Práticas recomendadas de segurança para IA generativa

Este documento descreve uma arquitetura típica de IA generativa em Google Cloud. Ele também lista as práticas recomendadas de segurança aplicáveis a cargas de trabalho de IA generativa e descreve quando usar serviços específicos doGoogle Cloud .

Arquitetura

O diagrama a seguir mostra os serviços do Google Cloud em uma arquitetura típica de IA generativa que usa a plataforma de agentes do Gemini Enterprise.

O diagrama inclui os seguintes pontos:

• A plataforma de agentes permite criar e usar IA generativa, incluindo soluções de IA, pesquisa e conversa, em uma única plataforma.

• O Artifact Registry simplifica o processo de desenvolvimento e implantação de aprendizado de máquina (ML), melhora a colaboração e garante a segurança e a confiabilidade dos seus modelos de ML.

• O BigQuery simplifica o acesso aos dados, permite análises escalonáveis e possibilita o uso dos recursos de ML nos seus fluxos de trabalho de ML.

• Os registros de auditoria do Cloud monitoram as ações dos usuários no seu ambiente, o que melhora suas capacidades de solução de problemas, auditoria e resposta a incidentes.

• Com os painéis e alertas do Cloud Billing, é possível analisar o uso e o faturamento das cargas de trabalho do Agent Platform.

• Com o Cloud Build, é possível criar, testar e implantar uma plataforma de CI/CD sem servidor no Google Cloud.

• O Cloud Identity unifica identidade, acesso, aplicativos e gerenciamento para Google Cloud.

• As funções do Cloud Run automatizam tarefas, oferecem previsões, acionam jobs de treinamento, se integram a outros serviços e criam pipelines de ML acionados por eventos.

• O Cloud Storage armazena dados de treinamento, artefatos de modelo e dados de produção.

• Com o Dataflow, é possível criar pipelines complexos que ingerem dados de várias fontes e os agregam conforme necessário.

• O Cloud DNS registra, gerencia e veicula seu domínio.

• O Identity and Access Management (IAM) controla quem pode realizar ações específicas nos recursos de carga de trabalho generativa, como criar, editar ou excluir.

• O Organization Policy Service gerencia e aplica políticas de maneira centralizada em todo o ambiente do Google Cloud. A Política da organização ajuda a garantir a conformidade consistente da configuração e da segurança em todos os projetos e recursos da sua organização.

• O Pub/Sub permite uma comunicação e automação eficientes nos seus fluxos de trabalho de machine learning.

• O Resource Manager ajuda você a agrupar e gerenciar componentes lógicos das cargas de trabalho da Agent Platform.

• O Secret Manager ajuda a proteger os dados sensíveis e as credenciais usadas em projetos do Agent Platform.

• A Proteção de Dados Sensíveis automatiza a descoberta de dados sensíveis nos seus conjuntos de dados. A Proteção de Dados Sensíveis pode verificar comandos e encobrir dados sensíveis antes que eles cheguem ao modelo. A Proteção de Dados Sensíveis também pode verificar a saída do modelo para evitar o vazamento de dados de treinamento sensíveis nas respostas.

• O Security Command Center ajuda a proteger sua organização na nuvem, suas cargas de trabalho de IA e os dados de IA armazenados no Google Cloud. O Security Command Center oferece o seguinte:

  • Gerenciamento de segurança centralizado
  • Detecção de ameaças e resposta a incidentes
  • Avaliações de segurança automatizadas
  • Conformidade e relatórios regulamentares
  • Recomendações e práticas recomendadas de segurança

• A nuvem privada virtual (VPC) isola seus recursos de IA da Internet em um ambiente seguro. Essa configuração de rede ajuda a proteger dados e modelos sensíveis contra acesso não autorizado e possíveis ataques cibernéticos.

• Com o Cloud VPN ou o Cloud Interconnect, é possível estabelecer uma conexão de rede segura entre sua infraestrutura local e o ambiente do Agent Platform. O Cloud VPN ou o Cloud Interconnect ajudam a permitir a transferência de dados e a comunicação entre sua rede privada e os recursos do Google Cloud sem problemas. Considere essa integração para cenários como acesso a dados locais para treinamento de modelo ou implantação de modelos em recursos locais para inferência.

Práticas recomendadas para cargas de trabalho de IA generativa

Esta seção fornece links para as práticas recomendadas de cargas de trabalho de IA generativa que usam a Agent Platform.

• Grupos de usuários e papéis do IAM recomendados

• Práticas recomendadas para uma base empresarial segura

  • Práticas recomendadas de autenticação e autorização

    • Desativar concessões automáticas do IAM para contas de serviço padrão
    • Bloquear a criação de chaves de conta de serviço externas
    • Bloquear uploads de chaves de contas de serviço
    • Configurar a segregação de funções para administradores de políticas da organização
    • Ativar a verificação em duas etapas para contas de superadministrador
    • Aplicar a verificação em duas etapas na unidade organizacional do superadministrador
    • Criar um endereço de e-mail exclusivo para o superadministrador principal
    • Criar contas de administrador redundantes
    • Implemente tags para atribuir políticas do IAM e políticas da organização de maneira eficiente
    • Auditar mudanças de alto risco no IAM
    • Bloquear o acesso ao Cloud Shell para contas de usuário gerenciadas do Cloud Identity
    • Configurar o Acesso baseado no contexto para consoles do Google
    • Bloquear a recuperação de conta para contas de superadministrador
    • Desativar os Serviços do Google não usados

  • Práticas recomendadas para organizações

    • Restringir as versões TLS compatíveis com as APIs do Google
    • Restringir principais autorizados
    • Restringir o uso do serviço de recursos
    • Restringir locais de recursos

  • Práticas recomendadas de rede

    • Bloquear a criação de rede padrão
    • Ativar as extensões de segurança de DNS
    • Ative a restrição de escopo de serviço nas políticas de acesso do Access Context Manager
    • Restringir APIs em perímetros de serviço do VPC Service Controls
    • Usar DNS zonal

  • Práticas recomendadas de geração de registros, monitoramento e alertas

    • Compartilhar registros de auditoria do Cloud Identity
    • Usar registros de auditoria
    • Ativar os registros de fluxo de VPC
    • Ativar a Geração de Registros de Regras de Firewall
    • Ativar registros de auditoria de acesso aos dados
    • Configurar alertas de faturamento
    • Ativar registros de transparência no acesso
    • Exportar dados de faturamento para análise detalhada

  • Práticas recomendadas de gerenciamento de chaves e secrets

    • Criptografar dados em repouso no Google Cloud
    • Usar algoritmos aprovados pelo NIST para criptografia e descriptografia
    • Definir a finalidade das chaves do Cloud Key Management Service
    • Verifique se as configurações da CMEK são adequadas para data warehouses seguros do BigQuery
    • Alternar a chave de criptografia a cada 90 dias
    • Configurar a rotação automática de chaves secretas
    • Usar o CMEK para mensagens do Pub/Sub
    • Restringir o local das chaves de criptografia gerenciadas pelo cliente
    • Usar a CMEK para serviços do Google Cloud
    • Replicar chaves secretas automaticamente

  • Práticas recomendadas de análise e postura de segurança

    • Ativar o Security Command Center no nível da organização
    • Configurar alertas do Security Command Center

• Práticas recomendadas de infraestrutura

  • Definir instâncias de VM que podem ativar o encaminhamento de IP
  • Desativar a virtualização aninhada da VM
  • Restringir endereços IP externo em VMs
  • Definir os endereços IP externo permitidos para instâncias de VM
  • Requer um conector de VPC para funções do Cloud Run
  • Configurar políticas de armazenamento de mensagens
  • Desativar endereços IP externo para jobs do Dataflow
  • Usar tags de rede para regras de firewall

• Práticas recomendadas de gerenciamento de dados

  • Ativar a Proteção de Dados Sensíveis para inspeção de dados

  • Práticas recomendadas de data warehouse

    • Verifique se os conjuntos de dados do BigQuery não são legíveis publicamente nem definidos como "allAuthenticatedUsers"
    • Verifique se as tabelas do BigQuery não podem ser lidas publicamente nem estão definidas como allAuthenticatedUsers
    • Criptografar valores individuais em uma tabela do BigQuery
    • Usar visualizações autorizadas para conjuntos de dados do BigQuery
    • Usar a segurança no nível da coluna do BigQuery
    • Usar a segurança no nível da linha do BigQuery
    • Usar gráficos de recursos do BigQuery

  • Práticas recomendadas de armazenamento

    • Bloquear o acesso público aos buckets do Cloud Storage
    • Usar o acesso uniforme no bucket
    • Proteger chaves HMAC para contas de serviço
    • Detectar a enumeração de buckets do Cloud Storage por contas de serviço
    • Detectar modificações na política do IAM em buckets do Cloud Storage por contas de serviço
    • Verifique se a política de retenção do bucket do Cloud Storage usa o bloqueio de bucket
    • Definir regras de ciclo de vida para a ação SetStorageClass
    • Definir regiões permitidas para classes de armazenamento
    • Ativar o gerenciamento do ciclo de vida para buckets do Cloud Storage
    • Ativar regras de gerenciamento do ciclo de vida para buckets do Cloud Storage
    • Analisar e avaliar as retenções temporárias em objetos ativos
    • Aplicar políticas de retenção em buckets do Cloud Storage
    • Aplicar tags de classificação para buckets do Cloud Storage
    • Aplicar buckets de registro para buckets do Cloud Storage
    • Configurar regras de exclusão para buckets do Cloud Storage
    • Verifique se a condição isLive é "False" para regras de exclusão
    • Aplicar o controle de versões para buckets do Cloud Storage
    • Aplicar proprietários para buckets do Cloud Storage
    • Ativar o registro das principais atividades do Cloud Storage

• Ferramentas e práticas recomendadas de inferência

  • Definir o modo de acesso para notebooks e instâncias do Workbench da Agent Platform
  • Desativar downloads de arquivos em instâncias do Workbench do Agent Platform
  • Desativar o acesso raiz em instâncias e notebooks gerenciados pelo usuário do Workbench da Agent Platform
  • Desativar o terminal em instâncias do Workbench da Agent Platform
  • Restringir opções de ambiente em notebooks e instâncias do Workbench do Agent Platform
  • Impor upgrades programados automáticos em notebooks e instâncias gerenciados pelo usuário do Workbench da Agent Platform
  • Restringir o acesso público em novas instâncias e notebooks do Agent Platform Workbench
  • Restringir redes VPC em instâncias do Workbench do Agent Platform

• Práticas recomendadas para agentes e aplicativos

  • Configurar a verificação de vulnerabilidades para artefatos
  • Definir pools privados permitidos
  • Definir quais serviços externos podem invocar gatilhos de build
  • Criar políticas de limpeza para artefatos

Casos de uso do Artifact Registry

Considere os seguintes casos de uso do Artifact Registry com a plataforma do agente:

• Gerencie seus artefatos de ML:com o Artifact Registry, é possível armazenar e gerenciar todos os artefatos de ML em um só lugar, incluindo código de treinamento de modelo, conjuntos de dados, modelos treinados e contêineres de disponibilização de previsões. Você pode usar esse repositório centralizado para rastrear, compartilhar e reutilizar seus artefatos de ML em diferentes equipes e projetos.
• Controle de versões e reprodutibilidade:o Artifact Registry oferece controle de versões para seus artefatos de ML, ajudando você a monitorar mudanças e reverter para versões anteriores, se necessário. Esse recurso é crucial para garantir a reprodutibilidade dos seus experimentos e implantações de ML.
• Armazenamento seguro e confiável:o Artifact Registry oferece armazenamento seguro e confiável para seus artefatos de ML. Esses artefatos são criptografados em repouso e em trânsito. Configure o controle de acesso para restringir quem pode acessar os artefatos e proteger seus dados valiosos e sua propriedade intelectual.
• Integração com os pipelines da Gemini Enterprise Agent Platform: integre o Artifact Registry aos pipelines da Agent Platform para criar e automatizar seus fluxos de trabalho de ML. Use o Artifact Registry para armazenar os artefatos do pipeline (por exemplo, definições, código e dados) e acionar automaticamente as execuções do pipeline quando novos artefatos forem enviados.
• Simplifique o CI/CD para ML:integre o Artifact Registry às suas ferramentas de CI/CD para simplificar o desenvolvimento e a implantação dos seus modelos de ML. Por exemplo, use o Artifact Registry para criar e implantar automaticamente seu contêiner de serviço de modelo sempre que você enviar uma nova versão do modelo para o Artifact Registry.
• Suporte multirregional:o Artifact Registry permite armazenar seus artefatos em várias regiões, o que pode ajudar a melhorar o desempenho e a disponibilidade dos seus modelos de ML, principalmente se você tiver usuários localizados em diferentes partes do mundo.

Casos de uso do BigQuery

Considere os seguintes casos de uso do BigQuery com a plataforma de agentes:

• Integração perfeita:o BigQuery e a Agent Platform estão totalmente integrados, permitindo que você acesse e analise seus dados diretamente na Agent Platform. Essa integração elimina a necessidade de movimentação de dados, simplifica seu fluxo de trabalho de ML e reduz a fricção.
• Análise de dados escalonável:o BigQuery oferece um data warehouse na escala de petabytes, permitindo analisar conjuntos de dados massivos sem se preocupar com limitações de infraestrutura. