Bonnes pratiques de sécurité pour l'IA générative

Ce document décrit une architecture d'IA générative typique dansGoogle Cloud. Il liste également les bonnes pratiques de sécurité applicables aux charges de travail d'IA générative et décrit quand utiliser des servicesGoogle Cloud spécifiques.

Architecture

Le schéma suivant montre les services Google Cloud dans une architecture d'IA générative typique qui utilise la plate-forme d'agents Gemini Enterprise.

Ce schéma comprend les éléments suivants :

• La plate-forme d'agents vous permet de créer et d'utiliser l'IA générative, y compris des solutions d'IA, la recherche et la conversation, sur une seule plate-forme.

• Artifact Registry simplifie le processus de développement et de déploiement du machine learning (ML), améliore la collaboration et assure la sécurité et la fiabilité de vos modèles de ML.

• BigQuery simplifie l'accès aux données, permet une analyse évolutive et vous permet d'utiliser ses capacités de ML dans vos workflows de ML.

• Les journaux d'audit Cloud suivent les actions effectuées par vos utilisateurs dans votre environnement, ce qui améliore vos capacités de dépannage, d'audit et de réponse aux incidents.

• Les tableaux de bord et les alertes Cloud Billing vous permettent d'examiner l'utilisation et la facturation des charges de travail Agent Platform.

• Cloud Build vous permet de créer, tester et déployer une plate-forme CI/CD sans serveur sur Google Cloud.

• Cloud Identity unifie l'identité, l'accès, les applications et la gestion pour Google Cloud.

• Les fonctions Cloud Run automatisent les tâches, diffusent des prédictions, déclenchent des jobs d'entraînement, s'intègrent à d'autres services et créent des pipelines de ML axés sur les événements.

• Cloud Storage stocke les données d'entraînement, les artefacts de modèle et les données de production.

• Dataflow vous permet de créer des pipelines complexes qui ingèrent des données provenant de diverses sources et les agrègent de manière appropriée.

• Cloud DNS enregistre, gère et diffuse votre domaine.

• Identity and Access Management (IAM) contrôle qui peut effectuer des actions spécifiques sur vos ressources de charge de travail générative, comme les créer, les modifier ou les supprimer.

• Le service de règles d'administration gère et applique de manière centralisée les règles dans votre environnement Google Cloud. Les règles d'administration permettent d'assurer une configuration et une conformité de sécurité cohérentes pour les projets et les ressources de votre organisation.

• Pub/Sub permet une communication et une automatisation efficaces dans vos workflows de machine learning.

• Resource Manager vous aide à regrouper et à gérer les composants logiques de vos charges de travail Agent Platform.

• Secret Manager vous aide à protéger les données et les identifiants sensibles utilisés dans les projets Agent Platform.

• Sensitive Data Protection automatise la découverte des données sensibles dans vos ensembles de données. Sensitive Data Protection peut analyser les requêtes et masquer les données sensibles avant qu'elles n'atteignent le modèle. La protection des données sensibles peut également analyser la sortie du modèle pour éviter la fuite de données d'entraînement sensibles dans les réponses.

• Security Command Center vous aide à protéger votre organisation cloud, vos charges de travail d'IA et les données d'IA que vous stockez sur Google Cloud. Security Command Center fournit les éléments suivants :

  • Gestion centralisée de la sécurité
  • Détection des menaces et réponse aux incidents
  • Évaluations de sécurité automatisées
  • Conformité et rapports réglementaires
  • Recommandations et bonnes pratiques de sécurité

• Le cloud privé virtuel (VPC) isole vos ressources d'IA d'Internet dans un environnement sécurisé. Cette configuration réseau permet de protéger les données et les modèles sensibles contre tout accès non autorisé et toute cyberattaque potentielle.

• Cloud VPN ou Cloud Interconnect vous permettent d'établir une connexion réseau sécurisée entre votre infrastructure sur site et votre environnement Agent Platform. Cloud VPN ou Cloud Interconnect permettent de transférer des données et de communiquer de manière fluide entre votre réseau privé et les ressources Google Cloud. Envisagez cette intégration pour des scénarios tels que l'accès à des données sur site pour l'entraînement de modèles ou le déploiement de modèles sur des ressources sur site pour l'inférence.

Bonnes pratiques pour les charges de travail d'IA générative

Cette section fournit des liens vers les bonnes pratiques pour les charges de travail d'IA générative qui utilisent la plate-forme d'agents.

