הנחיות לפריסה של Gemini for Government

במסמך הזה מופיעות הנחיות טכניות לסוכנויות פדרליות בארה"ב ולמחלקות של משרד ההגנה (DoD) בנושא פריסה ושימוש ב-Gemini for Government בהתאם לדרישות של FedRAMP High ושל רמת ההשפעה 4 (IL4) של משרד ההגנה. במסמך הזה מתואר אילו שירותים ותכונות כלולים בגבולות ההרשאה, ומוסבר איך לעמוד בחובות התאימות.

‫Gemini for Government משתמש ב-Assured Workloads כדי לעזור לעמוד בדרישות התאימות. צריך לפרוס את כל המשאבים של Gemini for Government בתיקייה של Assured Workloads שהוגדרה בהתאם לכללי התאימות הספציפיים שלכם (FedRAMP High או IL4).

יחסי תלות במוצר הליבה

‫Gemini for Government מסתמך על כמהGoogle Cloud שירותים. בטבלה הבאה מפורט סטטוס התאימות של כל שירות.

שירותים ותכונות מורשים

בטבלה הבאה מפורטים השירותים והתכונות שבהם אפשר להשתמש ב-Gemini for Government עבור פריסות FedRAMP High ו-IL4.

תכונות לא מורשות שצריך להשבית באופן ידני

השירותים והתכונות הבאים לא קיבלו אישור FedRAMP High או IL4. עם זאת, הם לא נחסמים על ידי חבילות הבקרה של Assured Workloads והם זמינים בפרויקט. כחלק מהערכת הסיכונים, יכול להיות שתצטרכו להעריך את השימוש בשירות ביחס למידע אישי רגיש ולכל אמצעי הבקרה הזמינים לכם לצמצום הסיכונים. יכול להיות שתצטרכו להשבית ידנית את התכונות שמופיעות ברשימה הזו בהגדרות של אפליקציית Gemini Enterprise, בהתאם להערכה שלכם.

מידע נוסף על שמירה במטמון של הקשר משתמע זמין במאמר בנושא Gemini Enterprise Agent Platform ושמירת נתונים למשך אפס ימים.

תכונות לא מורשות שאי אפשר להשבית

השירותים והתכונות הבאים זמינים בחבילת הבקרה Assured Workloads. אי אפשר להשבית אותם. אם אתם משתמשים בתכונות האלה, מומלץ לבצע הערכת סיכונים מתאימה לפני שתעניקו הרשאה כדי לוודא שהשימוש בשירות מתאים לפריסה של FedRAMP High או IL4. לדוגמה, אתם יכולים להעריך את השימוש בשירות ביחס לרגישות הנתונים. אתם יכולים גם לבדוק אם יש לכם אמצעי בקרה להפחתת הסיכון שמבוססים על הצפנת נתונים, כדי להשיג שליטה בלעדית בגישה לנתונים.

פריסת הסביבה

כדי לקבל עזרה בפריסת סביבה שעומדת בדרישות התאימות, פועלים לפי השלבים הבאים:

1. פריסת Assured Workloads:
   1. יוצרים תיקייה ב-Assured Workloads שמשתמשת ב-Data Boundary ל-FedRAMP High או ב-Data Boundary ל-IL4.
   2. יוצרים את Google Cloud הפרויקטבתוך התיקייה הזו.
   3. מוודאים שלכל המשתמשים וחשבונות השירות יש את ההרשאות הנדרשות לניהול זהויות והרשאות גישה (IAM).
2. מגדירים את הרשת בהתאם ל-FedRAMP High או ל-IL4. מידע נוסף זמין במאמר הגדרת רשת ל-FedRAMP ול-DoD ב- Google Cloud.
3. יוצרים אפליקציית Gemini Enterprise. בוחרים באפשרות ארה"ב – אזורים מרובים כמיקום. מדיניות שמירת הנתונים של Assured Workloads אוכפת את האפשרות הזו.

4. מתחברים למקור נתונים של Google שנמצא בתיקיית Assured Workloads. מאגרי הנתונים המורשים ל-FedRAMP High ול-IL4 הם דליים ב-Cloud Storage ומערכי נתונים ב-BigQuery.

5. הגדרה של תכונות תאימות מורשות.

6. משביתים את התכונות הלא מורשות שמתוארות במאמר תכונות לא מורשות שצריך להשבית באופן ידני.

7. צריך להנחות את העובדים לא להשתמש בתכונות לא מורשות שאי אפשר להשבית.

