生成式 AI 用途的 BigQuery 控制項

本文提供 BigQuery 最佳做法和指南,適用於在 Google Cloud上執行生成式 AI 工作負載的情況。您可以搭配使用 BigQuery 和 Vertex AI 來儲存資料。搭配使用 BigQuery 和 Vertex AI 可簡化資料存取作業、進行可擴充的分析,以及使用機器學習功能,大幅提升機器學習工作流程的效率。

以下是搭配使用 BigQuery 與 Vertex AI 的實例:

  • 完美整合:BigQuery 和 Vertex AI 緊密整合,可讓您直接在 Vertex AI 平台中存取及分析資料。這項整合功能可免除資料移動需求、簡化機器學習工作流程,並減少阻礙。
  • 可擴充的資料分析:BigQuery 提供 PB 規模的資料倉儲,可讓您分析龐大的資料集,不用擔心基礎架構限制。如要訓練及部署需要大量資料的機器學習模型,這種可擴充性至關重要。
  • 以 SQL 為基礎的機器學習:BigQuery ML 可讓您使用熟悉的 SQL 指令,直接在 BigQuery 中訓練及部署模型。資料分析師和 SQL 從業人員無須具備進階程式設計技能,即可使用機器學習功能。
  • 線上和批次預測:BigQuery ML 支援線上和批次預測。您可以針對個別資料列執行即時預測,或在批次模式下為大型資料集產生預測結果。這項彈性可滿足各種用途的延遲需求。
  • 減少資料移動:使用 BigQuery ML 時,您無須將資料移至獨立的儲存空間或運算資源,即可訓練及部署模型。減少資料移動可簡化工作流程、縮短延遲時間,並盡量降低資料傳輸相關成本。
  • 模型監控:Vertex AI 提供完善的模型監控功能,可追蹤 BigQuery ML 模型的效能、公平性和可解釋性。模型監控功能可協助您確保模型運作正常,並解決潛在問題。
  • 預先訓練模型:Vertex AI 提供預先訓練模型,包括自然語言處理和電腦視覺模型。您可以在 BigQuery 中使用這些模型進一步分析,並從資料中擷取更深入的洞察資訊。
  • 經濟實惠的解決方案:BigQuery ML 提供經濟實惠且具彈性的方式,可訓練及部署機器學習模型。您只需依照自己使用的資源付費,因此適合各種規模的組織。
  • 進階分析功能:BigQuery 提供進階分析工具,包括地理空間分析和預測。這些工具可讓您結合機器學習和其他分析技術,深入探索資料並取得更豐富的洞察資訊。
  • 提升協作效率:將 BigQuery 與 Vertex AI 搭配使用,資料科學家、機器學習工程師和分析師就能順利協作處理機器學習專案。這項合作有助於建立整合性更高且有效率的方法,解決複雜的資料問題。

必要的 BigQuery 控制項

使用 BigQuery 時,強烈建議您採用下列控制項。

確保 BigQuery 資料集未設為可公開讀取,也不會設為 allAuthenticatedUsers

Google 控制項 ID BQ-CO-6.1
類別 必要
說明

只允許特定使用者存取 BigQuery 資料集中的資訊。如要設定這項保護措施,請務必設定詳細角色。
適用產品
  • 組織政策服務
  • BigQuery
  • Identity and Access Management (IAM)
路徑 cloudasset.assets/assetType
運算子 ==
  • bigquery.googleapis.com/Dataset
類型 字串
相關的 NIST-800-53 控制項
  • AC-3
  • AC-12
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
相關資訊

確保 BigQuery 資料表未設為可公開讀取,也不會設為 allAuthenticatedUsers

Google 控制項 ID BQ-CO-6.2
類別 必要
說明

只允許特定使用者可以存取 BigQuery 資料表中的資訊。如要設定這項保護措施,請務必設定詳細角色。
適用產品
  • Identity and Access Management (IAM)
  • BigQuery
路徑 cloudasset.assets/iamPolicy.bindings.members
運算子 anyof
  • allUsers
  • allAuthenticatedUsers
類型 字串
相關的 NIST-800-53 控制項
  • AC-3
  • AC-12
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
相關資訊

選用的 BigQuery 控制項

這些控制項為選用項目。如果這些控制項適用於您的特定用途,不妨強制執行。

加密 BigQuery 資料表中的個別值

Google 控制項 ID BQ-CO-6.3
類別 選用
說明

如果貴組織規定必須加密 BigQuery 資料表中的個別值,請使用「附帶相關資料的驗證加密」(AEAD) 加密函式。
適用產品
  • BigQuery
相關的 NIST-800-53 控制項
  • SC-13
相關的 CRI 設定檔控制項
  • PR.DS-5.1
相關資訊

使用 BigQuery 資料集的授權 view

Google 控制項 ID BQ-CO-6.4
類別 選用
說明

授權 view 可讓您與特定使用者分享資料集中的部分資料。舉例來說,授權 view 可讓您與特定使用者和群組分享查詢結果,無須授予他們基礎來源資料的存取權。
適用產品
  • BigQuery
相關的 NIST-800-53 控制項
  • AC-3
  • AC-12
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
相關資訊

使用 BigQuery 資料欄層級安全防護機制

Google 控制項 ID BQ-CO-6.5
類別 選用
說明

您可以使用 BigQuery 資料欄層級的安全防護機制來建立政策,以便在執行查詢當下檢查使用者是否具備適當存取權。BigQuery 透過資料的政策標記 (或依據類型的分類方式),對機密資料欄提供精細的存取權限。
適用產品
  • BigQuery
相關的 NIST-800-53 控制項
  • AC-3
  • AC-12
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
相關資訊

使用 BigQuery 資料列層級安全防護機制

Google 控制項 ID BQ-CO-6.6
類別 選用
說明

使用資料列層級安全防護機制和存取權政策,對 BigQuery 資料表中的部分資料啟用精細的存取控管。
適用產品
  • BigQuery
相關的 NIST-800-53 控制項
  • AC-3
  • AC-12
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
相關資訊

使用 BigQuery 資源圖表

Google 控制項 ID BQ-CO-7.1
類別 選用
說明

BigQuery 資源圖表可讓 BigQuery 管理員觀察組織、資料夾或預留項目如何使用 BigQuery 運算單元,以及查詢的執行情況。
適用產品
  • BigQuery
相關的 NIST-800-53 控制項
  • AC-3
  • AC-12
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
相關資訊

後續步驟