Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono rest utilizzando chiavi di crittografia. gestiti da Google. Se hai requisiti normativi o di conformità specifici alle chiavi che proteggono i tuoi dati, puoi utilizzare i cluster chiavi di crittografia (CMEK) per le tue risorse.
Puoi scoprire di più sui vantaggi specifici dell'utilizzo di CMEK con alle risorse Vertex AI consulta la sezione di questa guida. Per ulteriori informazioni su CMEK in generale, ad esempio quando e perché abilitarlo, consulta Cloud Key Management Service documentazione.
Questa guida descrive alcuni vantaggi dell'utilizzo delle risorse CMEK per Vertex AI e spiegheremo come configurare un job di addestramento per utilizzare CMEK.
Per saperne di più su come utilizzare CMEK per Colab Enterprise, vedi nella pagina CMEK di Colab Enterprise.
Risorse CMEK per Vertex AI
Le sezioni seguenti descrivono le informazioni di base su CMEK per Risorse Vertex AI che devi comprendere prima di configurare CMEK per per i tuoi lavori.
Vantaggi di CMEK
In generale, CMEK è utile se è necessario il controllo completo sulle chiavi utilizzate per crittografare i dati. Con CMEK, puoi gestire le tue chiavi all'interno di Cloud KMS. Ad esempio, puoi ruotare o disabilitare una chiave oppure impostare e configurare una pianificazione di rotazione utilizzando l'API Cloud KMS. Per ulteriori informazioni CMEK in generale, incluso quando e perché attivarla, consulta le Documentazione di Cloud KMS.
Quando esegui un comando AutoML addestramento personalizzato il tuo codice viene eseguito su una o più istanze di macchine virtuali (VM) gestite Vertex AI. Quando attivi CMEK per le risorse Vertex AI, la chiave che designi, anziché una gestita da Google, viene utilizzata per criptare i dati sui dischi di avvio di queste VM. La chiave CMEK cripta i seguenti tipi di dati:
- La copia del tuo codice sulle VM.
- Tutti i dati che vengono caricati dal tuo codice.
- Eventuali dati temporanei che vengono salvati sul disco locale dal codice.
- addestrati con AutoML.
- File multimediali (dati) caricati in set di dati multimediali.
In generale, la chiave CMEK non cripta i metadati associati al tuo come il nome e la regione del job o il nome visualizzato di un set di dati. I metadati associati alle operazioni sono sempre usando il meccanismo di crittografia predefinito di Google.
Per i set di dati, quando un utente importa i dati nel set di dati, gli elementi e le annotazioni sono criptate con CMEK. Il nome visualizzato del set di dati non è criptato con CMEK.
Per i modelli, i modelli archiviati nel sistema di archiviazione (ad esempio, su disco) vengono Criptata con CMEK. Tutti i risultati di valutazione del modello sono criptati con CMEK.
Per gli endpoint, tutti i file del modello utilizzati per il deployment del modello nella sono criptati con CMEK. Non sono inclusi i dati in memoria.
Per la previsione batch, eventuali file temporanei (ad esempio file di modello, log, VM i dischi permanenti) utilizzati per eseguire il job di previsione batch sono criptati con CMEK. Batch i risultati della previsione vengono archiviati nella destinazione fornita dall'utente. Di conseguenza, Vertex AI rispetta il valore predefinito configurazione della crittografia della destinazione. In caso contrario, anche i risultati verranno criptati tramite CMEK.
Per l'etichettatura dei dati, eventuali file di input (immagine, testo, video, tabulari), temporanei discussione (ad esempio domande, feedback) e output (etichettatura risultato) sono criptati con CMEK. I nomi visualizzati delle specifiche di annotazione non sono criptati con CMEK.
Chiavi esterne
Puoi utilizzare Cloud External Key Manager (Cloud EKM) per creare chiavi esterne che gestisci, per criptare i dati all'interno di Google Cloud.
Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulle la disponibilità della chiave gestita esternamente. Se richiedi l'accesso a un è criptata con una chiave gestita esternamente e la chiave non è disponibile, Vertex AI rifiuterà la richiesta. Potrebbe verificarsi un ritardo massimo di 10 minuti prima di poter accedere alla risorsa una volta disponibile la chiave.
Per ulteriori considerazioni sull'uso di chiavi esterne, consulta Gestore di chiavi esterne Cloud.
