默认情况下,Cloud Speech-to-Text 会对静态客户内容进行加密。Cloud STT 会为您处理加密,您无需执行任何其他操作。此选项称为“Google 默认加密”。
如果您想要控制加密密钥,则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务(包括 Cloud STT)结合使用。使用 Cloud KMS 密钥时,您可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。此外,您还可使用 Cloud KMS 查看审核日志并控制密钥生命周期。这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称密钥加密密钥 (KEK),而不是由 Google 拥有和管理这些密钥。
使用 CMEK 设置资源后,访问 Cloud STT 资源的体验与使用 Google 默认加密功能类似。 如需详细了解加密选项,请参阅客户管理的加密密钥 (CMEK)。
如需了解将 CMEK 用于 Cloud Speech-to-Text 资源的具体优势,请参阅了解适用于 Cloud STT 资源的 CMEK。
了解适用于 Cloud STT 资源的 CMEK
使用 Speech-to-Text API 设置新密钥时,应满足以下条件:
- 之前使用原始密钥加密的资源仍使用先前的密钥进行加密。如果资源更新(使用
Update*方法),则使用新密钥重新加密。 - 之前的非 CMEK 加密资源保持未加密状态。如果资源更新(使用
Update*方法),则使用新密钥重新加密。对于长时间运行的操作(如批量识别),如果处理过程尚未完成,则存储的操作会使用新密钥重新加密。 - 新创建的资源使用新设置的密钥进行加密。
使用 Speech-to-Text API 移除密钥时,将创建不采用 CMEK 加密的新资源。现有资源仍使用之前加密的密钥进行加密。如果资源更新(使用 Update* 方法),则使用 Google 管理的默认加密重新加密。对于长时间运行的操作(如批量识别),如果处理过程尚未完成,则系统会使用 Google 管理的默认加密方法重新加密存储的操作。
用于加密 Cloud STT 资源的 Cloud KMS 密钥的位置必须与使用的 Cloud STT 端点匹配。如需详细了解 Cloud STT 位置,请参阅 Cloud STT 位置。如需详细了解 Cloud KMS 位置,请参阅 Cloud KMS 位置。
CMEK 支持的资源
以下是 CMEK 涵盖的当前的 Cloud Speech-to-Text 资源:
| 资源 | 已加密材料 | 文档链接 |
|---|---|---|
| 识别器 |
|
|
| PhraseSet |
|
|
| CustomClass |
|
|
| 操作 |
|
|
| 批量识别工件 |
|