Proteggi i modelli con chiavi di crittografia gestite dal cliente
BigQuery ML supporta le chiavi di crittografia gestite dal cliente (CMEK). Oltre alla crittografia predefinita fornita da BigQuery, i clienti possono ora iniziare a utilizzare le proprie chiavi di Cloud Key Management Service per la crittografia dei modelli di machine learning. Supportiamo anche la crittografia dei modelli TensorFlow importati.
Scopri di più sulla protezione dei dati con le chiavi Cloud KMS in BigQuery.
Crea un modello criptato con una chiave Cloud KMS
Per creare un modello criptato, utilizza l'istruzione CREATE MODEL e specifica KMS_KEY_NAME tra le opzioni di addestramento, tra le altre.
CREATE MODEL my_dataset.my_model
OPTIONS(
model_type='linear_reg',
input_label_cols=['your_label'],
kms_key_name='projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key')
AS SELECT * FROM my_dataset.my_data
La stessa sintassi si applica anche all'importazione dei modelli di TensorFlow.
CREATE MODEL my_dataset.my_model
OPTIONS(
model_type='tensorflow',
path='gs://bucket/path/to/saved_model/*',
kms_key_name='projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key')
AS SELECT * FROM my_dataset.my_data
Limitazioni
Le chiavi di crittografia gestite dal cliente presentano le seguenti limitazioni durante la crittografia dei modelli di machine learning:
Le chiavi CMEK della regione
Globalnon sono supportate durante la creazione di modelli DNN, Wide-and-Deep, Autoencoder o albero potenziato.Le chiavi CMEK di
Globalregione e le chiavi CMEK a più regioni, ad esempioeuous, non sono supportate durante la creazione di modelli di AutoML Tables.
Determina se un modello è protetto da Cloud KMS
Quando un modello è protetto dalla chiave Cloud KMS, la chiave può essere visualizzata utilizzando il comando bq show. La chiave utilizzata per la crittografia è disponibile alla voce
kmsKeyName.
bq show -m my_dataset.my_model
Puoi anche utilizzare la console Google Cloud per scoprire la chiave Cloud KMS per un modello criptato. Scopri di più su come mostrare la chiave Cloud KMS in BigQuery.
Modifica la chiave Cloud KMS per un modello criptato
Utilizza il comando bq update con il flag --destination_kms_key per modificare la chiave per un modello protetto da Cloud KMS.
bq update --destination_kms_key \
projects/my_project/locations/my_location/keyRings/my_ring/cryptoKeys/my_key \
-t my_dataset.my_model
Scopri di più su come modificare una chiave di crittografia in BigQuery.
Chiave Cloud KMS predefinita di progetto e set di dati
Gli utenti possono configurare chiavi Cloud KMS predefinite a livello di progetto e/o di set di dati in BigQuery. In BigQuery ML, queste chiavi predefinite sono supportate anche durante la creazione di modelli. Quando un progetto dispone di una chiave Cloud KMS predefinita, il modello creato in questo progetto viene criptato automaticamente dalla chiave predefinita. L'utente può anche specificare le proprie chiavi nelle opzioni di addestramento per criptare il modello. Lo stesso vale per il set di dati che ha una chiave predefinita.
Scopri di più sull'impostazione di una chiave predefinita di set di dati in BigQuery.
Altre funzioni BigQuery ML
Tutte le altre funzioni BigQuery, incluse le funzioni di valutazione
(ML.EVALUATE,
ML.ROC_CURVE,
ML.CONFUSION_MATRIX),
le funzioni di previsione (ML.PREDICT),
le funzioni di ispezione di modelli e caratteristiche
(ML.TRAINING_INFO,
ML.FEATURE_INFO,
ML.WEIGHTS,
ML.CENTROIDS e i dettagli sulla versione devono essere