デフォルトでは、Cloud Speech-to-Text はお客様のコンテンツを保存時に暗号化します。暗号化処理は Cloud STT が自動で行うため、ユーザー側で特別な操作を行う必要はありません。このオプションは、Google のデフォルトの暗号化と呼ばれます。
自分で暗号鍵を管理したい場合は、Cloud KMS において、Cloud STT を含む CMEK 対応サービスで顧客管理の暗号鍵(CMEK)を使用できます。Cloud KMS 鍵を使用すると、保護レベル、ロケーション、ローテーション スケジュール、使用とアクセスの権限、暗号境界を制御できます。Cloud KMS を使用すると、監査ログを表示し、鍵のライフサイクルを管理することもできます。データを保護する対称鍵暗号鍵(KEK)は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵の制御と管理を行います。
CMEK を使用してリソースを設定した後は、Cloud STT リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。暗号化オプションの詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
Cloud Speech-to-Text リソースで CMEK を使用する具体的なメリットについては、Cloud STT リソースの CMEK についてをご覧ください。
Cloud STT リソースの CMEK について
Speech-to-Text API を使用して新しい鍵を設定すると、次のようになります。
- 以前に元の鍵で暗号化されていたリソースは、その以前の鍵で暗号化されたままになります。リソースが
Update*メソッドを使用して更新されると、新しい鍵で再度暗号化されます。 - CMEK で暗号化されていないリソースは、暗号化されません。リソースが
Update*メソッドを使用して更新されると、新しい鍵で再度暗号化されます。一括認識などの長時間実行オペレーションで、処理が進行中で完了していない場合、保存されているオペレーションは新しい鍵で再度暗号化されます。 - 新しく作成されたリソースは、新しく設定された鍵で暗号化されます。
Speech-to-Text API を使用して鍵を削除すると、CMEK で暗号化されずに新しいリソースが作成されます。既存のリソースは、前に暗号された鍵で暗号化されたままになります。リソースが(Update* メソッドを使用して)更新されると、Google が管理するデフォルトの暗号化を使用して再度暗号化されます。長時間実行オペレーション(一括認識など)で、処理が進行中で終了していない場合、保存されたオペレーションは Google が管理するデフォルトの暗号化を使用して再度暗号化されます。
Cloud STT リソースの暗号化に使用される Cloud KMS 鍵のロケーションは、使用する Cloud STT エンドポイントと一致する必要があります。Cloud STT のロケーションの詳細については、Cloud STT のロケーションをご覧ください。Cloud KMS のロケーションの詳細については、Cloud KMS のロケーションをご覧ください。
CMEK でサポートされるリソース
現在 CMEK の対象となっている Cloud Speech-to-Text リソースは次のとおりです。
| リソース | 暗号化されたマテリアル | ドキュメントのリンク |
|---|---|---|
| 認識機能 |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| オペレーション |
|
|
| 一括認識アーティファクト |
|
次のステップ
- Cloud STT で暗号化を使用する方法を確認する。