本页概述了 AML AI 支持的安全和合规性功能。
Identity and Access Management (IAM) - 借助 IAM,您可以授予对特定 AML AI 和 Google Cloud 资源的精细访问权限。IAM 还可帮助防止对其他资源的访问。
请参阅 AML AI 中的访问权限控制或 IAM 概览。
静态数据加密 - 借助客户管理的加密密钥 (CMEK),您可以控制用于保护和加密 Google Cloud中静态数据的密钥。借助 AML AI,您可以通过 Cloud KMS 管理密钥,Cloud KMS 支持多种加密密钥存储选项。其中包括:
- 软件安全密钥
- 使用 Cloud HSM 的硬件支持安全密钥
详细了解 AML AI 中的静态加密。
传输中的数据加密 - 在 AML AI 端点内以及 AML AI 端点与您的网络之间传输的数据始终处于加密状态。 Google Cloud 详细了解 AML AI 中的传输加密或 Google Cloud 中的传输加密。
VPC Service Controls - VPC Service Controls 可提供与专用端点类似的保护级别。它在 IAM 之上增加了一层保护,可防止未经授权的网络和边界外的服务访问 Google 服务(包括 AML AI)。如需详细了解 AML AI 中的 VPC Service Controls,请参阅 VPC Service Controls 文档。
监控和日志记录 - 平台日志和(可选)审核日志可帮助您实时回答“哪些用户何时在何处执行过哪些操作?”这一问题, Google Cloud 并帮助您了解 AML AI 资源的使用情况。系统始终会收集平台日志,但您必须启用审核日志才能收集这些日志。模型监控是一个单独的主题,AML AI 提供工件来支持您的流程。
数据驻留 - 数据驻留可确保您的数据仅存储在您在创建 AML AI 实例时指定的区域中。AML AI 的实现遵循严格的数据驻留政策。请参阅 AML AI 中的数据驻留。
Access Transparency 日志 (AxT) - Access Transparency 日志会记录 Google 员工对您的 AML AI 资源执行的操作。如需了解详情,请参阅 AxT 概览,或参阅“特许访问”页面 Google Cloud,了解 Google 支持人员可能需要访问您的数据的原因。
数据删除 - 详细了解 Google 如何 Google Cloud 删除数据以及《云端数据处理附录》。
服务等级协议 (SLA) - AML AI 针对 AML AI 服务的可用性提供记录的 SLA。
灾难恢复 - AML AI 的输入和输出数据存储在 BigQuery 中,该服务提供了多种灾难恢复选项。AML AI 存储的数据(例如模型权重和元数据)不会公开导出或备份功能,并且仅限于特定区域。请参阅 AML AI 的灾难恢复页面。
地理位置弹性 - AML AI 支持区域部署,但不支持多区域部署。这意味着 AML AI 可以应对可用区服务中断,但无法应对区域服务中断。由于输入和输出数据位于 BigQuery 中,因此您可以使用 BigQuery 提供的一些选项来实现多区域地理位置弹性。