기본적으로 Cloud Speech-to-Text는 저장된 고객 콘텐츠를 암호화합니다. Cloud STT는 사용자가 추가 작업을 하지 않고도 암호화를 처리합니다. 이 옵션을 Google 기본 암호화라고 합니다.
암호화 키를 제어하려면 Cloud KMS에서 Cloud STT가 포함된 고객 관리 암호화 키(CMEK) 통합 서비스와 함께 CMEK를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 감사 로그를 보고 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키(KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.
CMEK로 리소스를 설정한 후 Cloud STT 리소스에 액세스하는 방법은 Google 기본 암호화를 사용한 액세스와 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.
Cloud Speech-to-Text 리소스와 함께 CMEK를 사용할 때의 구체적인 이점에 대한 자세한 내용은 Cloud STT 리소스에 대한 CMEK 이해를 참조하세요.
Cloud STT 리소스에 대한 CMEK 이해
새 키가 Speech-to-Text API를 사용하여 설정된 경우 다음 조건이 충족됩니다.
- 이전에 원래 키로 암호화된 리소스는 이전 키로 암호화된 상태로 유지됩니다. 리소스가 업데이트되면(
Update*메서드 사용) 새 키로 다시 암호화됩니다. - 이전에 CMEK를 사용하지 않고 암호화된 리소스는 암호화되지 않은 상태로 유지됩니다. 리소스가 업데이트되면(
Update*메서드 사용) 새 키로 다시 암호화됩니다. 장기 실행 작업(예: 일괄 인식)의 경우 처리가 진행 중이며 완료되지 않으면 저장된 작업은 새 키로 다시 암호화됩니다. - 새로 생성된 리소스는 새로 설정된 키로 암호화됩니다.
Speech-to-Text API를 사용하여 키를 삭제하면 CMEK 암호화 없이 새 리소스가 생성됩니다. 기존 리소스는 이전의 암호화된 키로 암호화된 상태로 유지됩니다. 리소스가 업데이트되면(Update* 메서드 사용) Google에서 관리하는 기본 암호화를 사용하여 다시 암호화됩니다. 장기 실행 작업(예: 일괄 인식)의 경우 처리가 진행 중이며 완료되지 않으면 Google에서 관리하는 기본 암호화를 사용하여 저장된 작업이 다시 암호화됩니다.
Cloud STT 리소스를 암호화하는 데 사용되는 Cloud KMS 키의 위치는 사용되는 Cloud STT 엔드포인트와 일치해야 합니다. Cloud STT 위치에 대한 자세한 내용은 Cloud STT 위치를 참조하세요. Cloud KMS 위치에 대한 자세한 내용은 Cloud KMS 위치를 참조하세요.
CMEK 지원 리소스
CMEK가 적용되는 현재 Cloud Speech-to-Text 리소스는 다음과 같습니다.
| 리소스 | 암호화 자료 | 문서 링크 |
|---|---|---|
| 인식기 |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| 작업 |
|
|
| 일괄 인식 아티팩트 |
|