• Groupes d'utilisateurs et rôles IAM recommandés

• Bonnes pratiques pour un socle d'entreprise sécurisé

  • Bonnes pratiques d'authentification et d'autorisation

    • Désactiver l'attribution automatique de rôles IAM pour les comptes de service par défaut
    • Bloquer la création de clés de compte de service externes
    • Bloquer l'importation de clés de compte de service
    • Configurer la séparation des tâches pour les administrateurs de règles d'administration
    • Activer la validation en deux étapes pour les comptes super-administrateur
    • Appliquer la validation en deux étapes à l'unité organisationnelle des super-administrateurs
    • Créer une adresse e-mail exclusive pour le super-administrateur principal
    • Créer des comptes administrateur redondants
    • Implémenter des tags pour attribuer efficacement des stratégies IAM et des règles d'administration
    • Auditer les modifications à haut risque apportées à IAM
    • Bloquer l'accès à Cloud Shell pour les comptes utilisateur gérés Cloud Identity
    • Configurer l'accès contextuel pour les consoles Google
    • Bloquer l'autorécupération de compte pour les comptes super-administrateur
    • Désactiver les services Google inutilisés

  • Bonnes pratiques d'organisation

    • Restreindre les versions TLS compatibles avec les API Google
    • Restreindre les principaux autorisés
    • Restreindre l'utilisation des services de ressources
    • Limiter l'emplacement des ressources

  • Bonnes pratiques de mise en réseau

    • Bloquer la création du réseau par défaut
    • Activer les extensions de sécurité DNS
    • Activer la restriction du champ d'application du service dans les règles d'accès Access Context Manager
    • Restreindre les API dans les périmètres de service VPC Service Controls
    • Utiliser un DNS zonal

  • Bonnes pratiques de journalisation, de surveillance et d'alerte

    • Partager les journaux d'audit de Cloud Identity
    • Utiliser les journaux d'audit
    • Activer les journaux de flux VPC
    • Activer la journalisation des règles de pare-feu
    • Activer les journaux d'audit des accès aux données
    • Configurer des alertes de facturation
    • Activer les journaux Access Transparency
    • Exporter les données de facturation pour une analyse détaillée

  • Bonnes pratiques de gestion des clés et des secrets

    • Chiffrer les données au repos dans Google Cloud
    • Utiliser des algorithmes approuvés par le NIST pour le chiffrement et le déchiffrement
    • Définir l'objectif des clés Cloud Key Management Service
    • S'assurer que les paramètres CMEK sont adaptés aux entrepôts de données BigQuery sécurisés
    • Alterner les clés de chiffrement tous les 90 jours
    • Configurer la rotation automatique des secrets
    • Utiliser CMEK pour les messages Pub/Sub
    • Restreindre l'emplacement des clés de chiffrement gérées par le client
    • Utiliser des CMEK pour les services Google Cloud
    • Répliquer automatiquement les secrets

  • Bonnes pratiques concernant la stratégie de sécurité et les données analytiques

    • Activer Security Command Center au niveau de l'organisation
    • Configurer les alertes de Security Command Center

• Bonnes pratiques concernant l'infrastructure

  • Définir les instances de VM pouvant activer le transfert IP
  • Désactiver la virtualisation imbriquée des VM
  • Limiter les adresses IP externes sur les VM
  • Définir les adresses IP externes autorisées pour les instances de VM
  • Exiger un connecteur VPC pour les fonctions Cloud Run
  • Configurer des règles de stockage des messages
  • Désactiver les adresses IP externes pour les jobs Dataflow
  • Utiliser des tags réseau pour les règles de pare-feu

• Bonnes pratiques de gestion des données

  • Activer la protection des données sensibles pour l'inspection des données

  • Bonnes pratiques concernant l'entrepôt de données

    • Assurez-vous que les ensembles de données BigQuery ne sont pas lisibles publiquement ni définis sur "allAuthenticatedUsers"
    • Assurez-vous que les tables BigQuery ne sont pas lisibles publiquement ni définies sur "allAuthenticatedUsers"
    • Chiffrer des valeurs individuelles dans une table BigQuery
    • Utiliser des vues autorisées pour les ensembles de données BigQuery
    • Utiliser la sécurité au niveau des colonnes de BigQuery
    • Utiliser la sécurité au niveau des lignes de BigQuery
    • Utiliser les graphiques de ressources BigQuery

