Protéger des modèles à l'aide de clés de chiffrement gérées par le client
BigQuery ML accepte les clés de chiffrement gérées par le client (CMEK). En plus du chiffrement par défaut fourni par BigQuery, les clients peuvent désormais utiliser leurs propres clés Cloud Key Management Service pour chiffrer les modèles de machine learning. Nous acceptons également le chiffrement des modèles TensorFlow importés.
Consultez la page Protéger des données avec des clés Cloud KMS dans BigQuery pour plus d'informations.
Créer un modèle chiffré à l'aide d'une clé Cloud KMS
Pour créer un modèle chiffré, utilisez l'instruction CREATE MODEL
et spécifiez KMS_KEY_NAME
dans les options d'entraînement, entre autres.
CREATE MODEL my_dataset.my_model
OPTIONS(
model_type='linear_reg',
input_label_cols=['your_label'],
kms_key_name='projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key')
AS SELECT * FROM my_dataset.my_data
La même syntaxe s'applique également à l'importation de modèles Tensorflow.
CREATE MODEL my_dataset.my_model
OPTIONS(
model_type='tensorflow',
path='gs://bucket/path/to/saved_model/*',
kms_key_name='projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key')
AS SELECT * FROM my_dataset.my_data
Limites
Les clés de chiffrement gérées par le client sont soumises aux restrictions suivantes lors du chiffrement des modèles de machine learning :
Les clés CMEK de la région
Global
ne sont pas compatibles lors de la création de modèles DNN, wide et deep, Autoencoder et d'arbre de décision boosté.Les clés CMEK de la région
Global
et les clés CMEK multirégionales, par exempleeu
ouus
, ne sont pas compatibles avec la création de modèles AutoML Tables.
Vérifier si un modèle est protégé par Cloud KMS
Lorsqu'un modèle est protégé par une clé Cloud KMS, la clé peut être affichée à l'aide de la commande bq show
. La clé utilisée pour le chiffrement se trouve sous kmsKeyName
.
bq show -m my_dataset.my_model
Vous pouvez également utiliser la console Google Cloud pour déterminer la clé Cloud KMS d'un modèle chiffré. Consultez la page Comment afficher la clé Cloud KMS dans BigQuery pour en savoir plus.
Modifier la clé Cloud KMS d'un modèle chiffré
Utilisez la commande bq update
avec l'option --destination_kms_key
pour modifier la clé d'un modèle protégé par Cloud KMS.
bq update --destination_kms_key \
projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key \
-t my_dataset.my_model
Découvrez comment modifier une clé de chiffrement dans BigQuery.
Clé Cloud KMS par défaut du projet et de l'ensemble de données
Dans BigQuery, les utilisateurs peuvent configurer des clés Cloud KMS par défaut au niveau du projet et/ou au niveau de l'ensemble de données. Dans BigQuery ML, ces clés par défaut sont également acceptées lors de la création de modèles. Lorsqu'un projet dispose d'une clé Cloud KMS par défaut, le modèle créé dans ce projet est automatiquement chiffré avec la clé par défaut. L'utilisateur peut également spécifier ses propres clés de chiffrement de modèle dans les options d'entraînement. Il en va de même pour l'ensemble de données associé à une clé par défaut.
Reportez-vous à la page Configurer une clé par défaut d'ensemble de données dans BigQuery pour en savoir plus.
Autres fonctions de BigQuery ML
Toutes les autres fonctions de BigQuery ML, y compris les fonctions d'évaluation (ML.EVALUATE
, ML.ROC_CURVE
, ML.CONFUSION_MATRIX
), de prédiction (ML.PREDICT
), d'inspection des modèles et des caractéristiques (ML.TRAINING_INFO
, ML.FEATURE_INFO
, ML.WEIGHTS
, ML.CENTROIDS
), peuvent être utilisées avec un modèle chiffré sans qu'il ne soit nécessaire d'indiquer sa clé de chiffrement.