Questo documento descrive come abilitare Model Armor per Gemini Enterprise. Model Armor è un Google Cloud servizio che migliora la sicurezza delle applicazioni di AI analizzando in modo proattivo i prompt e le risposte forniti dall'assistente Gemini Enterprise. In questo modo, aiuta a proteggere da vari rischi e garantisce pratiche di AI responsabile. Model Armor è supportato in tutte le versioni di Gemini Enterprise senza costi aggiuntivi.
Model Armor non rimuove né modifica le informazioni che consentono l'identificazione personale (PII) né maschera i dati sensibili. Tuttavia, Gemini Enterprise blocca qualsiasi risposta dell'assistente Gemini Enterprise che attiva i filtri di Sensitive Data Protection (SDP).
La risposta di Model Armor a potenziali problemi nelle query o nelle risposte degli utenti dell'assistente Gemini Enterprise è regolata dal tipo di applicazione forzata del modello. Per saperne di più, consulta Definire il tipo di applicazione forzata.
Se il tipo di applicazione forzata è Ispeziona e blocca, Gemini Enterprise blocca la richiesta e visualizza un messaggio di errore. Questo è il tipo di applicazione forzata predefinito quando crei un modello Model Armor utilizzando la console.
Se il tipo di applicazione forzata è Solo ispeziona, Gemini Enterprise non blocca le richieste o le risposte.
Quando il servizio di analisi di Model Armor non è disponibile, puoi configurare Gemini Enterprise in uno dei seguenti modi:
| Modalità | Descrizione |
|---|---|
| Consenti interazioni utente | In questa modalità, Gemini Enterprise consente il passaggio di richieste e risposte senza analisi proattiva quando il servizio di analisi di Model Armor non è disponibile, garantendo una comunicazione continua con l'utente finale. Tuttavia, questa operazione può occasionalmente esporre messaggi non analizzati o fornire risposte a query non analizzate. |
| Blocca tutte le interazioni utente | In questa modalità, quando il servizio di analisi di Model Armor non è disponibile, Gemini Enterprise blocca tutte le richieste e le risposte, incluse quelle legittime. |
Prima di iniziare
Assicurati di avere i ruoli richiesti assegnati a te e al account di servizio Gemini Enterprise:
Per abilitare Model Armor in Gemini Enterprise, devi disporre del ruolo Amministratore Gemini Enterprise (
roles/discoveryengine.agentspaceAdmin).Per creare i modelli Model Armor, devi disporre del ruolo Amministratore Model Armor (
roles/modelarmor.admin).Per chiamare le API Model Armor, devi disporre del ruolo Utente Model Armor (
roles/modelarmor.user).
Assicurati di aver creato un'app Gemini Enterprise. Per crearne una, consulta Creare un'app.
Creare un modello Model Armor
Puoi creare e utilizzare lo stesso modello Model Armor per i prompt e le risposte dell'assistente, oppure puoi creare due modelli Model Armor separati. Per saperne di più, consulta Creare un modello Model Armor template.
Quando crei un modello Model Armor per le app Gemini Enterprise, tieni presente queste configurazioni:
Seleziona Multi-regione nel campo Regioni. La tabella seguente mostra come mappare le regioni dei modelli Model Armor alle regioni delle app Gemini Enterprise:
Multi-regione dell'app Gemini Enterprise Multi-regione di Model Armor Globale - Stati Uniti (più regioni negli Stati Uniti)
- UE (più regioni nell'Unione Europea)
Stati Uniti (più regioni negli Stati Uniti) Stati Uniti (più regioni negli Stati Uniti) UE (più regioni nell'Unione Europea) UE (più regioni nell'Unione Europea) Google non consiglia di configurare la registrazione cloud nel modello Model Armor per le app Gemini Enterprise. Questa configurazione può esporre dati sensibili agli utenti con il ruolo IAM Visualizzatore log privati (
roles/logging.privateLogViewer). In alternativa, valuta le seguenti opzioni:Se devi registrare i dati che passano attraverso il modello Model Armor, puoi reindirizzare i log a uno spazio di archiviazione sicuro come BigQuery, che offre controlli di accesso più rigorosi. Per saperne di più, consulta Instradare i log verso destinazioni supportate.