  • Bonnes pratiques de stockage

    • Bloquer l'accès public aux buckets Cloud Storage
    • Utiliser l'accès uniforme au niveau du bucket
    • Protéger les clés HMAC pour les comptes de service
    • Détecter l'énumération des buckets Cloud Storage par les comptes de service
    • Détecter les modifications apportées aux stratégies IAM des buckets Cloud Storage par les comptes de service
    • Assurez-vous que la règle de conservation du bucket Cloud Storage utilise le verrou de bucket
    • Définir des règles de cycle de vie pour l'action SetStorageClass
    • Définir les régions autorisées pour les classes de stockage
    • Activer la gestion du cycle de vie pour les buckets Cloud Storage
    • Activer les règles de gestion du cycle de vie pour les buckets Cloud Storage
    • Examiner et évaluer les obligations de conservation temporaires sur les objets actifs
    • Appliquer des règles de conservation aux buckets Cloud Storage
    • Appliquer des tags de classification aux buckets Cloud Storage
    • Appliquer des buckets de journaux pour les buckets Cloud Storage
    • Configurer des règles de suppression pour les buckets Cloud Storage
    • Assurez-vous que la condition "isLive" est définie sur "False" pour les règles de suppression.
    • Appliquer la gestion des versions pour les buckets Cloud Storage
    • Appliquer des propriétaires pour les buckets Cloud Storage
    • Activer la journalisation des activités clés de Cloud Storage

• Outils et bonnes pratiques en matière d'inférence

  • Définir le mode d'accès pour les notebooks et instances Agent Platform Workbench
  • Désactiver les téléchargements de fichiers sur les instances Agent Platform Workbench
  • Désactiver l'accès root sur les notebooks et instances Agent Platform Workbench gérés par l'utilisateur
  • Désactiver le terminal sur les instances Agent Platform Workbench
  • Limiter les options d'environnement sur les notebooks et instances Agent Platform Workbench
  • Appliquer des mises à jour automatiques planifiées sur les notebooks et instances Agent Platform Workbench gérés par l'utilisateur
  • Limiter l'accès public aux nouveaux notebooks et instances Agent Platform Workbench
  • Restreindre les réseaux VPC sur les instances Agent Platform Workbench

• Bonnes pratiques concernant les agents et les applications

  • Configurer l'analyse des failles pour les artefacts
  • Définir les pools privés autorisés
  • Définir les services externes pouvant appeler des déclencheurs de compilation
  • Créer des règles de nettoyage pour les artefacts

Cas d'utilisation d'Artifact Registry

Voici quelques exemples de cas d'utilisation d'Artifact Registry avec Agent Platform :

• Gérez vos artefacts de ML : Artifact Registry vous permet de stocker et de gérer tous vos artefacts de ML au même endroit, y compris le code d'entraînement des modèles, les ensembles de données, les modèles entraînés et les conteneurs de diffusion des prédictions. Vous pouvez utiliser ce dépôt centralisé pour suivre, partager et réutiliser vos artefacts de ML dans différentes équipes et différents projets.
• Contrôle des versions et reproductibilité : Artifact Registry fournit un contrôle des versions pour vos artefacts de ML, ce qui vous aide à suivre les modifications et à revenir aux versions précédentes si nécessaire. Cette fonctionnalité est essentielle pour garantir la reproductibilité de vos expériences et déploiements de ML.
• Stockage sécurisé et fiable : Artifact Registry offre un stockage sécurisé et fiable pour vos artefacts de ML. Ces artefacts sont chiffrés au repos et en transit. Configurez le contrôle des accès pour limiter les personnes pouvant accéder aux artefacts. Vous pourrez ainsi protéger vos données précieuses et votre propriété intellectuelle.
• Intégration aux pipelines Gemini Enterprise Agent Platform : intégrez Artifact Registry aux pipelines Agent Platform pour créer et automatiser vos workflows de ML. Utilisez Artifact Registry pour stocker les artefacts de votre pipeline (par exemple, vos définitions, votre code et vos données de pipeline) et pour déclencher automatiquement les exécutions de pipeline lorsque de nouveaux artefacts sont importés.
• Simplifiez la CI/CD pour le ML : intégrez Artifact Registry à vos outils CI/CD pour simplifier le développement et le déploiement de vos modèles de ML. Par exemple, utilisez Artifact Registry pour compiler et déployer automatiquement votre conteneur de diffusion de modèle chaque fois que vous envoyez une nouvelle version de votre modèle vers Artifact Registry.
• Compatibilité multirégion : Artifact Registry vous permet de stocker vos artefacts dans plusieurs régions, ce qui peut contribuer à améliorer les performances et la disponibilité de vos modèles de ML, en particulier si vos utilisateurs sont situés dans différentes parties du monde.

