATION}/keyRings/{KEY_RING}/cryptoKeys/{KEY_NAME}
    Returns:
        cloud_speech.Config: The response from the update configuration request,
        containing the updated configuration details.
    """
    # Instantiates a client
    client = SpeechClient()

    request = cloud_speech.UpdateConfigRequest(
        config=cloud_speech.Config(
            name=f"projects/{PROJECT_ID}/locations/global/config",
            kms_key_name=kms_key_name,
        ),
        update_mask={"paths": ["kms_key_name"]},
    )

    # Updates the KMS key for the project and region.
    response = client.update_config(request=request)

    print(f"Updated KMS key: {response.kms_key_name}")
    return response

    Quando uma chave de encriptação é especificada no recurso Config do seu projeto, todos os novos recursos criados na localização correspondente são encriptados através desta chave. Consulte a página Introdução à encriptação para mais informações sobre o que é encriptado e quando.

    Os recursos encriptados têm os campos kms_key_name e kms_key_version_name preenchidos nas respostas da API Speech-to-Text.

    Remover encriptação

    Para impedir que os recursos futuros sejam encriptados com uma chave de encriptação, use o código acima e forneça a string vazia ("") como a chave no pedido. Isto garante que os novos recursos não são encriptados. Este comando não desencripta os recursos existentes.

    Rotação e eliminação de chaves

    Na rotação de chaves, os recursos encriptados com uma versão anterior da chave do Cloud KMS permanecem encriptados com essa versão. Todos os recursos criados após a rotação da chave são encriptados com a nova versão predefinida da chave. Todos os recursos atualizados (através de métodos Update*) após a rotação da chave são reencriptados com a nova versão predefinida da chave.

    Após a eliminação da chave, o Speech-to-Text não consegue desencriptar os seus dados nem criar recursos ou aceder a recursos encriptados com a chave eliminada. Da mesma forma, quando revoga a autorização do Speech-to-Text para uma chave, o Speech-to-Text não pode desencriptar os seus dados nem criar recursos ou aceder a recursos encriptados com a chave cuja autorização do Speech-to-Text foi revogada.

    Volte a encriptar os dados

    Para voltar a encriptar os seus recursos, pode chamar o método Update* correspondente para cada recurso após atualizar a especificação da chave no recurso Config.

    Limpar

    Para evitar incorrer em cobranças na sua Google Cloud conta pelos recursos usados nesta página, siga estes passos.

    1. Optional: Revoke the authentication credentials that you created, and delete the local credential file. 

      gcloud auth application-default revoke

    2. Optional: Revoke credentials from the gcloud CLI. 

      gcloud auth revoke

    Consola

  17. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  18. In the project list, select the project that you want to delete, and then click Delete.
  19. In the dialog, type the project ID, and then click Shut down to delete the project.

    20. gcloud

  20. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  21. In the project list, select the project that you want to delete, and then click Delete.
  22. In the dialog, type the project ID, and then click Shut down to delete the project.

    23. O que se segue?