Configurar el almacén de metadatos de un proyecto

Vertex ML Metadata te permite monitorizar y analizar los metadatos generados por tus flujos de trabajo de aprendizaje automático. La primera vez que ejecutas un PipelineJob o creas un experimento en el SDK de Vertex, Vertex AI crea el MetadataStore de tu proyecto.

Si quieres que tus metadatos se cifren con una clave de cifrado gestionada por el cliente (CMEK), debes crear tu almacén de metadatos con una CMEK antes de usar Vertex ML Metadata para monitorizar o analizar metadatos.

Una vez creado el almacén de metadatos, la clave CMEK que utiliza es independiente de la clave CMEK que usan los procesos que registran metadatos (por ejemplo, una ejecución de una canalización).

Crear un almacén de metadatos que use una clave CMEK

Sigue estas instrucciones para crear una CMEK y configurar un almacén de metadatos de Vertex ML Metadata que la use.

1. Usa Cloud Key Management Service para configurar una clave de cifrado gestionada por el cliente.

2. Usa la siguiente llamada REST para crear el almacén de metadatos predeterminado de tu proyecto con tu CMEK.

   Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

   • LOCATION_ID: tu región.
   • PROJECT_ID: tu ID de proyecto.
   • KEY_RING: nombre del conjunto de claves de Cloud Key Management Service en el que se encuentra tu clave de cifrado.
   • KEY_NAME: Nombre de la clave de cifrado que quieres usar en este almacén de metadatos.

   Método HTTP y URL:

   POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default

   Cuerpo JSON de la solicitud:

   {
     "encryption_spec": {
       "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
     },
   }
   

   Para enviar tu solicitud, despliega una de estas opciones:

   curl (Linux, macOS o Cloud Shell)

   Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el siguiente comando en el terminal para crear o sobrescribir este archivo en el directorio actual:

   cat > request.json << 'EOF'
   {
     "encryption_spec": {
       "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
     },
   }
   EOF

   A continuación, ejecuta el siguiente comando para enviar tu solicitud REST:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default"

   PowerShell (Windows)

   Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el siguiente comando en el terminal para crear o sobrescribir este archivo en el directorio actual:

   @'
   {
     "encryption_spec": {
       "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
     },
   }
   '@  | Out-File -FilePath request.json -Encoding utf8

   A continuación, ejecuta el siguiente comando para enviar tu solicitud REST:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default" | Select-Object -Expand Content

   Deberías recibir una respuesta JSON similar a la siguiente:

   {
     "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATIONS_ID",
     "metadata": {
       "@type": "type.googleapis.com/google.cloud.aiplatform.v1.CreateMetadataStoreOperationMetadata",
       "genericMetadata": {
         "createTime": "2021-05-18T18:47:14.494997Z",
         "updateTime": "2021-05-18T18:47:14.494997Z"
       }
     }
   }