Cas d'utilisation de BigQuery

Voici quelques cas d'utilisation de BigQuery avec la plate-forme d'agents :

• Intégration parfaite : BigQuery et la plate-forme d'agents sont étroitement intégrées, ce qui vous permet d'accéder à vos données et de les analyser directement dans la plate-forme d'agents. Cette intégration élimine le besoin de déplacer les données, simplifie votre workflow de ML et réduit les frictions.
• Analyse de données évolutive : BigQuery propose un entrepôt de données à l'échelle du pétaoctet, ce qui vous permet d'analyser des ensembles de données volumineux sans vous soucier des limites d'infrastructure. Cette évolutivité est essentielle pour entraîner et déployer des modèles de ML gourmands en données.
• ML basé sur SQL : BigQuery ML vous permet d'utiliser des commandes SQL que vous connaissez pour entraîner et déployer des modèles directement dans BigQuery. Cette fonctionnalité permet aux analystes de données et aux utilisateurs de SQL d'utiliser des fonctionnalités de ML sans avoir besoin de compétences avancées en programmation.
• Prédictions en ligne et par lot : BigQuery ML accepte les prédictions en ligne et par lot. Vous pouvez exécuter des prédictions en temps réel sur des lignes individuelles ou générer des prédictions pour de grands ensembles de données en mode batch. Cette flexibilité permet de prendre en charge divers cas d'utilisation avec des exigences de latence variables.
• Réduction des déplacements de données : avec BigQuery ML, vous n'avez pas besoin de déplacer vos données vers des ressources de stockage ou de calcul distinctes pour l'entraînement et le déploiement de modèles. Cette réduction des mouvements simplifie votre workflow, réduit la latence et minimise les coûts associés au transfert de données.
• Surveillance des modèles : Agent Platform offre des fonctionnalités complètes de surveillance des modèles, qui vous permettent de suivre les performances, l'équité et l'explicabilité de vos modèles BigQuery ML. La surveillance des modèles vous aide à vous assurer que vos modèles fonctionnent comme prévu et à résoudre les problèmes potentiels.
• Modèles pré-entraînés : la plate-forme Agent Platform offre un accès à des modèles pré-entraînés, y compris ceux pour le traitement du langage naturel et la vision par ordinateur. Vous pouvez utiliser ces modèles dans BigQuery pour améliorer votre analyse et extraire des insights plus approfondis de vos données.
• Solution économique : BigQuery ML offre un moyen économique et flexible d'entraîner et de déployer des modèles de ML. Vous ne payez que les ressources que vous utilisez, ce qui en fait une option abordable pour les organisations de toutes tailles.
• Fonctionnalités d'analyse avancées : BigQuery fournit des outils d'analyse avancée, y compris l'analyse géospatiale et les prévisions. Ces outils vous permettent de combiner le ML avec d'autres techniques analytiques pour explorer plus en détail vos données et obtenir des insights plus riches.
• Collaboration améliorée : en utilisant BigQuery avec Agent Platform, les data scientists, les ingénieurs ML et les analystes peuvent collaborer de manière fluide sur les projets de ML. Cette collaboration permet de créer une approche plus intégrée et efficace pour résoudre les problèmes de données complexes.

Cas d'utilisation de Cloud Build

Voici quelques exemples de cas d'utilisation de Cloud Build avec Agent Platform :