השבתת תכונות לא מורשות

כדי להשבית תכונות לא מורשות באופן ידני, צריך להשלים את המשימות שבקטע הזה.

השבתה של גלריית ההנחיות

צריך לבצע את המשימה הזו לכל אפליקציה שמפעילים ב-Gemini Enterprise.

ודאו שיש לכם אחד מהתפקידים הבאים:

• אדמין במנוע Discovery (roles/discoveryengine.admin)
• אדמין ב-Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)

• תפקיד בהתאמה אישית עם ההרשאה discoveryengine.engines.update

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

{
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features" | Select-Object -Expand Content

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

השבתת העיגון באמצעות הפלטפורמה של מפות Google

כדי להשבית את ההארקה באמצעות הפלטפורמה של מפות Google לכל הבקשות, אפשר להשבית את Maps Grounding API ‏(mapsgrounding.googleapis.com) באחת מהשיטות הבאות:

• בדף APIs & Services במסוף, מאתרים את Map Grounding API ‏ (mapsgrounding.googleapis.com) ובוחרים באפשרות Disable API. מידע נוסף זמין במאמר בנושא הפעלה והשבתה של שירותים.

• ב-Google Cloud CLI, מריצים את הפקודה:

  gcloud services disable mapsgrounding.googleapis.com
  

השבתה של עיגון באמצעות חיפוש Google

כדי להשבית את עיגון באמצעות חיפוש Google לכל הבקשות, מגדירים את האילוץ הבוליאני constraints/vertexai.disableGenAIGoogleSearchGrounding של מדיניות הארגון true ברמת התיקייה של Assured Workloads. מידע נוסף זמין במאמר בנושא עדכון מדיניות באמצעות כללים בוליאניים.

השבתת ההארקה באמצעות העלאות ל-Google Drive

ההארקה באמצעות Google Drive מופעלת רק כשמקשרים מאגר נתונים של Google Drive לאפליקציה. כדי להשבית את ההארקה באמצעות העלאות ל-Google Drive, צריך לבצע את הפעולות הבאות:

• מוודאים שלא מוגדרים מאגרי נתונים של Google Drive באפליקציות Gemini Enterprise. אם אפליקציה כבר מקושרת למאגר נתונים של Google Drive, מסירים אותה מההגדרות של האפליקציה במסוף או מוחקים את מאגר הנתונים באמצעות השיטה dataStores.delete ב-Discovery Engine API.

• משביתים את היכולות של שיתוף נתונים ב-Workspace במסוף Google Admin, או משביתים את התכונות החכמות וההתאמה האישית ב-Google Workspace כדי לחסום את הגישה של המחבר למסמכים של המשתמשים ב-Google Drive.

השבתת ההארקה באמצעות העלאות ל-Microsoft OneDrive

ההארקה באמצעות Microsoft OneDrive מופעלת רק כשמחברים מאגר נתונים של Microsoft OneDrive לאפליקציה. כדי להשבית את ההארקה באמצעות העלאות ל-Microsoft OneDrive, צריך לבצע את הפעולות הבאות:

• מוודאים שלא מוגדרים מאגרי נתונים של Microsoft OneDrive באפליקציות של Gemini Enterprise. אם אפליקציה כבר מקושרת למאגר נתונים של Microsoft OneDrive, מסירים אותה מההגדרות של האפליקציה במסוף או מוחקים את מאגר הנתונים באמצעות השיטה dataStores.delete ב-Discovery Engine API.
• כדי לחסום את הגישה של המחבר, צריך לבטל את פרטי הכניסה או למחוק את מזהה הלקוח של אפליקציית OAuth 2.0 הרשומה ואת פרטי הכניסה ב-Microsoft Entra ID ‏ (Azure AD) שמשמשים לקישוריות של Microsoft OneDrive.

השבתה של Imagen ו-Veo

כדי להשבית את יצירת התמונות באמצעות Imagen ואת יצירת הסרטונים באמצעות Veo, צריך לבצע את הפעולות הבאות:

• מגדירים את האילוץ constraints/vertexai.allowedModels או constraints/vertexai.allowedGenAIModels של רשימת מדיניות הארגון ברמת התיקייה או הארגון כדי לחסום את המודלים imagen ו-veo (לדוגמה, publishers/google/models/imagen-4.0-ultra-generate-001) או כדי לאפשר רק מודלים מאושרים. מידע נוסף זמין במאמר שליטה בגישה למודלים ב-Model Garden.

