VPC Service Controls を使用すると、AI Platform Training ジョブからのデータの引き出しのリスク軽減に役立ちます。サービス境界内のプロジェクトからトレーニング ジョブを実行すると、VPC Service Controls により、データが境界の外に出ないことが確実化されます。このデータには、ジョブがアクセスするトレーニング データだけでなく、ジョブが作成するアーティファクトも含まれます。
サービス境界の作成
VPC Service Controls ガイドに沿ってサービス境界を作成します。制限するサービスを指定する場合は、次のサービスをすべて追加してください。
- AI Platform Training and Prediction API(
ml.googleapis.com) - Pub/Sub API(
pubsub.googleapis.com) - Cloud Storage API(
storage.googleapis.com) - Google Kubernetes Engine API(
container.googleapis.com) - Container Registry API(
containerregistry.googleapis.com) - Cloud Logging API(
logging.googleapis.com)
AI Platform Training と AI Platform Prediction が VPC Service Controls と適切に連携させるには、サービス境界でこれらのサービスをすべて制限する必要があります。
制限事項
サービス境界を作成し、Google Cloud プロジェクトを追加したら、追加の構成を行うことなくトレーニング ジョブを実行できます。ただし、次の制限が適用されます。
- サービス境界を作成してから数分後にトレーニング ジョブを送信すると、ジョブが失敗することがあります。関連するすべての Google Cloud サービスに VPC Service Controls の制限が反映されるまで待ってから(約 15 分後)、もう一度お試しください。
- TPU でのトレーニングは実行できません。
ml.googleapis.comが保護されている場合、トレーニング ジョブは境界外のリソースにアクセスできません。トレーニング コードは、境界内にある Cloud Storage のデータとプロジェクトの VPC Service Controls でサポートされている Google Cloud サービスのデータにアクセスできます。ただし、境界外のサービスにリクエストを送信すると、これらのリクエストは失敗します。- サービス境界内のプロジェクトについて Google Cloud コンソールでトレーニング ジョブの管理やログの表示を行うには、追加の構成が必要になります。詳しくは、サービス境界で保護されているリソースに Google Cloud コンソールからアクセスするをご覧ください。
AI Platform Prediction と AI Platform Vizier
AI Platform Training と Prediction API を保護するサービス境界を作成すると、VPC Service Controls は AI Platform Training と AI Platform Prediction のオンライン予測機能を保護します。詳しくは、AI Platform Prediction で VPC Service Controls を使用する方法をご覧ください。
ただし、バッチ予測は VPC Service Controls ではサポートされていません。AI Platform Training API と Prediction API がサービス境界で保護されている場合、AI Platform は、データの漏洩を防ぐためにバッチ予測ジョブの作成機能を無効にします。
AI Platform Vizier は AI Platform Training と Prediction API も使用しているため、現時点では VPC Service Controls を完全にはサポートしていません。ただし、AI Platform Training と Prediction API を保護するサービス境界を構成すると、AI Platform Vizier は引き続き有効になります。
次のステップ
- VPC Service Controls がデータを保護する仕組みを学習する。