• Automatisez la création de pipelines de ML : Cloud Build vous permet d'automatiser la création et le test de vos pipelines de ML définis dans Agent Platform Pipelines. Cette automatisation vous aide à créer et à déployer vos modèles plus rapidement et de manière plus cohérente.
• Créer des images de conteneurs personnalisées pour le déploiement : Cloud Build peut créer des images de conteneurs personnalisées pour vos environnements de diffusion de modèles. Cloud Build vous permet d'empaqueter votre code de modèle, vos dépendances et votre environnement d'exécution dans une seule image que vous pouvez déployer sur Gemini Enterprise Agent Platform Inference pour diffuser des prédictions.
• Intégration aux workflows CI/CD : Cloud Build vous permet d'automatiser la création et le déploiement de vos modèles de ML dans vos workflows CI/CD. Cette automatisation garantit que vos modèles sont à jour et déployés en production.
• Déclencher des compilations en fonction des modifications apportées au code : Cloud Build peut déclencher automatiquement des compilations lorsque des modifications sont apportées au code de votre modèle ou à la définition de votre pipeline. Cette automatisation permet de s'assurer que vos modèles sont créés avec le code le plus récent et que toutes les modifications sont automatiquement déployées en production.
• Obtenez une infrastructure évolutive et sécurisée : Cloud Build utilise une infrastructureGoogle Cloud évolutive et sécurisée pour créer et déployer vos modèles. Cette évolutivité signifie que vous n'avez pas à vous soucier de la gestion de votre propre infrastructure et que vous pouvez vous concentrer sur le développement de vos modèles.
• Prise en charge de différents langages de programmation : Cloud Build est compatible avec différents langages de programmation, y compris Python, Java, Go et Node.js. Cette compatibilité vous permet de créer vos modèles dans la langue de votre choix.
• Utiliser des étapes de compilation prédéfinies : pour simplifier le processus de compilation, Cloud Build propose des étapes de compilation prédéfinies pour les tâches de ML courantes, telles que l'installation de dépendances, l'exécution de tests et l'envoi d'images vers des registres de conteneurs.
• Créer des étapes de compilation personnalisées : vous pouvez définir vos propres étapes de compilation personnalisées dans Cloud Build pour exécuter n'importe quel code arbitraire pendant le processus de compilation.
• Créer des artefacts pour d'autres services Agent Platform : Cloud Build peut créer des artefacts pour d'autres services Agent Platform, tels que Feature Store sur Agent Platform et Agent Platform Data Labeling. Cette flexibilité vous aide à créer un workflow de ML complet surGoogle Cloud.
• Bénéficiez d'une solution économique : Cloud Build propose un modèle de tarification à l'usage. Vous ne payez donc que les ressources que vous utilisez.

Cas d'utilisation de Cloud Storage

Voici quelques cas d'utilisation de Cloud Storage avec la plate-forme d'agent :

• Stocker les données d'entraînement : la plate-forme d'agent vous permet de stocker vos ensembles de données d'entraînement dans des buckets Cloud Storage. L'utilisation de Cloud Storage offre plusieurs avantages :
  • Cloud Storage peut gérer des ensembles de données de n'importe quelle taille, ce qui vous permet d'entraîner des modèles sur de grandes quantités de données sans limite de stockage.
  • Vous pouvez définir des contrôles d'accès précis et un chiffrement sur vos buckets Cloud Storage pour vous assurer que vos données d'entraînement sensibles sont protégées.
  • Cloud Storage vous permet de suivre les modifications et de revenir aux versions précédentes de vos données. Vous obtenez ainsi des journaux d'audit précieux et vous facilitez la reproductibilité des expériences d'entraînement.
  • La plate-forme d'agents s'intègre parfaitement à Cloud Storage, ce qui vous permet d'accéder à vos données d'entraînement au sein de la plate-forme.
• Stocker les artefacts de modèle : vous pouvez stocker les artefacts de modèle entraînés, tels que les fichiers de modèle, les configurations d'hyperparamètres et les journaux d'entraînement, dans des buckets Cloud Storage. Cloud Storage vous permet d'effectuer les opérations suivantes :
  • Conservez tous vos artefacts de modèle dans Cloud Storage en tant que dépôt centralisé pour y accéder et les gérer facilement.
  • Suivez et gérez différentes versions de vos modèles, ce qui facilite les comparaisons et les retours en arrière si nécessaire.
  • Accorder à vos coéquipiers et collaborateurs l'accès à des buckets Cloud Storage spécifiques pour partager efficacement des modèles
• Stocker les données de production : pour les modèles utilisés en production, Cloud Storage peut stocker les données fournies au modèle pour la prédiction. Par exemple, vous pouvez utiliser Cloud Storage pour effectuer les opérations suivantes :
  • Stockez les informations sur l'utilisateur et les interactions pour obtenir des recommandations personnalisées en temps réel.
  • Conservez les images pour le traitement et la classification à la demande à l'aide de vos modèles.
  • Conservez les données de transaction pour identifier les fraudes en temps réel à l'aide de vos modèles.
• Intégration à d'autres services : Cloud Storage s'intègre parfaitement à d'autres services Google Cloud utilisés dans les workflows Agent Platform, tels que les suivants :
  • Dataflow pour des pipelines de prétraitement et de transformation des données simplifiés.
  • BigQuery pour accéder à de grands ensembles de données stockés dans BigQuery pour l'entraînement de modèle et l'inférence.
  • Fonctions Cloud Run pour les actions basées sur les prédictions de modèles ou les modifications de données dans les buckets Cloud Storage.
• Gérez vos coûts : Cloud Storage propose un modèle de tarification à l'usage, ce qui signifie que vous ne payez que le stockage que vous utilisez. Cela permet de réduire les coûts, en particulier pour les grands ensembles de données.
• Activer la haute disponibilité et la durabilité : Cloud Storage garantit la disponibilité élevée de vos données et les protège contre les défaillances ou les indisponibilités, ce qui assure la fiabilité et un accès robuste à vos composants de ML.
• Activez la compatibilité multirégionale : stockez vos données dans plusieurs régions Cloud Storage géographiquement plus proches de vos utilisateurs ou applications. Vous améliorerez ainsi les performances et réduirez la latence pour l'accès aux données et les prédictions de modèles.

