Par défaut, Cloud Speech-to-Text chiffre le contenu client au repos. Cloud SST gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.
Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Cloud SST. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.
Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Cloud SST est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).
Pour en savoir plus sur les avantages spécifiques liés à l'utilisation de clés CMEK avec des ressources Cloud Speech-to-Text, consultez Comprendre l'intérêt des clés CMEK pour des ressources Cloud STT.
Comprendre l'intérêt des clés CMEK pour des ressources Cloud STT
Les conditions suivantes sont remplies lorsqu'une nouvelle clé est définie à l'aide de l'API Speech-to-Text :
- Les ressources chiffrées précédemment avec la clé d'origine restent chiffrées avec cette ancienne clé. Si une ressource est mise à jour (à l'aide d'une méthode
Update*), elle est rechiffrée avec la nouvelle clé. - Les ressources qui n'avaient pas bénéficié précédemment d'un chiffrement CMEK restent non chiffrées. Si une ressource est mise à jour (à l'aide d'une méthode
Update*), elle est alors rechiffrée avec la nouvelle clé. Pour les opérations de longue durée (telles que la reconnaissance par lot), si le traitement est en cours et n'est pas terminé, l'opération stockée est rechiffrée avec la nouvelle clé. - Les ressources nouvellement créées sont chiffrées à l'aide de la nouvelle clé définie.
Lorsque vous supprimez une clé à l'aide de l'API Speech-to-Text, les nouvelles ressources sont créées sans chiffrement CMEK. Les ressources existantes restent chiffrées avec les clés avec lesquelles elles étaient précédemment chiffrées. Si une ressource est mise à jour (à l'aide d'une méthode Update*), elle est rechiffrée à l'aide du chiffrement par défaut géré par Google. Pour les opérations de longue durée (comme la reconnaissance par lot), si le traitement est en cours et n'est pas terminé, l'opération stockée sera rechiffrée à l'aide du chiffrement par défaut géré par Google.
L'emplacement de la clé Cloud KMS employée pour chiffrer des ressources Cloud STT doit correspondre au point de terminaison Cloud STT utilisé. Pour en savoir plus sur les emplacements Cloud STT, consultez Emplacements Cloud STT. Pour en savoir plus sur les emplacements Cloud KMS, consultez Emplacements Cloud KMS.
Ressources compatibles avec le chiffrement CMEK
Voici les ressources Cloud Speech-to-Text qui sont couvertes actuellement par le chiffrement CMEK :
| Ressource | Éléments chiffrés | Liens vers la documentation |
|---|---|---|
| Recognizer |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| Operation |
|
|
| Artefacts de reconnaissance par lot |
|