Utilizzare CMEK con altri prodotti Google Cloud
La configurazione di CMEK per le risorse Vertex AI non avviene automaticamente configurare CMEK per altri prodotti Google Cloud che utilizzi insieme a Vertex AI. Per usare CMEK per criptare i dati in altre prodotti Google Cloud, è necessaria un'ulteriore configurazione. Ad esempio:
Cloud Storage: quando esegui l'addestramento personalizzato, in genere carica i dati da Cloud Storage. Quando utilizzi un linguaggio Python di addestramento e un container predefinito di addestramento, Vertex AI carica il codice anche da un bucket Cloud Storage. Inoltre, alcuni esportazione job di addestramento artefatti del modello addestrato (ad esempio, una directory SaveModel di TensorFlow) a un Bucket Cloud Storage come parte dell'output.
Per assicurarti che i dati in Cloud Storage siano criptati con CMEK, leggi la guida di Cloud Storage all'utilizzo della crittografia gestita dal cliente chiave. Puoi impostare chiave di crittografia come chiave predefinita per i bucket Cloud Storage che usi con Vertex AI o per criptare oggetti specifici.
Artifact Registry: quando utilizzi un container personalizzato di addestramento, puoi configurare Vertex AI per caricare l'immagine container da Artifact Registry.
Per assicurarti che l'immagine container sia criptata con CMEK, leggi il Guida di Artifact Registry a CMEK.
Cloud Logging: quando esegui un job di addestramento, l'addestramento di Vertex AI salva i log in Logging. Per criptare questi log utilizzando CMEK, consulta Configurare CMEK per Cloud Logging.
Risorse attuali supportate da CMEK
Di seguito sono riportate le risorse Vertex AI attuali coperte da CMEK. CMEK anche il supporto per le funzionalità in anteprima è in stato Anteprima.
Risorsa | Materiale criptato | Link alla documentazione |
---|---|---|
Set di dati |
|
|
Modello |
|
|
Endpoint |
|
|
CustomJob |
|
|
HyperparameterTuningJob |
|
|
TrainingPipeline |
|
|
BatchPredictionJob (esclusioni Dati batch per immagini AutoML |
|
|
ModelDeploymentMonitoringJob |
|
|
PipelineJob |
|
|
MetadataStore |
|
|
TensorBoard |
|
|
Archivio di caratteristiche |
|
|
Indice |
|
|
IndexEndpoint |
|
|
Colab Enterprise tempo di esecuzione |
|
Supporto CMEK per pipeline di ottimizzazione di IA generativa
Il supporto CMEK viene fornito nella pipeline di ottimizzazione dei seguenti modelli:
text-bison for PaLM 2
(GPU)BERT
T5
image-generation (GPU)
Limitazioni
Il supporto CMEK non è fornito in:
- Previsione batch per il modello di immagini AutoML (
BatchPredictionJob
) - Ottimizzazione TPU
Configura CMEK per le tue risorse
Le sezioni seguenti descrivono come creare un keyring e una chiave in Cloud Key Management Service. concedi le autorizzazioni di crittografia e decriptazione di Vertex AI per e creare risorse che usano CMEK.
Prima di iniziare
Questa guida presuppone l'utilizzo di due progetti Google Cloud separati per configura CMEK per i dati Vertex AI:
- Un progetto per la gestione della chiave di crittografia (denominato anche "Progetto Cloud KMS").
- Un progetto per accedere ai dati o all'output di Vertex AI in Cloud Storage e l'interazione con qualsiasi altro Google Cloud i prodotti necessari per il tuo caso d'uso (indicato come "progetto AI Platform").
Questa configurazione consigliata supporta una separazione dei doveri.
In alternativa, puoi utilizzare un singolo progetto Google Cloud per l'intero guida. Per farlo, utilizza lo stesso progetto per tutte le seguenti attività che fanno riferimento al progetto Cloud KMS e alle attività che fanno riferimento progetto AI Platform.
configura il progetto Cloud KMS
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Cloud KMS.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Cloud KMS.
Configura il progetto AI Platform
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva Vertex AI API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva Vertex AI API.
Configura Google Cloud CLI
gcloud CLI è obbligatorio per alcuni passaggi di questa guida e facoltativo per gli altri.Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
Crea un keyring e una chiave
Segui la guida di Cloud KMS per la creazione simmetrica chiavi per creare un keyring e una chiave. Quando crei il tuo keyring, specifica una regione che supporti Vertex AI Operations come della posizione del keyring. Vertex AI Training supporta solo CMEK quando la risorsa e la chiave utilizzano la stessa regione. Non devi specificare un una località doppia, multiregionale o globale per il keyring.
Assicurati di creare il keyring e la chiave nel progetto Cloud KMS.
Concedi le autorizzazioni a Vertex AI
Per utilizzare CMEK per le tue risorse, devi concedere l'autorizzazione Vertex AI a criptare e decriptare i dati con la tua chiave. Vertex AI utilizza un Agente di servizio gestito da Google da eseguire operazioni usando le tue risorse. Questo account di servizio è identificato da un indirizzo email di destinazione con il seguente formato:
service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com
Per trovare l'account di servizio appropriato per il tuo progetto AI Platform, vai
alla pagina IAM nella console Google Cloud e trova il membro corrispondente
questo formato dell'indirizzo email, con il
numero per
del tuo progetto AI Platform, sostituendo
AI_PLATFORM_PROJECT_NUMBER. L'account di servizio include anche
nome Vertex AI Service Agent
.
Prendi nota dell'indirizzo email di questo account di servizio e utilizzalo nella seguenti passaggi per concedere l'autorizzazione a criptare e decriptare i dati utilizzando il tuo chiave. Puoi concedere l'autorizzazione utilizzando la console Google Cloud o il metodo Google Cloud CLI:
Console Google Cloud
Nella console Google Cloud, fai clic su Sicurezza e seleziona Gestione delle chiavi. Verrà visualizzata la pagina Chiavi di crittografia e seleziona il tuo progetto Cloud KMS.
Fai clic sul nome del keyring creato in una sezione precedente di questa guida per passare al Keyring dei dettagli.
Seleziona la casella di controllo della chiave che hai creato in una sezione precedente di questa guida. Se viene visualizzato un riquadro informativo con l'etichetta se il nome della chiave non è già aperto, fai clic su Mostra riquadro informazioni.
Nel riquadro delle informazioni, fai clic su
Aggiungi membro per aprire la sezione Aggiungi membri. nella finestra di dialogo "KEY_NAME". In questa finestra di dialogo, procedi nel seguente modo:- Nella casella Nuovi membri, inserisci l'indirizzo email dell'account di servizio che
di cui hai fatto nota nella sezione precedente:
service-AI_PLATFORM_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com
Nell'elenco a discesa Seleziona un ruolo, fai clic su Cloud KMS. e seleziona Autore crittografia/decrittografia CryptoKey Cloud KMS ruolo.
Fai clic su Salva.
- Nella casella Nuovi membri, inserisci l'indirizzo email dell'account di servizio che
di cui hai fatto nota nella sezione precedente:
gcloud
Esegui questo comando:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring=KEY_RING_NAME \
--location=REGION \
--project=KMS_PROJECT_ID \
--member=serviceAccount:service-AI_PLATFORM_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
In questo comando, sostituisci i seguenti segnaposto:
- KEY_NAME: il nome della chiave che hai creato in una precedente di questa guida.
- KEY_RING_NAME: il keyring creato in una precedente di questa guida.
- REGION: la regione in cui hai creato il keyring.
- KMS_PROJECT_ID: l'ID del tuo progetto Cloud KMS.
- AI_PLATFORM_PROJECT_NUMBER: il numero del tuo progetto progetto AI Platform, che hai annotato nella sezione precedente come parte dell'indirizzo email di un account di servizio.
Crea risorse con la chiave KMS
Quando crei una nuova risorsa supportata da CMEK, puoi specificare la chiave come uno dei parametri di creazione.
Console
Quando crei una nuova risorsa supportata da CMEK nella Sezione Vertex AI del nella console Google Cloud, puoi seleziona il token nella sezione delle opzioni generali o avanzate:
RESTA E Riga CMD
Quando crei una risorsa supportata, aggiungi una
encryptionSpec
opporsi alla tua richiesta e imposta il valore
encryptionSpec.kmsKeyName
campo per puntare alla chiave
risorsa.
Ad esempio, quando crei una risorsa dataset
,
specifica la chiave nel corpo della richiesta:
{
"displayName": DATASET_NAME,
"metadataSchemaUri": METADATA_URI,
"encryptionSpec": {
"kmsKeyName": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME"
}
}
Java
Quando crei una risorsa supportata, imposta EncryptionSpec
su
puntare alla risorsa chiave. Consulta le
Libreria client Vertex AI per Java
documentazione per ulteriori informazioni.
Node.js
Quando crei una risorsa supportata, imposta il parametro encryptionSpec
su
puntare alla risorsa chiave. Consulta le
Libreria client Vertex AI per Node.js
documentazione per ulteriori informazioni.
Python
Quando crei una risorsa supportata, imposta il parametro encryption_spec
su
puntare alla risorsa chiave. Consulta le
Client Python per Cloud AI Platform
documentazione per ulteriori informazioni.
Passaggi successivi
- Scopri di più su CMEK su Google Cloud.
- Scopri come utilizzare CMEK con altri servizi Google Cloud prodotti.