Cas d'utilisation de Cloud Run Functions

Voici quelques cas d'utilisation des fonctions Cloud Run avec la plate-forme d'agents :

• Prétraiter et post-traiter les données : les fonctions Cloud Run peuvent prétraiter les données avant de les envoyer à votre modèle Agent Platform pour l'entraînement ou la prédiction. Par exemple, une fonction peut nettoyer et normaliser des données, ou en extraire des caractéristiques. De même, les fonctions Cloud Run peuvent post-traiter la sortie de votre modèle Agent Platform. Par exemple, une fonction peut mettre en forme les données de sortie ou les envoyer à un autre service pour une analyse plus approfondie.
• Déclencher automatiquement les jobs d'entraînement Agent Platform : pour automatiser l'entraînement des modèles Agent Platform, vous pouvez déclencher des fonctions Cloud Run à l'aide d'événements provenant de différents servicesGoogle Cloud , tels que Cloud Storage, Pub/Sub et Cloud Scheduler. Par exemple, vous pouvez créer une fonction qui se déclenche lorsqu'un nouveau fichier est importé dans Cloud Storage. Cette fonction peut démarrer une tâche d'entraînement Agent Platform pour entraîner votre modèle sur les nouvelles données.
• Diffuser des prédictions : les fonctions Cloud Run peuvent diffuser des prédictions à partir de vos modèles Agent Platform, ce qui vous permet de créer un point de terminaison d'API pour votre modèle sans avoir à gérer d'infrastructure. Par exemple, vous pouvez écrire une fonction qui prend une image en entrée et génère une prédiction à partir de votre modèle de classification d'images Agent Platform. Vous pouvez ensuite déployer cette fonction en tant que point de terminaison d'API HTTP.
• Créez des workflows de ML basés sur des événements : vous pouvez utiliser les fonctions Cloud Run pour créer des workflows de ML basés sur des événements. Par exemple, une fonction peut déclencher une tâche de prédiction Agent Platform lorsqu'un nouvel enregistrement est ajouté à un sujet Pub/Sub. Cette fonction vous permet de traiter les données en temps réel et d'agir en fonction des prédictions de votre modèle.
• Intégration à d'autres services : vous pouvez intégrer des fonctions Cloud Run à d'autres services Google Cloud , tels que Cloud Storage, BigQuery et Cloud Firestore. L'intégration vous permet de créer des pipelines de ML complexes qui connectent différents services.
• Rationalisez les coûts : avec les fonctions Cloud Run, vous ne payez que les ressources utilisées par votre fonction pendant son exécution. De plus, les fonctions Cloud Run sont automatiquement mises à l'échelle pour répondre à la demande, ce qui vous permet de disposer des ressources appropriées en cas de pic de trafic.

