Ativar o Model Armor no Gemini Enterprise

Este documento descreve como ativar o Model Armor para o Gemini Enterprise. O Model Armor é um Google Cloud serviço que aumenta a segurança dos seus aplicativos de IA, analisando de forma proativa os comandos e as respostas fornecidas pelo assistente do Gemini Enterprise. Isso ajuda a proteger contra vários riscos e garante práticas de IA responsável. O Model Armor é compatível com todas as edições do Gemini Enterprise sem custo adicional.

O Model Armor não remove nem altera informações de identificação pessoal (PII) nem mascara dados sensíveis. No entanto, o Gemini Enterprise bloqueia qualquer resposta do assistente do Gemini Enterprise que acione filtros da Proteção de dados sensíveis (SDP).

A resposta do Model Armor a possíveis problemas em consultas ou respostas de usuários do assistente do Gemini Enterprise é regida pelo tipo de aplicação do modelo. Para mais informações, consulte Definir o tipo de aplicação.

  • Se o tipo de aplicação for Inspecionar e bloquear, o Gemini Enterprise vai bloquear a solicitação e mostrar uma mensagem de erro. Esse é o tipo de aplicação padrão ao criar um modelo do Model Armor usando o console.

  • Se o tipo de aplicação for Somente inspecionar, o Gemini Enterprise não vai bloquear as solicitações ou respostas.

Quando o serviço de análise do Model Armor não estiver disponível, você poderá configurar o Gemini Enterprise para se comportar de uma das seguintes maneiras:

Modo Descrição
Permitir as interações do usuário Nesse modo, o Gemini Enterprise permite que solicitações e respostas passem sem análise proativa quando o serviço de análise do Model Armor não está disponível, garantindo a comunicação contínua com o usuário final. No entanto, isso pode expor mensagens não analisadas ou fornecer respostas a consultas não analisadas.
Bloquear todas as interações do usuário Nesse modo, quando o serviço de análise do Model Armor não está disponível, o Gemini Enterprise bloqueia todas as solicitações e respostas, incluindo as legítimas.

Antes de começar

Criar um modelo do Model Armor

É possível criar e usar o mesmo modelo do Model Armor para comandos e respostas do usuário do assistente ou criar dois modelos separados do Model Armor. Para mais informações, consulte Criar um modelo do Model Armor.

Ao criar um modelo do Model Armor para apps do Gemini Enterprise, considere estas configurações:

  • Selecione Multirregião no campo Regiões. A tabela a seguir mostra como mapear regiões de modelo do Model Armor para regiões de app do Gemini Enterprise:

    Multirregião do app do Gemini Enterprise Multirregião do Model Armor
    Global
    • EUA (várias regiões nos Estados Unidos)
    • UE (várias regiões na União Europeia)
    EUA (várias regiões nos Estados Unidos) EUA (várias regiões nos Estados Unidos)
    UE (várias regiões na União Europeia) UE (várias regiões na União Europeia)

  • O Google não recomenda configurar o Cloud Logging no modelo do Model Armor para apps do Gemini Enterprise. Essa configuração pode expor dados sensíveis a usuários com o papel do IAM Visualizador de registros privados (roles/logging.privateLogViewer). Em vez disso, considere as seguintes opções:

    • Se você precisar registrar os dados que passam pelo modelo do Model Armor, poderá redirecionar os registros para um armazenamento seguro, como o BigQuery, que oferece controles de acesso mais rigorosos. Para mais informações, consulte Rotear registros para destinos compatíveis.

    • É possível configurar os registros de auditoria de acesso a dados para analisar e gerar relatórios sobre os vereditos de análise de solicitação e resposta gerados pelo Model Armor. Para mais informações, consulte Configurar registros de auditoria.

Configurar o app do Gemini Enterprise com os modelos do Model Armor

As etapas a seguir descrevem como adicionar os modelos do Model Armor ao app do Gemini Enterprise.

Console

  1. No Google Cloud console, acesse a página Gemini Enterprise.

    Gemini Enterprise

  2. Clique no nome do app que você quer configurar.

  3. Clique em Configurações > Assistente.

  4. Para ativar o Model Armor, clique em Ativar o Model Armor.

  5. Para Modelo do Model Armor para comandos do usuário e Modelos do Model Armor para saídas de resposta, insira o Nome do recurso dos modelos do Model Armor que você criou.

  6. Se você quiser bloquear as interações do usuário durante falhas no processamento do Model Armor, clique no botão Permitir interações do usuário durante falha no processamento do Model Armor para a posição desativada. Para mais informações, consulte os dois modos compatíveis com o Gemini Enterprise quando o Model Armor não está disponível.

  7. Clique em Salvar e publicar.

REST

Para adicionar os modelos do Model Armor ao app do Gemini Enterprise, execute o seguinte comando :

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID/assistants/default_assistant?update_mask=customerPolicy" \
-d '{
  "customerPolicy": {
    "modelArmorConfig": {
      "userPromptTemplate": "QUERY_PROMPT_TEMPLATE",
      "responseTemplate": "RESPONSE_PROMPT_TEMPLATE",
      "failureMode": "FAIL_MODE"
    }
  }
}'

Substitua:

  • PROJECT_ID: ID do projeto.
  • ENDPOINT_LOCATION: a multirregião da sua solicitação de API. Especifique um dos seguintes valores:
    • us para a multirregião dos EUA
    • eu para a multirregião da UE
    • global para o local global
    Para mais informações, consulte Especificar uma multirregião para seu repositório de dados.
  • LOCATION: a multirregião do seu repositório de dados: global, us ou eu
  • APP_ID: o ID do app que você quer configurar.
  • QUERY_PROMPT_TEMPLATE: o Nome do recurso dos modelos do Model Armor que você criou.
    Para acessar o Nome do recurso, siga as etapas na documentação Visualizar um modelo do Model Armore copie o valor do Nome do recurso.
  • RESPONSE_PROMPT_TEMPLATE: o Nome do recurso dos modelos do Model Armor que você criou.
  • FAIL_MODE: o modo de operação quando o Model Armor não está disponível: FAIL_CLOSED ou FAIL_OPEN.
    Se o FAIL_MODE não estiver definido, FAIL_CLOSE será o modo padrão em que todas as interações com o assistente do Gemini Enterprise serão bloqueadas quando houver falhas no processamento do Model Armor. Para mais informações, consulte os dois modos compatíveis com o Gemini Enterprise quando o Model Armor não está disponível

Testar se o modelo do Model Armor está ativado

Depois de configurar o modelo do Model Armor, teste se o app do Gemini Enterprise analisa e bloqueia de forma proativa os comandos e as respostas do usuário do assistente do Gemini Enterprise, de acordo com os níveis de confiança definidos nos filtros do Model Armor.

Quando o modelo do Model Armor está configurado para Inspecionar e bloquear solicitações que violam a política, a seguinte mensagem de violação de política é mostrada:

Console

Por exemplo, você vê a mensagem de violação de política:
Mostra a mensagem que um usuário recebe quando viola o modelo de proteção ativado para o app.
Mensagem de violação de política do Model Armor

REST

Uma resposta JSON que inclui o seguinte:

answer.state = SKIPPED
answer.assist_skipped_reasons: [CUSTOMER_POLICY_VIOLATION]

Remover os modelos do Model Armor de um app do Gemini Enterprise

Para remover os modelos do Model Armor de um app do Gemini Enterprise, use o Google Cloud console ou a API REST.

Console

Para remover os modelos do Model Armor do app do Gemini Enterprise, siga estas etapas:

  1. No Google Cloud console, acesse a página Gemini Enterprise.

    Gemini Enterprise

  2. Clique no nome do app que você quer configurar.

  3. Clique em Configurações > Assistente.

  4. Para desativar o Model Armor, clique no botão Ativar o Model Armor para a posição desativada.

  5. Clique em Salvar e publicar.

REST

Para remover os modelos do Model Armor do app do Gemini Enterprise, execute o seguinte comando:

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID/assistants/default_assistant?update_mask=customerPolicy" \
-d '{
  "customerPolicy": {
    "modelArmorConfig": {
    }
  }
}'

Substitua:

  • PROJECT_ID: ID do projeto.
  • PROJECT_NUMBER: o número do Google Cloud projeto.
  • ENDPOINT_LOCATION: a multirregião da sua solicitação de API. Especifique um dos seguintes valores:
    • us para a multirregião dos EUA
    • eu para a multirregião da UE
    • global para o local global
    Para mais informações, consulte Especificar uma multirregião para seu repositório de dados.
  • LOCATION: a multirregião do seu repositório de dados: global, us ou eu.
  • APP_ID: o ID do app que você quer configurar.

Configurar registros de auditoria

O Model Armor pode gravar registros de auditoria de acesso a dados, que podem ser usados para analisar e gerar relatórios sobre os vereditos de análise de solicitação e resposta gerados pelo Model Armor. Esses registros não contêm as consultas ou respostas do usuário do assistente do Gemini Enterprise, portanto, são seguros para relatórios e análises. Para mais informações, consulte Registro de auditoria do Model Armor.

Para acessar esses registros, é necessário ter o papel do IAM Visualizador de registros privados (roles/logging.privateLogViewer).

Ativar registros de auditoria de acesso a dados

Para ativar os registros de auditoria de acesso a dados, siga estas etapas:

  1. No Google Cloud console, acesse IAM e administrador > Registros de auditoria.

  2. Selecione a API Model Armor.

  3. Na seção Tipo de permissão, selecione o tipo de permissão Leitura de dados.

  4. Clique em Salvar.

Examinar registros de auditoria de acesso a dados

Para examinar os registros de auditoria de acesso a dados, siga estas etapas:

  1. No Google Cloud console do, acesse a Análise de registros.

  2. Pesquise os registros para os seguintes nomes de método:

    • methodName: "google.cloud.modelarmor.v1.ModelArmor.SanitizeUserPrompt" para visualizar as solicitações do usuário que foram analisadas.

    • google.cloud.modelarmor.v1.ModelArmor.SanitizeModelResponse para visualizar as respostas que foram analisadas.

Considerações ao usar o Model Armor

Ao usar o Model Armor com o Gemini Enterprise, considere o seguinte:

Tokens Os limites de token para apps do Gemini Enterprise que usam o Model Armor são determinados pelos filtros específicos configurados no Model Armor. Para informações detalhadas sobre esses limites, consulte os limites de token aplicáveis na documentação do Model Armor.
Contrato de nível de serviço O Gemini Enterprise oferece um contrato de nível de serviço. Quando o Gemini Enterprise está configurado para usar o Model Armor, as consultas bloqueadas não são consideradas violações de SLA, independentemente de o fail-open ou fail-closed modo ser usado.
Compliance O Gemini Enterprise e o Model Armor oferecem várias certificações de compliance Quando usados juntos, as certificações de compliance eficazes são o subconjunto comum de ambos os produtos. O Google recomenda revisar as certificações de compliance dos dois produtos para garantir que elas atendam aos seus requisitos regulatórios.
Análise de documentos Se um modelo do Model Armor estiver configurado para analisar solicitações do usuário, os documentos incluídos na solicitação serão analisados. A análise acontece quando você adiciona um documento à solicitação. Se um documento violar as políticas no modelo configurado, ele será descartado e não será incluído na solicitação. Para conferir a lista de tipos de documentos compatíveis, consulte Análise de documentos.