Prácticas recomendadas de seguridad para la IA generativa

En este documento, se describe una arquitectura típica de IA generativa enGoogle Cloud. También se enumeran las prácticas recomendadas de seguridad que se aplican a las cargas de trabajo de IA generativa y se describe cuándo usarías servicios específicos deGoogle Cloud .

Arquitectura

En el siguiente diagrama, se muestran los servicios de una arquitectura típica de IA generativa que usa Gemini Enterprise Agent Platform. Google Cloud

En este diagrama, se incluye lo siguiente:

• La Agent Platform te permite crear y usar IA generativa, incluidas soluciones de IA, búsqueda y conversación, en una sola plataforma.

• Artifact Registry optimiza el proceso de desarrollo y la implementación del aprendizaje automático (AA), mejora la colaboración y garantiza la seguridad y la confiabilidad de tus modelos de AA.

• BigQuery simplifica el acceso a los datos, permite realizar análisis escalables y te permite usar sus capacidades de AA en tus flujos de trabajo de AA.

• Los registros de auditoría de Cloud supervisan las acciones que realizan los usuarios en tu entorno, lo que mejora tus capacidades de solución de problemas, auditoría y respuesta ante incidentes.

• Los paneles y las alertas de Facturación de Cloud te permiten revisar el uso y la facturación de las cargas de trabajo de Agent Platform.

• Cloud Build te permite compilar, probar e implementar una plataforma de CI/CD sin servidores en Google Cloud.

• Cloud Identity unifica la identidad, el acceso, la aplicación y la administración para Google Cloud.

• Cloud Run Functions automatiza tareas, entrega predicciones, activa trabajos de entrenamiento, se integra con otros servicios y compila canalizaciones de AA basadas en eventos.

• Cloud Storage almacena datos de entrenamiento, artefactos del modelo y datos de producción.

• Dataflow te permite compilar canalizaciones complejas que transfieren datos de varias fuentes y los agregan según corresponda.

• Cloud DNS registra, administra y entrega tu dominio.

• Identity and Access Management (IAM) controla quién puede realizar acciones específicas en los recursos de tu carga de trabajo generativa, como crearlos, editarlos o borrarlos.

• El Servicio de políticas de la organización administra y aplica políticas de forma centralizada en tu entorno de Google Cloud. La política de la organización ayuda a garantizar la coherencia en la configuración y el cumplimiento de la seguridad en todos los proyectos y recursos de tu organización.

• Pub/Sub permite la comunicación y la automatización eficientes dentro de tus flujos de trabajo de aprendizaje automático.

• Resource Manager te ayuda a agrupar y administrar los componentes lógicos de tus cargas de trabajo de Agent Platform.

• Secret Manager te ayuda a proteger los datos sensibles y las credenciales que se usan en los proyectos de Agent Platform.

• Sensitive Data Protection automatiza el descubrimiento de datos sensibles en tus conjuntos de datos. Sensitive Data Protection puede analizar instrucciones y ocultar datos sensibles antes de que lleguen al modelo. Sensitive Data Protection también puede analizar la salida del modelo para evitar que se filtren datos de entrenamiento sensibles en las respuestas.

• Security Command Center te ayuda a proteger tu organización en la nube, tus cargas de trabajo de IA y los datos de IA que almacenas en Google Cloud. Security Command Center proporciona lo siguiente:

  • Administración de seguridad centralizada
  • Detección de amenazas y respuesta ante incidentes
  • Evaluaciones de seguridad automatizadas
  • Cumplimiento y generación de informes regulatorios
  • Recomendaciones y prácticas recomendadas de seguridad

• La nube privada virtual (VPC) aísla tus recursos de IA de Internet en un entorno seguro. Esta configuración de red ayuda a proteger los datos y modelos sensibles del acceso no autorizado y los posibles ciberataques.

• Cloud VPN o Cloud Interconnect te permiten establecer una conexión de red segura entre tu infraestructura local y tu entorno de Agent Platform. Cloud VPN o Cloud Interconnect ayudan a habilitar la transferencia y la comunicación de datos sin problemas entre tu red privada y los recursos de Google Cloud. Considera esta integración para situaciones como acceder a datos locales para el entrenamiento de modelos o implementar modelos en recursos locales para la inferencia.