Cas d'utilisation de Pub/Sub

Voici quelques exemples de cas d'utilisation de Pub/Sub avec la plate-forme d'agent :

• Architecture asynchrone basée sur des événements : Pub/Sub permet une communication basée sur des événements. Vous pouvez ainsi déclencher des pipelines Agent Platform en fonction des événements publiés dans les sujets Pub/Sub. Ces événements peuvent inclure de nouvelles données et des mises à jour de modèles.
• Évolutivité et fiabilité : Pub/Sub est hautement évolutif, ce qui vous permet de gérer de nombreux événements sans impacter les performances. La scalabilité est essentielle pour traiter de grands ensembles de données ou exécuter plusieurs jobs de ML simultanément. Pub/Sub assure également la fiabilité de la distribution et de l'ordre des messages dans un sujet, ce qui garantit la cohérence du traitement même en cas de charges de travail importantes.
• Flexibilité : vous pouvez intégrer la plate-forme d'agents à d'autres services tels que Cloud Run Functions ou Dataflow à l'aide de Pub/Sub, ce qui vous permet de créer des pipelines de ML flexibles et dynamiques.
• Surveillance et alertes en temps réel : Pub/Sub vous permet de vous abonner à des thèmes spécifiques pour recevoir des notifications en temps réel sur les événements dans vos pipelines Agent Platform. La surveillance en temps réel vous aide à suivre la progression de l'entraînement du modèle, les résultats du prétraitement des données et les résultats de prédiction. Vous pouvez configurer des alertes en fonction d'événements spécifiques, comme des échecs de jobs ou des anomalies détectées lors de la prédiction. Les alertes permettent une intervention proactive et un dépannage rapide.

Par exemple, vous pouvez utiliser Pub/Sub pour effectuer les opérations suivantes :

• Déclenchez l'entraînement du modèle lorsque de nouvelles données arrivent dans un bucket Cloud Storage.
• Envoyez des prédictions en temps réel à partir d'un modèle déployé vers des systèmes en aval pour un traitement ultérieur.
• Surveillez les variations des métriques de performances du modèle et réagissez en conséquence.
• Déclenchez des alertes pour les événements critiques, comme les échecs de prédiction ou les problèmes de qualité des données.

Cas d'utilisation de Resource Manager

Voici quelques exemples de cas d'utilisation de Resource Manager avec Agent Platform :

• Créez des projets distincts pour différentes équipes ou différents services afin d'assurer l'isolation des ressources et des données, et de bénéficier de contrôles d'accès précis.
• Appliquez des règles de sécurité protectrices aux charges de travail d'IA.
• Définissez des quotas pour l'utilisation de GPU dans les tâches d'entraînement afin d'éviter les dépassements de coûts.
• Automatisez la création des buckets Cloud Storage et des instances Compute Engine requis pour les nouveaux projets.
• Suivez et analysez les modèles d'utilisation des ressources pour des projets spécifiques afin d'optimiser l'allocation des ressources.
• Générez des rapports d'audit pour prouver votre conformité aux règles de gouvernance et de sécurité des données.

Cas d'utilisation de Secret Manager

Voici quelques exemples de cas d'utilisation de Secret Manager avec Agent Platform :

• Stockez les clés API permettant d'accéder aux sources de données externes utilisées dans l'entraînement de modèle.
• Chiffrez les identifiants de base de données dans les pipelines de prédiction pour un accès sécurisé.
• Provisionnez des jetons d'accès temporaires pour une communication sécurisée entre les services.
• Sécurisez les clés privées et les certificats que vous utilisez pour chiffrer les canaux de communication.
• Gérez les mots de passe et les identifiants des services tiers que vous utilisez dans vos workflows de ML.

Cas d'utilisation de VPC

Voici quelques exemples de cas d'utilisation de VPC avec Agent Platform :

• Définissez des règles de pare-feu et des contrôles d'accès précis dans votre réseau VPC pour limiter le trafic et n'autoriser que les connexions autorisées à des ressources spécifiques.

• Organisez vos ressources Agent Platform dans des réseaux VPC distincts en fonction des exigences de fonctionnalité ou de sécurité.

  Ce type d'organisation permet d'isoler les ressources et d'empêcher l'accès non autorisé entre différents projets ou équipes. Vous pouvez créer des réseaux VPC dédiés pour les charges de travail sensibles, comme l'entraînement de modèles avec des données confidentielles, en veillant à ce que seuls les utilisateurs et services autorisés aient accès au réseau.

Étapes suivantes

• Consultez les rôles IAM recommandés.

• Consultez d'autres Google Cloud bonnes pratiques et consignes de sécurité.