Orientação de implantação do Gemini para Governo

Last reviewed 2026-04-23 UTC

Este documento fornece orientações técnicas para agências federais dos EUA e departamentos do DoD sobre a implantação e o uso do Gemini para o Setor Público em conformidade com os requisitos do FedRAMP High e do Nível de impacto 4 (IL4) do DoD. Este documento descreve quais serviços e recursos estão incluídos nos limites de autorização e as etapas para ajudar você a cumprir suas obrigações de compliance.

O Gemini para o Setor Público usa o Assured Workloads para ajudar com os requisitos de compliance. É necessário implantar todos os recursos do Gemini para o Setor Público em uma pasta do Assured Workloads configurada para seu regime de compliance específico (FedRAMP High ou IL4).

Dependências principais do produto

O Gemini para o Setor Público usa vários Google Cloud serviços. A tabela a seguir lista o status de compliance de cada serviço.

Serviço doGoogle Cloud Status do FedRAMP de nível alto Status do IL4

Gemini Enterprise

Organização

Organização

IA generativa na Gemini Enterprise Agent Platform (antiga IA generativa na Vertex AI)

Organização

Organização

BigQuery

Organização

Organização

Cloud Storage

Organização

Organização

Looker (Google Cloud Core)

Organização

Enviado

Serviços e recursos autorizados

A tabela a seguir lista os serviços e recursos que podem ser usados no Gemini para o Setor Público para implantações do FedRAMP High e IL4.

Recurso FedRAMP de nível alto IL4

Os seguintes modelos:

Organização

Organização

Preenchimento automático

Organização

Organização

Controles de veiculação

Organização

Organização

Armazenamentos de dados autorizados, como o Cloud Storage e o BigQuery

Organização

Organização

Embasamento na Web para empresas

Organização

Organização

Fazer upload de documentos de máquinas locais

Organização

Organização

Capacidade dos usuários finais de selecionar modelos

Organização

Organização

Agente Deep Research

Organização

Enviado

Criação de agentes no-code usando o Agent Designer

Organização

Enviado

Galeria de agentes

Organização

Enviado

Geração de imagens com o Nano Banana

Organização

Enviado

Model Armor

Organização

3PAO

Recursos não autorizados que precisam ser desativados manualmente

Os serviços e recursos a seguir não são autorizados para o FedRAMP High ou o IL4. No entanto, eles não são bloqueados pelos pacotes de controle do Assured Workloads e estão disponíveis no seu projeto. Como parte da sua avaliação de risco, talvez seja necessário avaliar o uso do serviço em relação a dados sensíveis e a controles de mitigação disponíveis. Talvez seja necessário desativar manualmente os recursos desta lista na configuração do app Gemini Enterprise com base na sua avaliação.

Agentes e galerias
Embasamento
Recursos generativos
Recursos de usuário, sessão e UI
Outros recursos

Para mais informações sobre o cache de contexto implícito, consulte Gemini Enterprise Agent Platform e retenção de dados zero.

Recursos não autorizados que não podem ser desativados

Os serviços e recursos a seguir estão disponíveis no pacote de controle do Assured Workloads e não podem ser desativados. Se você usar esses recursos, recomendamos que faça uma avaliação de risco adequada antes de conceder sua autorização para garantir que o uso do serviço seja adequado para sua implantação do FedRAMP High ou IL4. Por exemplo, você pode avaliar o uso do serviço em relação à sensibilidade dos dados. Também é possível avaliar se há controles de mitigação com base na criptografia de dados para estabelecer controle exclusivo sobre o acesso aos dados.

Agentes e galerias

Para remover a disponibilidade desse agente, entre em contato com nossa equipe de vendas ou com seu representante da Google Cloud .

Recursos do Google Analytics e dependentes
Conectores e repositórios de dados
Recursos de usuário, sessão e UI
Outros recursos

Implantar o ambiente

Siga estas etapas para receber ajuda na implantação de um ambiente que atenda às suas obrigações de compliance:

  1. Implante o Assured Workloads:
    1. Crie uma pasta do Assured Workloads que use o limite de dados para FedRAMP de nível alto ou para IL4.
    2. Crie seu Google Cloud projeto dentro dessa pasta.
    3. Verifique se todos os usuários e contas de serviço têm as permissões necessárias do Identity and Access Management (IAM).
  2. Configure sua rede FedRAMP de nível alto ou IL4. Para mais informações, consulte Configurar rede para FedRAMP e DoD em Google Cloud.
  3. Crie um app do Gemini Enterprise. Selecione Multirregião dos EUA como local. A política de residência de dados do Assured Workloads impõe essa opção.
  4. Conecte-se a uma fonte de dados do Google localizada na pasta do Assured Workloads. Os repositórios de dados autorizados para FedRAMP High e IL4 são buckets do Cloud Storage e conjuntos de dados do BigQuery.

  5. Configure recursos de compliance autorizados.

  6. Desative os recursos não autorizados descritos em recursos não autorizados que você precisa desativar manualmente.

  7. Treine sua equipe para não usar recursos não autorizados que não podem ser desativados.

Desativar recursos não autorizados

Conclua as tarefas nesta seção para desativar os recursos não autorizados que podem ser desativados manualmente.

Conclua essa tarefa para cada app implantado no Gemini Enterprise.

Verifique se você tem um dos seguintes papéis:

  • Administrador do Discovery Engine (roles/discoveryengine.admin)
  • Administrador do Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Um papel personalizado com a permissão discoveryengine.engines.update

Console

  1. No console Google Cloud , acesse a página Apps do Gemini Enterprise.

    Acessar "Apps".

  2. Escolha o app.

  3. No menu de navegação, clique em Configurações e selecione a guia Gerenciamento de recursos.

  4. Desative a opção Ativar galeria de comandos.

  5. Clique em Salvar.

REST

Para atualizar o mapa de controle de recursos do seu app, use o método engines.patch no endpoint de API discoveryengine.googleapis.com.

Defina a chave prompt-gallery como FEATURE_STATE_OFF na features configuração do seu mecanismo.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • PROJECT_ID: ID do projeto
  • APP_ID: o ID do app

Método HTTP e URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Corpo JSON da solicitação:

{
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

Desativar o embasamento com a Plataforma Google Maps

Para desativar o embasamento com a Plataforma Google Maps em todas as solicitações, desative a API Maps Grounding (mapsgrounding.googleapis.com) usando um dos seguintes métodos:

  • Na página APIs e serviços do console, localize a API Map Grounding (mapsgrounding.googleapis.com) e selecione Desativar API. Para mais informações, consulte Ativar e desativar serviços.

  • Na Google Cloud CLI, execute:

    gcloud services disable mapsgrounding.googleapis.com
    

Para desativar o embasamento com a Pesquisa Google em todas as solicitações, defina a restrição booleana da constraints/vertexai.disableGenAIGoogleSearchGrounding política da organização como true no nível da pasta do Assured Workloads. Para mais informações, consulte Atualizar políticas com regras booleanas.

Desativar o embasamento usando uploads do Google Drive

A fundamentação com o Google Drive só é ativada quando você conecta um repositório de dados do Google Drive ao seu app. Para desativar a fundamentação com uploads do Google Drive, faça o seguinte:

  • Verifique se não há repositórios de dados do Google Drive configurados nos seus apps do Gemini Enterprise. Se um app já estiver conectado a um repositório de dados do Google Drive, remova-o das configurações do app no console ou exclua o repositório de dados usando o método dataStores.delete na API Discovery Engine.

  • Desative os recursos de compartilhamento de dados do Workspace no Google Admin Console ou desative os recursos inteligentes e a personalização no Google Workspace para impedir que o conector acesse os documentos do usuário no Google Drive.

Desativar o embasamento usando uploads do Microsoft OneDrive

A fundamentação com o Microsoft OneDrive só é ativada quando você conecta um repositório de dados do Microsoft OneDrive ao seu app. Para desativar a fundamentação com uploads do Microsoft OneDrive, faça o seguinte:

  • Verifique se não há repositórios de dados do Microsoft OneDrive configurados nos seus apps do Gemini Enterprise. Se um app já estiver conectado a um repositório de dados do Microsoft OneDrive, remova-o das configurações do app no console ou exclua o repositório de dados usando o método dataStores.delete na API Discovery Engine.
  • Para bloquear o acesso do conector, revogue as credenciais ou exclua o ID do cliente e as credenciais do aplicativo OAuth 2.0 registrados no Microsoft Entra ID (Azure AD) usado para a conectividade do Microsoft OneDrive.

Desativar o Imagen e o Veo

Para desativar a geração de imagens usando o Imagen e de vídeos usando o Veo, faça o seguinte:

  • Defina a restrição de lista de políticas da organização constraints/vertexai.allowedModels ou constraints/vertexai.allowedGenAIModels no nível da pasta ou da organização para negar os modelos imagen e veo (por exemplo, publishers/google/models/imagen-4.0-ultra-generate-001) ou permitir apenas modelos aprovados. Para mais informações, consulte Controlar o acesso aos modelos do Model Garden.
  • Para restringir o acesso à previsão nos modelos do Imagen ou do Veo, configure uma política de negação do IAM que negue a permissão aiplatform.endpoints.predict do IAM no caminho do recurso para o modelo. O caminho do recurso do modelo é projects/PROJECT_ID/locations/LOCATION/publishers/google/models/MODEL_NAME.

    Substitua:

    • PROJECT_ID: ID do projeto
    • LOCATION: o local do app
    • MODEL_NAME: o nome do modelo a ser permitido ou negado

Desativar eventos do usuário para apps do Gemini Enterprise

Os eventos do usuário são enviados por rastreadores de eventos do lado do cliente ou importados em massa. Para desativar a coleta de eventos do usuário, faça o seguinte:

  • Ao configurar o widget de pesquisa para seu aplicativo, desative o registro de eventos definindo a propriedade disableUserEventsCollection como true no namespace de configuração uiSettings. Exemplo:

    "uiSettings": {
      "disableUserEventsCollection": true
    }
    
  • Não chame os endpoints de injeção de eventos (especificamente o método userEvents.collect e o método userEvents.write) e verifique se os scripts de pixel de pesquisa (como v1beta_event.js) não estão ativos nas páginas do cliente.

  • Atualize a configuração no nível do aplicativo da seguinte maneira:

    1. No console Google Cloud , acesse a página Apps do Gemini Enterprise.

      Acessar "Apps".

    2. Escolha o app.

    3. No menu de navegação, clique em Configurações.

    4. Desative a opção Ativar a coleta de eventos do usuário.

    5. Clique em Salvar.

Desativar a personalização e a memória no Gemini Enterprise

Conclua essa tarefa para cada app implantado no Gemini Enterprise.

Verifique se você tem um dos seguintes papéis:

  • Administrador do Discovery Engine (roles/discoveryengine.admin)
  • Administrador do Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Um papel personalizado com a permissão discoveryengine.engines.update

Console

Para instruções, consulte Desativar a personalização e a memória.

REST

Para atualizar o mapa de controle de recursos do seu app, use o método engines.patch no endpoint de API discoveryengine.googleapis.com.

Defina as chaves personalization-memory e personalization-suggested-highlights como FEATURE_STATE_OFF na configuração features do seu mecanismo.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • PROJECT_ID: ID do projeto
  • APP_ID: o ID do app

Método HTTP e URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Corpo JSON da solicitação:

{
  "features": {
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

Desativar o Mapa de informações particulares

Para desativar o Private Mapa de informações, use o console ou a API.

Verifique se você tem um dos seguintes papéis:

  • Administrador do Discovery Engine (roles/discoveryengine.admin)
  • Administrador do Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Um papel personalizado com a permissão discoveryengine.engines.update

Console

Para instruções, consulte Gerenciar a configuração do Mapa de informações.

REST

Para atualizar a configuração do app, use o método engines.patch no endpoint de API discoveryengine.googleapis.com.

Defina enablePrivateKnowledgeGraph e enableCloudKnowledgeGraph como false no parâmetroknowledgeGraphConfig.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • PROJECT_ID: ID do projeto
  • APP_ID: o ID do app

Método HTTP e URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=knowledgeGraphConfig

Corpo JSON da solicitação:

{
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

Desativar o Model Armor

Para desativar o Model Armor, remova os modelos dele dos seus apps e desative a API.

Para remover os modelos, consulte Remover os modelos do Model Armor de um app do Gemini Enterprise.

Para desativar a API Model Armor (modelarmor.googleapis.com), use um dos seguintes métodos:

  • Na página APIs e serviços do console, localize a API Model Armor (modelarmor.googleapis.com) e selecione Desativar API. Para mais informações, consulte Ativar e desativar serviços.

  • Na CLI do Google Cloud, execute:

    gcloud services disable modelarmor.googleapis.com
    

Desativar o NotebookLM Enterprise

Conclua essa tarefa para cada app implantado no Gemini Enterprise.

Verifique se você tem um dos seguintes papéis:

  • Administrador do Discovery Engine (roles/discoveryengine.admin)
  • Administrador do Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Um papel personalizado com a permissão discoveryengine.engines.update

Console

  1. No console Google Cloud , acesse a página Apps do Gemini Enterprise.

    Acessar "Apps".

  2. Escolha o app.

  3. No menu de navegação, clique em Configurações e selecione a guia Gerenciamento de recursos.

  4. Desative o NotebookLM.

  5. Clique em Salvar.

REST

Para atualizar o mapa de controle de recursos do seu app, use o método engines.patch no endpoint de API discoveryengine.googleapis.com. Defina a chave notebook-lm como FEATURE_STATE_OFF na features configuração do seu mecanismo.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • PROJECT_ID: ID do projeto
  • APP_ID: o ID do app

Método HTTP e URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Corpo JSON da solicitação:

{
  "features": {
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

Desativar o armazenamento em cache de contexto implícito

Para desativar o cache de contexto implícito, consulte Ativar e desativar o cache de dados.