Modelle mit vom Kunden verwalteten Verschlüsselungsschlüsseln schützen
BigQuery ML unterstützt vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK). Neben der von BigQuery bereitgestellten Standardverschlüsselung können Kunden jetzt auch ihre eigenen Cloud Key Management Service-Schlüssel für die Verschlüsselung von ML-Modellen verwenden. Es wird außerdem die Verschlüsselung importierter TensorFlow-Modelle unterstützt.
Weitere Informationen finden Sie unter Daten mit Cloud KMS-Schlüsseln in BigQuery schützen.
Verschlüsseltes Modell mit einem Cloud KMS-Schlüssel erstellen
Verwenden Sie zum Erstellen eines verschlüsselten Modells die Anweisung CREATE MODEL und legen Sie unter anderem KMS_KEY_NAME in den Trainingsoptionen fest.
CREATE MODEL my_dataset.my_model
OPTIONS(
model_type='linear_reg',
input_label_cols=['your_label'],
kms_key_name='projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key')
AS SELECT * FROM my_dataset.my_data
Dieselbe Syntax gilt auch für den Import von TensorFlow-Modellen.
CREATE MODEL my_dataset.my_model
OPTIONS(
model_type='tensorflow',
path='gs://bucket/path/to/saved_model/*',
kms_key_name='projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key')
AS SELECT * FROM my_dataset.my_data
Beschränkungen
Für vom Kunden verwaltete Verschlüsselungsschlüssel gelten beim Verschlüsseln von Modellen für maschinelles Lernen folgende Einschränkungen:
CMEK-Schlüssel der Region
Globalwerden beim Erstellen von DNN-, Wide and Deep-, Autoencoder- oder Boosted Tree-Modellen nicht unterstützt.Globalregionale CMEK-Schlüssel und multiregionale CMEK-Schlüssel wieeuoderuswerden beim Erstellen von AutoML Tables-Modellen nicht unterstützt.
Ermitteln, ob ein Modell durch Cloud KMS geschützt ist
Wenn ein Modell durch einen Cloud KMS-Schlüssel geschützt ist, kann der Schlüssel mit dem Befehl bq show angezeigt werden. Der für die Verschlüsselung verwendete Schlüssel befindet sich unter kmsKeyName.
bq show -m my_dataset.my_model
Sie können den Google Cloud KMS-Schlüssel für ein verschlüsseltes Modell auch in der Google Cloud Console ermitteln. Weitere Informationen zum Anzeigen von Cloud KMS-Schlüsseln in BigQuery finden Sie hier.
Cloud KMS-Schlüssel für ein verschlüsseltes Modell ändern
Verwenden Sie den Befehl bq update mit dem Flag --destination_kms_key, um den Schlüssel für ein durch Cloud KMS geschütztes Modell zu ändern.
bq update --destination_kms_key \
projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key \
-t my_dataset.my_model
Weitere Informationen zum Ändern eines Verschlüsselungsschlüssels in BigQuery
Standardmäßiger Cloud KMS-Schlüssel für Projekt und Dataset
Nutzer können Standard-Cloud-KMS-Schlüssel auf Projektebene und/oder Dataset-Ebene in BigQuery einrichten. Diese Standardschlüssel werden in BigQuery ML auch beim Erstellen von Modellen unterstützt. Wenn ein Projekt über einen Cloud KMS-Standardschlüssel verfügt, wird das in diesem Projekt erstellte Modell automatisch mit dem Standardschlüssel verschlüsselt. Der Nutzer kann auch seine eigenen Schlüssel in den Trainingsoptionen angeben, um das Modell zu verschlüsseln. Dasselbe gilt für ein Dataset mit einem Standardschlüssel.
Weitere Informationen finden Sie unter Festlegen eines Dataset-Standardschlüssels in BigQuery.
Weitere BigQuery ML-Funktionen
Alle weiteren BigQuery-Funktionen, einschließlich der Bewertungsfunktionen
(ML.EVALUATE,
ML.ROC_CURVE,
ML.CONFUSION_MATRIX),
Vorhersagefunktionen (ML.PREDICT),
Funktionen zur Modell- und Funktionsinspektion
(ML.TRAINING_INFO,
ML.FEATURE_INFO,
ML.WEIGHTS,
ML.CENTROIDS),
können mit einem verschlüsselten Modell verwendet werden, ohne dass der Verschlüsselungsschlüssel angegeben werden muss.