Configurar o armazenamento de metadados do projeto

Com o Vertex ML Metadata, é possível rastrear e analisar os metadados produzidos pelos fluxos de trabalho de machine learning (ML). Na primeira vez que você executa um PipelineJob ou cria um experimento no SDK do Vertex, a Vertex AI cria o MetadataStore do seu projeto.

Se você quiser que seus metadados sejam criptografados usando uma chave de criptografia gerenciada pelo cliente (CMEK, na sigla em inglês), crie seu armazenamento de metadados usando uma CMEK antes de usar o Vertex ML Metadata para rastrear ou analisar metadados.

Após a criação do armazenamento de metadados, a chave de CMEK usada pelo armazenamento de metadados é independente da chave de CMEK usada por processos que registram metadados, como uma execução de pipeline.

Criar um armazenamento de metadados que use uma CMEK

Use as instruções a seguir para criar uma CMEK e configurar um armazenamento de metadados do Vertex ML Metadata que usa essa CMEK.

1. Use o Cloud Key Management Service para configurar uma chave de criptografia gerenciada pelo cliente.

2. Use a seguinte chamada REST para criar o armazenamento de metadados padrão do projeto usando a CMEK.

   Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

   • LOCATION_ID: sua região.
   • PROJECT_ID: o ID do projeto.
   • KEY_RING: o nome do keyring do Cloud Key Management Service em que a chave de criptografia está ativada.
   • KEY_NAME: o nome da chave de criptografia que você quer usar nesse armazenamento de metadados.

   Método HTTP e URL:

   POST http://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default

   Corpo JSON da solicitação:

   {
     "encryption_spec": {
       "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
     },
   }
   

   Para enviar a solicitação, expanda uma destas opções:

   curl (Linux, macOS ou Cloud Shell)

   Salve o corpo da solicitação em um arquivo chamado request.json. Execute o comando a seguir no terminal para criar ou substituir esse arquivo no diretório atual:

   cat > request.json << 'EOF'
   {
     "encryption_spec": {
       "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
     },
   }
   EOF

   Depois execute o comando a seguir para enviar a solicitação REST:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "http://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default"

   PowerShell (Windows)

   Salve o corpo da solicitação em um arquivo chamado request.json. Execute o comando a seguir no terminal para criar ou substituir esse arquivo no diretório atual:

   @'
   {
     "encryption_spec": {
       "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
     },
   }
   '@  | Out-File -FilePath request.json -Encoding utf8

   Depois execute o comando a seguir para enviar a solicitação REST:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "http://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default" | Select-Object -Expand Content

   Você receberá uma resposta JSON semelhante a esta:

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATIONS_ID",
     "metadata": {
       "@type": "type.googleapis.com/google.cloud.aiplatform.v1.CreateMetadataStoreOperationMetadata",
       "genericMetadata": {
         "createTime": "2021-05-18T18:47:14.494997Z",
         "updateTime": "2021-05-18T18:47:14.494997Z"
       }
     }
   }