Puoi configurare gli audit log dell'accesso ai dati per analizzare e generare report sui risultati dell'analisi delle richieste e delle risposte generate da Model Armor. Per saperne di più, consulta Configurare gli audit log.
Configurare l'app Gemini Enterprise con i modelli Model Armor
I passaggi seguenti descrivono come aggiungere i modelli Model Armor all'app Gemini Enterprise.
Console
Nella Google Cloud console, vai alla pagina Gemini Enterprise.
Fai clic sul nome dell'app che vuoi configurare.
Fai clic su Configurazioni > Assistente.
Per attivare Model Armor, fai clic su Abilita Model Armor.
Per Modello Model Armor per i prompt dell'utente e Modelli Model Armor per gli output di risposta, inserisci il Nome risorsa dei modelli Model Armor che hai creato.
Se vuoi bloccare le interazioni utente in caso di errori di elaborazione di Model Armor, fai clic sul pulsante di attivazione/disattivazione Consenti interazioni utente in caso di errore di elaborazione di Model Armor in modo che sia impostato su Off. Per saperne di più, consulta le due modalità supportate da Gemini Enterprise quando Model Armor non è disponibile.
Fai clic su Salva e pubblica.
REST
Per aggiungere i modelli Model Armor all'app Gemini Enterprise, esegui questo comando :
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID/assistants/default_assistant?update_mask=customerPolicy" \
-d '{
"customerPolicy": {
"modelArmorConfig": {
"userPromptTemplate": "QUERY_PROMPT_TEMPLATE",
"responseTemplate": "RESPONSE_PROMPT_TEMPLATE",
"failureMode": "FAIL_MODE"
}
}
}'
Sostituisci quanto segue:
PROJECT_ID: l'ID progetto.ENDPOINT_LOCATION: la multi-regione per la richiesta API. Specifica uno dei seguenti valori:usper la multi-regione Stati Unitieuper la multi-regione UEglobalper la località globale
LOCATION: la multi-regione del datastore:global,usoeuAPP_ID: l'ID dell'app che vuoi configurare.QUERY_PROMPT_TEMPLATE: il Nome risorsa dei modelli Model Armor che hai creato.
Per ottenere il Nome risorsa, segui i passaggi descritti nella documentazione Visualizzare un modello Model Armor, e copia il valore Nome risorsa.RESPONSE_PROMPT_TEMPLATE: il Nome risorsa dei modelli Model Armor che hai creato.FAIL_MODE: la modalità di funzionamento quando Model Armor non è disponibile:FAIL_CLOSEDoFAIL_OPEN.
SeFAIL_MODEnon è definito,FAIL_CLOSEè la modalità predefinita in cui tutte le interazioni con l'assistente Gemini Enterprise vengono bloccate in caso di errori di elaborazione di Model Armor. Per saperne di più, consulta le due modalità supportate da Gemini Enterprise quando Model Armor non è disponibile
Verificare se il modello Model Armor è abilitato
Dopo aver configurato il modello Model Armor, verifica se l'app Gemini Enterprise analizza e blocca in modo proattivo i prompt e le risposte dell'assistente Gemini Enterprise, in base ai livelli di attendibilità impostati nei filtri Model Armor.
Quando il modello Model Armor è configurato per Ispeziona e blocca le richieste che violano le norme, viene visualizzato il seguente messaggio di violazione delle norme:
Console
Ad esempio, viene visualizzato il messaggio di violazione delle norme:
REST
Una risposta JSON che include quanto segue:
answer.state = SKIPPED
answer.assist_skipped_reasons: [CUSTOMER_POLICY_VIOLATION]
Rimuovere i modelli Model Armor da un'app Gemini Enterprise
Per rimuovere i modelli Model Armor da un'app Gemini Enterprise, utilizza la Google Cloud console o l'API REST.
Console
Per rimuovere i modelli Model Armor dall'app Gemini Enterprise:
Nella Google Cloud console, vai alla pagina Gemini Enterprise.
Fai clic sul nome dell'app che vuoi configurare.
Fai clic su Configurazioni > Assistente.
Per disattivare Model Armor, fai clic sul pulsante di attivazione/disattivazione Abilita Model Armor in modo che sia impostato su Off.
Fai clic su Salva e pubblica.
REST
Per rimuovere i modelli Model Armor dall'app Gemini Enterprise, esegui questo comando:
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID/assistants/default_assistant?update_mask=customerPolicy" \
-d '{
"customerPolicy": {
"modelArmorConfig": {
}
}
}'
Sostituisci quanto segue:
PROJECT_ID: l'ID progetto.PROJECT_NUMBER: il numero del Google Cloud progetto.ENDPOINT_LOCATION: la multi-regione per la richiesta API. Specifica uno dei seguenti valori:usper la multi-regione Stati Unitieuper la multi-regione UEglobalper la località globale
LOCATION: la multi-regione del datastore:global,usoeu.APP_ID: l'ID dell'app che vuoi configurare.
Configurare gli audit log
Model Armor può scrivere audit log dell'accesso ai dati, che puoi utilizzare per analizzare e generare report sui risultati dell'analisi delle richieste e delle risposte generate da Model Armor. Questi log non contengono le query degli utenti o le risposte dell'assistente Gemini Enterprise, quindi sono sicuri per la generazione di report e l'analisi. Per saperne di più, consulta Audit logging per Model Armor.
Per accedere a questi log, devi disporre del
ruolo IAM Visualizzatore log privati
(roles/logging.privateLogViewer).
Abilitare gli audit log dell'accesso ai dati
Per abilitare gli audit log dell'accesso ai dati:
Nella Google Cloud console, vai a IAM e amministrazione > Audit log.
Seleziona API Model Armor.
Nella sezione Tipo di autorizzazione, seleziona il tipo di autorizzazione Lettura dati.
Fai clic su Salva.
Esaminare gli audit log dell'accesso ai dati
Per esaminare gli audit log dell'accesso ai dati:
Nella Google Cloud console, vai a Esplora log.
Cerca i seguenti nomi di metodi nei log:
methodName: "google.cloud.modelarmor.v1.ModelArmor.SanitizeUserPrompt"per visualizzare le richieste degli utenti analizzate.google.cloud.modelarmor.v1.ModelArmor.SanitizeModelResponseper visualizzare le risposte analizzate.
Considerazioni sull'utilizzo di Model Armor
Quando utilizzi Model Armor con Gemini Enterprise, tieni presente quanto segue:
| Token | I limiti dei token per le app Gemini Enterprise che utilizzano Model Armor sono determinati dai filtri specifici configurati in Model Armor. Per informazioni dettagliate su questi limiti, consulta i limiti dei token applicabili nella documentazione di Model Armor. |
|---|---|
| Accordo sul livello del servizio | Gemini Enterprise fornisce un accordo sul livello del servizio. Quando Gemini Enterprise è configurato per utilizzare Model Armor, le query bloccate non vengono conteggiate come violazioni dello SLA, indipendentemente dalla modalità fail-open o fail-closed utilizzata. |
| Conformità | Sia Gemini Enterprise che Model Armor offrono varie certificazioni di conformità. Se utilizzati insieme, le certificazioni di conformità effettive sono il sottoinsieme comune di entrambi i prodotti. Google consiglia di esaminare le certificazioni di conformità per entrambi i prodotti per assicurarsi che soddisfino i requisiti normativi. |
| Analisi dei documenti | Se un modello Model Armor è configurato per analizzare le richieste degli utenti, vengono analizzati anche i documenti inclusi nella richiesta. L' analisi viene eseguita quando aggiungi un documento alla richiesta. Se un documento viola le norme nel modello configurato, il documento viene eliminato e non viene incluso nella richiesta. Per l'elenco dei tipi di documenti supportati consulta Analisi dei documenti. |