Protezione dei modelli con chiavi di crittografia gestite dal cliente

BigQuery ML supporta chiavi di crittografia gestite dal cliente (CMEK). Oltre alla crittografia predefinita fornita da BigQuery, i clienti possono ora iniziare a utilizzare le proprie chiavi Cloud KMS per criptare i modelli di machine learning. Supportiamo anche la crittografia di modelli TensorFlow importati.

Scopri di più sulla protezione dei dati con le chiavi Cloud KMS in BigQuery.

Creare un modello criptato con una chiave Cloud KMS

Per creare un modello criptato, utilizza l'istruzione CREATE MODEL e specifica KMS_KEY_NAME nelle opzioni di addestramento.

CREATE MODEL my_dataset.my_model
OPTIONS(
  model_type='linear_reg',
  input_label_cols=['your_label'],
  kms_key_name='projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key')
AS SELECT * FROM my_dataset.my_data

La stessa sintassi è valida anche per l'importazione del modello Tensorflow.

CREATE MODEL my_dataset.my_model
OPTIONS(
  model_type='tensorflow',
  path='gs://bucket/path/to/saved_model/*',
  kms_key_name='projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key')
AS SELECT * FROM my_dataset.my_data

Limitazioni

Le chiavi di crittografia gestite dal cliente sono soggette alle seguenti limitazioni durante la crittografia dei modelli di machine learning:

Determina se un modello è protetto da Cloud KMS

Quando un modello è protetto da chiave Cloud KMS, la chiave può essere visualizzata utilizzando il comando bq show. La chiave utilizzata per la crittografia si trova nella sezione kmsKeyName.

bq show -m my_dataset.my_model

Puoi anche utilizzare Cloud Console per scoprire la chiave Cloud KMS per un modello criptato. Scopri di più su come mostrare la chiave Cloud KMS in BigQuery.

Cambiare la chiave Cloud KMS per un modello criptato

Utilizza il comando bq update con il flag --destination_kms_key per cambiare la chiave di una tabella protetta da Cloud KMS.

bq update --destination_kms_key \
projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key \
-t my_dataset.my_model

Scopri di più su come modificare la chiave in BigQuery.

Chiave Cloud KMS predefinita di progetto e set di dati

Gli utenti possono configurare chiavi Cloud KMS predefinite a livello di progetto e/o a livello di set di dati in BigQuery. In BigQuery ML, queste chiavi predefinite sono supportate anche durante la creazione dei modelli. Quando a un progetto è associata una chiave Cloud KMS predefinita, il modello creato all'interno di questo progetto viene automaticamente criptato dalla chiave predefinita. L'utente può anche specificare le proprie chiavi in opzioni di addestramento per criptare il modello. Lo stesso vale per il set di dati che ha una chiave predefinita.

Scopri di più sull'impostazione di una chiave predefinita del set di dati in BigQuery.

Altre funzioni di BigQuery ML

Tutte le altre funzioni di BigQuery ML, incluse quelle di valutazione (ML.EVALUATE, ML.ROC_CURVE, ML.CONFUSION_MATRIX), funzioni di previsione (ML.PREDICT), funzioni di ispezione di modelli e funzionalità (ML.TRAINING_INFO, ML.FEATURE_INFO, ML.WEIGHTS, ML.CENTROIDSè possibile utilizzare la crittografia con l'esigenza di utilizzare la crittografia]