安全和合规性功能

本页概述了 AML AI 支持的安全和合规性功能。

Identity and Access Management (IAM) - 借助 IAM，您可以授予对特定 AML AI 和 Google Cloud 资源的精细访问权限。IAM 还可帮助防止对其他资源的访问。

请参阅 AML AI 中的访问权限控制或 IAM 概览。

静态数据加密 - 借助客户管理的加密密钥 (CMEK)，您可以控制用于保护和加密 Google Cloud中静态数据的密钥。借助 AML AI，您可以通过 Cloud KMS 管理密钥，Cloud KMS 支持多种加密密钥存储选项。其中包括：

• 软件安全密钥
• 使用 Cloud HSM 的硬件支持安全密钥

详细了解 AML AI 中的静态加密。

传输中的数据加密 - 在 AML AI 端点内以及 AML AI 端点与您的网络之间传输的数据始终处于加密状态。 Google Cloud 详细了解 AML AI 中的传输加密或 Google Cloud 中的传输加密。

VPC Service Controls - VPC Service Controls 可提供与专用端点类似的保护级别。它在 IAM 之上增加了一层保护，可防止未经授权的网络和边界外的服务访问 Google 服务（包括 AML AI）。如需详细了解 AML AI 中的 VPC Service Controls，请参阅 VPC Service Controls 文档。

监控和日志记录 - 平台日志和（可选）审核日志可帮助您实时回答“哪些用户何时在何处执行过哪些操作？”这一问题， Google Cloud 并帮助您了解 AML AI 资源的使用情况。系统始终会收集平台日志，但您必须启用审核日志才能收集这些日志。模型监控是一个单独的主题，AML AI 提供工件来支持您的流程。

数据驻留 - 数据驻留可确保您的数据仅存储在您在创建 AML AI 实例时指定的区域中。AML AI 的实现遵循严格的数据驻留政策。请参阅 AML AI 中的数据驻留。

Access Transparency 日志 (AxT) - Access Transparency 日志会记录 Google 员工对您的 AML AI 资源执行的操作。如需了解详情，请参阅 AxT 概览，或参阅“特许访问”页面 Google Cloud，了解 Google 支持人员可能需要访问您的数据的原因。

数据删除 - 详细了解 Google 如何 Google Cloud 删除数据以及《云端数据处理附录》。

服务等级协议 (SLA) - AML AI 针对 AML AI 服务的可用性提供记录的 SLA。

灾难恢复 - AML AI 的输入和输出数据存储在 BigQuery 中，该服务提供了多种灾难恢复选项。AML AI 存储的数据（例如模型权重和元数据）不会公开导出或备份功能，并且仅限于特定区域。请参阅 AML AI 的灾难恢复页面。

地理位置弹性 - AML AI 支持区域部署，但不支持多区域部署。这意味着 AML AI 可以应对可用区服务中断，但无法应对区域服务中断。由于输入和输出数据位于 BigQuery 中，因此您可以使用 BigQuery 提供的一些选项来实现多区域地理位置弹性。