Prácticas recomendadas para las cargas de trabajo de IA generativa

En esta sección, se proporcionan vínculos a las prácticas recomendadas para las cargas de trabajo de IA generativa que usan la Plataforma de agentes.

• Grupos de usuarios y roles de IAM recomendados

• Prácticas recomendadas para una base empresarial segura

  • Prácticas recomendadas de autenticación y autorización

    • Inhabilita el otorgamiento automático de IAM para las cuentas de servicio predeterminadas
    • Bloquea la creación de claves externas de cuentas de servicio
    • Bloquea las cargas de claves de cuentas de servicio
    • Configura la separación de obligaciones para los administradores de políticas de la organización
    • Habilita la verificación en dos pasos para las cuentas de administrador avanzado
    • Aplica la verificación en dos pasos en la unidad organizativa del administrador avanzado
    • Crea una dirección de correo electrónico exclusiva para el administrador avanzado principal
    • Crea cuentas de administrador redundantes
    • Implementa etiquetas para asignar de manera eficiente políticas de IAM y políticas de la organización
    • Audita los cambios de alto riesgo en IAM
    • Bloquea el acceso a Cloud Shell para las cuentas de usuario administradas por Cloud Identity
    • Configura el Acceso adaptado al contexto para las consolas de Google
    • Bloquea la recuperación automática de cuentas para las cuentas de administrador avanzado
    • Desactiva los servicios de Google que no uses

  • Prácticas recomendadas para la organización

    • Restringe las versiones de TLS compatibles con las APIs de Google
    • Restringe las entidades autorizadas
    • Restringe el uso de servicios del recurso
    • Restringe las ubicaciones de recursos

  • Prácticas recomendadas para redes

    • Bloquear la creación de redes predeterminadas
    • Habilita las extensiones de seguridad de DNS
    • Habilita la restricción del alcance del servicio en las políticas de acceso de Access Context Manager
    • Restringe las APIs dentro de los perímetros de servicio de los Controles del servicio de VPC
    • Usar DNS zonal

  • Prácticas recomendadas para el registro, la supervisión y las alertas

    • Comparte registros de auditoría de Cloud Identity
    • Usa registros de auditoría
    • Habilita los registros de flujo de VPC
    • Habilitar el Registro de reglas de firewall
    • Habilita los registros de auditoría de acceso a los datos
    • Configura alertas de facturación
    • Habilita los registros de Transparencia de acceso
    • Exporta datos de facturación para obtener un análisis detallado

  • Prácticas recomendadas para la administración de claves y secretos

    • Encriptar datos en reposo en Google Cloud
    • Usa algoritmos aprobados por el NIST para la encriptación y desencriptación
    • Cómo establecer el propósito de las claves de Cloud Key Management Service
    • Asegúrate de que la configuración de CMEK sea adecuada para los almacenes de datos de BigQuery seguros
    • Rotar la clave de encriptación cada 90 días
    • Cómo configurar la rotación automática de secretos
    • Usa CMEK para los mensajes de Pub/Sub
    • Restringe la ubicación de las claves de encriptación administradas por el cliente
    • Usa CMEK para los servicios de Google Cloud
    • Replicar secretos automáticamente

  • Prácticas recomendadas de análisis y postura de seguridad

    • Habilita Security Command Center a nivel de la organización
    • Configura alertas desde Security Command Center

• Prácticas recomendadas de infraestructura

  • Define instancias de VM que pueden habilitar el reenvío de IP
  • Inhabilita la virtualización anidada de VM
  • Restringe las direcciones IP externas en las VMs
  • Define permitted external IP addresses for VM instances
  • Exige un conector de VPC para las funciones de Cloud Run
  • Configura políticas de almacenamiento de mensajes
  • Desactiva las direcciones IP externas para los trabajos de Dataflow
  • Usa etiquetas de red para las reglas de firewall

• Prácticas recomendadas para la administración de datos

  • Habilita Sensitive Data Protection para la inspección de datos

  • Prácticas recomendadas para el almacén de datos

    • Asegúrate de que los conjuntos de datos de BigQuery no sean legibles de forma pública ni estén configurados como allAuthenticatedUsers
    • Asegúrate de que las tablas de BigQuery no sean legibles de forma pública ni estén configuradas como allAuthenticatedUsers
    • Encripta valores individuales en una tabla de BigQuery
    • Usa vistas autorizadas para conjuntos de datos de BigQuery
    • Usa la seguridad a nivel de columna de BigQuery
    • Usa la seguridad a nivel de la fila de BigQuery
    • Cómo usar los gráficos de recursos de BigQuery

  • Prácticas recomendadas de almacenamiento

    • Bloquea el acceso público a los buckets de Cloud Storage
    • Usar el acceso uniforme a nivel de bucket
    • Protege las claves HMAC de las cuentas de servicio
    • Detecta la enumeración de buckets de Cloud Storage por cuentas de servicio
    • Detecta modificaciones en las políticas de IAM de los buckets de Cloud Storage por parte de las cuentas de servicio
    • Asegúrate de que la política de retención del bucket de Cloud Storage use el bloqueo del bucket
    • Cómo establecer reglas de ciclo de vida para la acción SetStorageClass
    • Cómo establecer regiones permitidas para las clases de almacenamiento
    • Habilita la administración del ciclo de vida para los buckets de Cloud Storage
    • Habilita las reglas de administración del ciclo de vida para los buckets de Cloud Storage
    • Revisa y evalúa las conservaciones temporales de los objetos activos
    • Aplica políticas de retención en buckets de Cloud Storage
    • Aplica etiquetas de clasificación para los buckets de Cloud Storage
    • Aplica buckets de registros para los buckets de Cloud Storage
    • Configura reglas de eliminación para buckets de Cloud Storage
    • Asegúrate de que la condición isLive sea falsa para las reglas de eliminación
    • Cómo aplicar el control de versiones para los buckets de Cloud Storage
    • Cómo aplicar propietarios para los buckets de Cloud Storage
    • Habilita el registro de las actividades clave de Cloud Storage

• Herramientas y prácticas recomendadas de inferencia

  • Define el modo de acceso a los notebooks y las instancias de Agent Platform Workbench
  • Inhabilita las descargas de archivos en instancias de Agent Platform Workbench
  • Inhabilita el acceso raíz en las instancias y los notebooks administrados por el usuario de Agent Platform Workbench
  • Inhabilita terminales en instancias de Agent Platform Workbench
  • Restringe opciones de entorno en notebooks e instancias de Agent Platform Workbench
  • Aplicar actualizaciones automáticas programadas en los notebooks y las instancias administrados por el usuario de Agent Platform Workbench
  • Restringe el acceso público en los notebooks y las instancias nuevos de Agent Platform Workbench
  • Restringe las redes de VPC en las instancias de Agent Platform Workbench

• Prácticas recomendadas para agentes y aplicaciones

  • Configura el análisis de vulnerabilidades para artefactos
  • Cómo definir grupos privados permitidos
  • Define qué servicios externos pueden invocar activadores de compilación
  • Crea políticas de limpieza para los artefactos

Casos de uso de Artifact Registry

Considera los siguientes casos de uso de Artifact Registry con Agent Platform:

• Administra tus artefactos de AA: Artifact Registry te permite almacenar y administrar todos tus artefactos de AA en un solo lugar, incluido el código de entrenamiento de modelos, los conjuntos de datos, los modelos entrenados y los contenedores de servicio de predicciones. Puedes usar este repositorio centralizado para hacer un seguimiento de tus artefactos de AA, compartirlos y reutilizarlos en diferentes equipos y proyectos.
• Control de versiones y reproducibilidad: Artifact Registry proporciona control de versiones para tus artefactos de AA, lo que te ayuda a hacer un seguimiento de los cambios y revertir a versiones anteriores, si es necesario. Esta función es fundamental para garantizar la reproducibilidad de tus experimentos y tus implementaciones de AA.
• Almacenamiento seguro y confiable: Artifact Registry ofrece almacenamiento seguro y confiable para tus artefactos de AA. Estos artefactos se encriptan en reposo y en tránsito. Configura el control de acceso para restringir quién puede acceder a los artefactos y, así, proteger tus valiosos datos y tu propiedad intelectual.
• Integración con las canalizaciones de Agent Platform de Gemini Enterprise: Integra Artifact Registry con las canalizaciones de Agent Platform para compilar y automatizar tus flujos de trabajo de AA. Usa Artifact Registry para almacenar los artefactos de tu canalización (por ejemplo, las definiciones, el código y los datos de la canalización) y para activar automáticamente las ejecuciones de canalizaciones cuando se suban artefactos nuevos.
• Optimiza la CI/CD para el AA: Integra Artifact Registry en tus herramientas de CI/CD para optimizar el desarrollo y la implementación de tus modelos de AA. Por ejemplo, usa Artifact Registry para compilar e implementar automáticamente tu contenedor de servicio de modelos cada vez que envíes una versión nueva de tu modelo a Artifact Registry.
• Compatibilidad con varias regiones: Artifact Registry te permite almacenar tus artefactos en varias regiones, lo que puede ayudar a mejorar el rendimiento y la disponibilidad de tus modelos de AA, en especial si tienes usuarios ubicados en diferentes partes del mundo.

Casos de uso de BigQuery

Considera los siguientes casos de uso de BigQuery con Agent Platform:

• Integración perfecta: BigQuery y Agent Platform están estrechamente integradas, lo que te permite acceder a tus datos y analizarlos directamente en la plataforma de Agent Platform. Esta integración elimina la necesidad de mover datos, optimiza tu flujo de trabajo de AA y reduce la fricción.
• Análisis de datos escalable: BigQuery ofrece un almacén de datos a escala de petabytes, lo que te permite analizar conjuntos de datos masivos sin preocuparte por las limitaciones de infraestructura. Esta escalabilidad es fundamental para entrenar y, luego, implementar modelos de AA que requieren muchos datos.
• AA basado en SQL: BigQuery ML te permite usar comandos de SQL conocidos para entrenar e implementar modelos directamente en BigQuery. Esta función permite que los analistas de datos y los profesionales de SQL usen las capacidades de AA sin necesidad de tener habilidades avanzadas de programación.
• Predicciones en línea y por lotes: BigQuery ML admite predicciones en línea y por lotes. Puedes ejecutar predicciones en tiempo real en filas individuales o generar predicciones para conjuntos de datos grandes en modo por lotes. Esta flexibilidad admite diversos casos de uso con diferentes requisitos de latencia.
• Menor movimiento de datos: Con BigQuery ML, no necesitas mover tus datos a recursos de almacenamiento o procesamiento separados para el entrenamiento y la implementación de modelos. Este movimiento reducido simplifica tu flujo de trabajo, reduce la latencia y minimiza los costos asociados con la transferencia de datos.
• Supervisión de modelos: Agent Platform proporciona capacidades integrales de supervisión de modelos, lo que te permite hacer un seguimiento del rendimiento, la equidad y la explicabilidad de tus modelos de BigQuery ML. La supervisión de modelos te ayuda a garantizar que tus modelos funcionen según lo previsto y a abordar posibles problemas.
• Modelos previamente entrenados: Agent Platform ofrece acceso a modelos previamente entrenados, incluidos los de procesamiento de lenguaje natural y visión artificial. Puedes usar estos modelos en BigQuery para mejorar tu análisis y extraer estadísticas más detalladas de tus datos.
• Solución rentable: BigQuery ML ofrece una forma rentable y flexible de entrenar e implementar modelos de AA. Solo pagas por los recursos que usas, lo que la convierte en una opción asequible para organizaciones de todos los tamaños.
• Capacidades de análisis avanzado: BigQuery proporciona herramientas para el análisis avanzado, incluidos el análisis geoespacial y la previsión. Estas herramientas te permiten combinar el AA con otras técnicas analíticas para explorar los datos en mayor profundidad y obtener estadísticas más detalladas.
• Colaboración mejorada: Con BigQuery y la Plataforma de agentes, los científicos de datos, los ingenieros de AA y los analistas pueden colaborar sin problemas en proyectos de AA. Esta colaboración ayuda a crear un enfoque más integrado y eficiente para abordar problemas de datos complejos.

Casos de uso de Cloud Build

Considera los siguientes casos de uso de Cloud Build con Agent Platform:

• Automatiza las compilaciones de canalizaciones de AA: Cloud Build te permite automatizar la compilación y las pruebas de tus canalizaciones de AA definidas en Agent Platform Pipelines. Esta automatización te ayuda a compilar e implementar tus modelos más rápido y con mayor coherencia.
• Compila imágenes de contenedores personalizadas para la implementación: Cloud Build puede compilar imágenes de contenedores personalizadas para tus entornos de entrega de modelos. Cloud Build te permite empaquetar el código del modelo, las dependencias y el entorno de ejecución en una sola imagen que puedes implementar en la inferencia de Agent Platform de Gemini Enterprise para entregar predicciones.
• Integración con flujos de trabajo de CI/CD: Cloud Build te permite automatizar la compilación y la implementación de tus modelos de AA en tus flujos de trabajo de CI/CD. Esta automatización garantiza que tus modelos estén actualizados y se implementen en producción.
• Activa compilaciones según los cambios en el código: Cloud Build puede activar automáticamente compilaciones cuando se realizan cambios en el código del modelo o en la definición de la canalización. Esta automatización ayuda a garantizar que tus modelos se compilen con el código más reciente y que los cambios se implementen automáticamente en la producción.
• Obtén una infraestructura escalable y segura: Cloud Build usa unaGoogle Cloud infraestructura escalable y segura para compilar y, luego, implementar tus modelos. Esta escalabilidad significa que no tienes que preocuparte por administrar tu propia infraestructura y puedes enfocarte en desarrollar tus modelos.
• Compatibilidad con varios lenguajes de programación: Cloud Build admite varios lenguajes de programación, incluidos Python, Java, Go y Node.js. Esta compatibilidad te permite compilar tus modelos con el lenguaje que elijas.
• Usa pasos de compilación prediseñados: Para simplificar el proceso de compilación, Cloud Build ofrece pasos de compilación prediseñados para tareas de AA comunes, como instalar dependencias, ejecutar pruebas y enviar imágenes a registros de contenedores.
• Crea pasos de compilación personalizados: Puedes definir tus propios pasos de compilación personalizados en Cloud Build para ejecutar cualquier código arbitrario durante el proceso de compilación.
• Compila artefactos para otros servicios de Agent Platform: Cloud Build puede compilar artefactos para otros servicios de Agent Platform, como Feature Store en Agent Platform y Agent Platform Data Labeling. Esta flexibilidad te ayuda a crear un flujo de trabajo de AA completo enGoogle Cloud.
• Implementa una solución rentable: Cloud Build ofrece un modelo de precios de pago por uso, por lo que solo pagas por los recursos que usas.

Casos de uso de Cloud Storage

Considera los siguientes casos de uso de Cloud Storage con Agent Platform:

• Almacena datos de entrenamiento: Agent Platform te permite almacenar tus conjuntos de datos de entrenamiento en buckets de Cloud Storage. Usar Cloud Storage ofrece varias ventajas:
  • Cloud Storage puede controlar conjuntos de datos de cualquier tamaño, lo que te permite entrenar modelos con grandes cantidades de datos sin limitaciones de almacenamiento.
  • Puedes configurar controles de acceso y encriptación detallados en tus buckets de Cloud Storage para garantizar que tus datos de entrenamiento sensibles estén protegidos.
  • Cloud Storage te permite hacer un seguimiento de los cambios y revertir a versiones anteriores de tus datos, lo que proporciona valiosas pistas de auditoría y facilita la reproducción de experimentos de entrenamiento.
  • La Plataforma de agentes se integra perfectamente con Cloud Storage, lo que te permite acceder a tus datos de entrenamiento dentro de la plataforma.
• Almacena artefactos del modelo: Puedes almacenar artefactos del modelo entrenado, como archivos del modelo, configuraciones de hiperparámetros y registros de entrenamiento, en buckets de Cloud Storage. Con Cloud Storage, puedes hacer lo siguiente:
  • Mantén todos los artefactos de tu modelo en Cloud Storage como un repositorio centralizado para acceder a ellos y administrarlos de manera conveniente.
  • Realiza un seguimiento de las diferentes versiones de tus modelos y adminístralas, lo que facilita las comparaciones y las reversiones si es necesario.
  • Otorga a los miembros del equipo y a los colaboradores acceso a buckets específicos de Cloud Storage para compartir modelos de manera eficiente.
• Almacena datos de producción: En el caso de los modelos que se usan en producción, Cloud Storage puede almacenar los datos que se ingresan en el modelo para la predicción. Por ejemplo, puedes usar Cloud Storage para realizar las siguientes acciones:
  • Almacenar datos del usuario y las interacciones para brindar recomendaciones personalizadas en tiempo real
  • Conservar imágenes para el procesamiento y la clasificación a pedido con tus modelos
  • Mantener los datos de las transacciones para la identificación de fraude en tiempo real con tus modelos
• Integración con otros servicios: Cloud Storage se integra sin problemas con otros Google Cloud servicios que se usan en los flujos de trabajo de Agent Platform, como los siguientes:
  • Dataflow para canalizaciones optimizadas de preprocesamiento y transformación de datos
  • BigQuery para acceder a grandes conjuntos de datos almacenados en BigQuery para el entrenamiento y la inferencia de modelos
  • Funciones de Cloud Run para acciones basadas en predicciones del modelo o cambios de datos en buckets de Cloud Storage
• Administra los costos: Cloud Storage ofrece un modelo de precios de pago por uso, lo que significa que solo pagas por el almacenamiento que usas. Esto proporciona eficiencia en los costos, en especial para los conjuntos de datos grandes.
• Habilita la alta disponibilidad y durabilidad: Cloud Storage garantiza que tus datos tengan alta disponibilidad y estén protegidos contra fallas o interrupciones, lo que garantiza la confiabilidad y el acceso sólido a tus recursos de AA.
• Habilita la compatibilidad con varias regiones: Almacena tus datos en varias regiones de Cloud Storage que estén geográficamente más cerca de tus usuarios o aplicaciones, lo que mejora el rendimiento y reduce la latencia para el acceso a los datos y las predicciones del modelo.

Casos de uso de Cloud Run Functions

Considera los siguientes casos de uso de Cloud Run Functions con Agent Platform:

• Procesamiento previo y posterior de datos: Las funciones de Cloud Run pueden procesar previamente los datos antes de enviarlos a tu modelo de Agent Platform para el entrenamiento o la predicción. Por ejemplo, una función puede limpiar y normalizar datos, o extraer atributos de ellos. Del mismo modo, Cloud Run Functions puede realizar un procesamiento posterior del resultado de tu modelo de Agent Platform. Por ejemplo, una función puede dar formato a los datos de salida o enviarlos a otro servicio para su análisis posterior.
• Activa automáticamente los trabajos de entrenamiento de la Plataforma de agentes: Para automatizar el entrenamiento de los modelos de la Plataforma de agentes, puedes activar funciones de Cloud Run con eventos de varios servicios deGoogle Cloud , como Cloud Storage, Pub/Sub y Cloud Scheduler. Por ejemplo, puedes crear una función que se active cuando se suba un archivo nuevo a Cloud Storage. Esta función puede iniciar un trabajo de entrenamiento de Agent Platform para entrenar tu modelo con los datos nuevos.
• Publica predicciones: Las funciones de Cloud Run pueden publicar predicciones de tus modelos de Agent Platform, lo que te permite crear un extremo de API para tu modelo sin tener que administrar ninguna infraestructura. Por ejemplo, puedes escribir una función que tome una imagen como entrada y genere una predicción a partir de tu modelo de clasificación de imágenes de Agent Platform. Luego, puedes implementar esta función como un extremo de API de HTTP.
• Compila flujos de trabajo de AA basados en eventos: Puedes usar Cloud Run Functions para compilar flujos de trabajo de AA basados en eventos. Por ejemplo, una función puede activar un trabajo de predicción de Agent Platform cuando se agrega un registro nuevo a un tema de Pub/Sub. Esta función te permite procesar datos en tiempo real y tomar medidas en función de las predicciones de tu modelo.
• Integración con otros servicios: Puedes integrar Cloud Run Functions con otros Google Cloud servicios, como Cloud Storage, BigQuery y Cloud Firestore. La integración te permite compilar canalizaciones de AA complejas que conectan diferentes servicios.
• Optimiza los costos: Las funciones de Cloud Run significan que solo pagas por los recursos que usa tu función mientras se ejecuta. Además, las Cloud Run Functions se escalan automáticamente para satisfacer la demanda, de modo que mantengas los recursos adecuados durante los períodos de mayor tráfico.

Casos de uso de Pub/Sub

Considera los siguientes casos de uso de Pub/Sub con Agent Platform:

• Arquitectura asíncrona controlada por eventos: Pub/Sub permite la comunicación controlada por eventos para que puedas activar las canalizaciones de Agent Platform en función de los eventos que se publican en los temas de Pub/Sub. Estos eventos pueden incluir datos nuevos y actualizaciones de modelos.
• Escalabilidad y confiabilidad: Pub/Sub es altamente escalable, lo que te permite controlar numerosos eventos sin afectar el rendimiento. La escalabilidad es fundamental para procesar grandes conjuntos de datos o ejecutar varios trabajos de AA simultáneos. Pub/Sub también proporciona una entrega y un ordenamiento confiables de los mensajes dentro de un tema, lo que garantiza la coherencia del procesamiento incluso con cargas de trabajo pesadas.
• Flexibilidad: Puedes integrar Agent Platform con otros servicios, como las funciones de Cloud Run o Dataflow, a través de Pub/Sub, lo que te permite crear canalizaciones de AA flexibles y dinámicas.
• Supervisión y alertas en tiempo real: Pub/Sub te permite suscribirte a temas específicos para recibir notificaciones en tiempo real sobre los eventos en tus canalizaciones de Agent Platform. La supervisión en tiempo real te ayuda a supervisar el progreso del entrenamiento de modelos, los resultados del procesamiento previo de los datos y el resultado de la predicción. Puedes configurar alertas basadas en eventos específicos, como trabajos fallidos o anomalías detectadas durante la predicción. Las alertas permiten una intervención proactiva y una solución de problemas oportuna.

Por ejemplo, puedes usar Pub/Sub para hacer lo siguiente:

• Activa el entrenamiento de modelos cuando lleguen datos nuevos a un bucket de Cloud Storage.
• Envía predicciones en tiempo real desde un modelo implementado a sistemas posteriores para su procesamiento adicional.
• Supervisar y reaccionar a los cambios en las métricas de rendimiento del modelo
• Activa alertas para eventos críticos, como predicciones fallidas o problemas de calidad de los datos.

Casos de uso de Resource Manager

Considera los siguientes casos de uso de Resource Manager con Agent Platform:

• Crea proyectos separados para diferentes equipos o departamentos para garantizar el aislamiento de los recursos y los datos, y controles de acceso detallados.
• Aplica políticas de seguridad protectoras a las cargas de trabajo de IA.
• Define cuotas para el uso de GPU en los trabajos de entrenamiento y evita que se excedan los costos.
• Automatizar la creación de instancias de Compute Engine y buckets de Cloud Storage necesarios para proyectos nuevos
• Realiza un seguimiento y analiza los patrones de uso de recursos para proyectos específicos con el objetivo de optimizar la asignación de recursos.
• Genera informes de auditoría para demostrar el cumplimiento de las políticas de administración y seguridad de datos.

Casos de uso de Secret Manager

Considera los siguientes casos de uso de Secret Manager con Agent Platform:

• Almacenar claves de API para acceder a fuentes de datos externas que se usan en el entrenamiento de modelos
• Encripta las credenciales de la base de datos dentro de las canalizaciones de predicción para un acceso seguro.
• Proporciona tokens de acceso temporales para la comunicación segura entre servicios.
• Protege las claves privadas y los certificados que usas para encriptar los canales de comunicación.
• Administra las contraseñas y las credenciales de los servicios de terceros que usas en tus flujos de trabajo de AA.

Casos de uso de la VPC

Considera los siguientes casos de uso de la VPC con Agent Platform:

• Define reglas de firewall y controles de acceso detallados dentro de tu red de VPC para restringir el tráfico y permitir solo las conexiones autorizadas a recursos específicos.

• Organiza los recursos de tu Agent Platform en redes de VPC separadas según los requisitos de seguridad o de función.

  Este tipo de organización ayuda a aislar los recursos y evita el acceso no autorizado entre diferentes proyectos o equipos. Puedes crear redes de VPC dedicadas para cargas de trabajo sensibles, como el entrenamiento de modelos con datos confidenciales, y asegurarte de que solo los usuarios y servicios autorizados tengan acceso a la red.

¿Qué sigue?

• Revisa los roles de IAM recomendados.

• Consulta más Google Cloud prácticas recomendadas y pautas de seguridad.