Modelle mit vom Kunden verwalteten Verschlüsselungsschlüsseln schützen

BigQuery ML unterstützt vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK). Neben der von BigQuery bereitgestellten Standardverschlüsselung können Kunden jetzt auch ihre eigenen Cloud KMS-Schlüssel für die Verschlüsselung von ML-Modellen verwenden. Es wird außerdem die Verschlüsselung importierter TensorFlow-Modelle unterstützt.

Weitere Informationen finden Sie unter Daten mit Cloud KMS-Schlüsseln in BigQuery schützen.

Verschlüsseltes Modell mit einem Cloud KMS-Schlüssel erstellen

Verwenden Sie zum Erstellen eines verschlüsselten Modells die Anweisung CREATE MODEL und legen Sie unter anderem KMS_KEY_NAME in den Trainingsoptionen fest.

CREATE MODEL my_dataset.my_model
OPTIONS(
  model_type='linear_reg',
  input_label_cols=['your_label'],
  kms_key_name='projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key')
AS SELECT * FROM my_dataset.my_data

Dieselbe Syntax gilt auch für den Import von Tensorflow-Modellen.

CREATE MODEL my_dataset.my_model
OPTIONS(
  model_type='tensorflow',
  path='gs://bucket/path/to/saved_model/*',
  kms_key_name='projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key')
AS SELECT * FROM my_dataset.my_data

Ermitteln, ob ein Modell durch Cloud KMS geschützt ist

Wenn ein Modell durch einen Cloud KMS-Schlüssel geschützt ist, kann der Schlüssel mit dem Befehl bq show angezeigt werden. Der für die Verschlüsselung verwendete Schlüssel befindet sich unter kmsKeyName.

bq show -m my_dataset.my_model

Sie können auch die BigQuery-UI verwenden, um den Cloud KMS-Schlüssel für ein verschlüsseltes Modell zu ermitteln. Weitere Informationen zum Anzeigen von Cloud KMS-Schlüsseln in BigQuery finden Sie hier.

Cloud KMS-Schlüssel für ein verschlüsseltes Modell ändern

Verwenden Sie den Befehl bq update mit dem Flag --destination_kms_key, um den Schlüssel für eine durch Cloud KMS geschützte Tabelle zu ändern.

bq update --destination_kms_key \
projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key \
-t my_dataset.my_model

Weitere Informationen zum Ändern des Schlüssels in BigQuery erhalten Sie hier.

Standardmäßiger Cloud KMS-Schlüssel für Projekt und Dataset

Nutzer können Standard-Cloud-KMS-Schlüssel auf Projektebene und/oder Dataset-Ebene in BigQuery einrichten. Diese Standardschlüssel werden in BigQuery ML auch beim Erstellen von Modellen unterstützt. Wenn ein Projekt über einen Cloud KMS-Standardschlüssel verfügt, wird das in diesem Projekt erstellte Modell automatisch mit dem Standardschlüssel verschlüsselt. Der Nutzer kann auch seine eigenen Schlüssel in den Trainingsoptionen angeben, um das Modell zu verschlüsseln. Dasselbe gilt für ein Dataset mit einem Standardschlüssel.

Weitere Informationen finden Sie unter Festlegen eines Dataset-Standardschlüssels in BigQuery.

Weitere BigQuery ML-Funktionen

Alle weiteren BigQuery ML-Funktionen, einschließlich der Bewertungsfunktionen (ML.EVALUATE, ML.ROC_CURVE, ML.CONFUSION_MATRIX), Vorhersagefunktionen (ML.PREDICT), Funktionen zur Modell- und Funktionsinspektion (ML.TRAINING_INFO, ML.FEATURE_INFO, ML.WEIGHTS, ML.CENTROIDS), können mit einem verschlüsselten Modell verwendet werden, ohne dass der Verschlüsselungsschlüssel angegeben werden muss.