• כדי להגביל את הגישה לחיזוי במודלים של Imagen או Veo, צריך להגדיר מדיניות דחייה של IAM שדוחה את הרשאת ה-IAM‏ aiplatform.endpoints.predict בנתיב המשאב של המודל. נתיב המשאב של המודל הוא projects/PROJECT_ID/locations/LOCATION/publishers/google/models/MODEL_NAME.

  מחליפים את מה שכתוב בשדות הבאים:

  • ‫PROJECT_ID: מזהה הפרויקט
  • ‫LOCATION: המיקום של האפליקציה
  • ‫MODEL_NAME: השם של המודל שרוצים לאשר או לדחות

השבתה של אירועי משתמשים באפליקציות Gemini Enterprise

אירועים של משתמשים נשלחים על ידי כלי מעקב אחר אירועים בצד הלקוח או מיובאים בכמות גדולה. כדי להשבית את איסוף אירועי המשתמשים, מבצעים אחת מהפעולות הבאות:

• כשמגדירים את ווידג'ט החיפוש באפליקציה, משביתים את רישום האירועים ביומן על ידי הגדרת המאפיין disableUserEventsCollection לערך true במרחב השמות של הגדרת uiSettings. לדוגמה:

  "uiSettings": {
    "disableUserEventsCollection": true
  }
  

• אל תפעילו את נקודות הקצה של הזרקת האירועים (במיוחד את השיטה userEvents.collectואת השיטה userEvents.write) וודאו שסקריפטים של פיקסלים למעקב אחרי חיפושים (כמו v1beta_event.js) לא פעילים בדפי הלקוח.

• מעדכנים את ההגדרה ברמת האפליקציה, באופן הבא:

  1. נכנסים לדף Gemini Enterprise apps במסוף Google Cloud .

     עוברים אל 'אפליקציות'

  2. בוחרים את האפליקציה.

  3. בתפריט הניווט, לוחצים על Configurations (הגדרות).

  4. משביתים את ההגדרה הפעלת איסוף נתוני אירועים מהמשתמשים.

  5. לוחצים על Save.

השבתת ההתאמה האישית והזיכרון ב-Gemini Enterprise

צריך לבצע את המשימה הזו לכל אפליקציה שמפעילים ב-Gemini Enterprise.

ודאו שיש לכם אחד מהתפקידים הבאים:

• אדמין במנוע Discovery (roles/discoveryengine.admin)
• אדמין ב-Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)

• תפקיד בהתאמה אישית עם ההרשאה discoveryengine.engines.update

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

{
  "features": {
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features" | Select-Object -Expand Content

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

השבתה של Knowledge Graph פרטי

כדי להשבית את גרף הידע הפרטי, אפשר להשתמש במסוף או ב-API.

ודאו שיש לכם אחד מהתפקידים הבאים:

• אדמין במנוע Discovery (roles/discoveryengine.admin)
• אדמין ב-Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)

• תפקיד בהתאמה אישית עם ההרשאה discoveryengine.engines.update

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=knowledgeGraphConfig

{
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=knowledgeGraphConfig"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=knowledgeGraphConfig" | Select-Object -Expand Content

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

השבתה של הגנה מוגברת על המודל

כדי להשבית את הגנה מוגברת על המודל, צריך להסיר את התבניות שלו מהאפליקציות ולהשבית את ה-API.

כדי להסיר את התבניות, אפשר לעיין במאמר הסרת תבניות של הגנה מוגברת על המודל מאפליקציית Gemini Enterprise.

כדי להשבית את Model Armor API ‏ (modelarmor.googleapis.com), משתמשים באחת מהשיטות הבאות:

• בדף APIs & Services במסוף, מאתרים את Model Armor API (modelarmor.googleapis.com) ובוחרים באפשרות Disable API. מידע נוסף זמין במאמר הפעלה והשבתה של שירותים.

• ב-Google Cloud CLI, מריצים את הפקודה:

  gcloud services disable modelarmor.googleapis.com
  

השבתה של NotebookLM Enterprise

צריך לבצע את המשימה הזו לכל אפליקציה שמפעילים ב-Gemini Enterprise.

ודאו שיש לכם אחד מהתפקידים הבאים:

• אדמין במנוע Discovery (roles/discoveryengine.admin)
• אדמין ב-Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)

• תפקיד בהתאמה אישית עם ההרשאה discoveryengine.engines.update

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

{
  "features": {
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features" | Select-Object -Expand Content

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

השבתת שמירת מטמון של הקשרים משתמעים

במאמר הפעלה והשבתה של שמירת נתונים במטמון מוסבר איך להשבית את השמירה במטמון של הקשר משתמע.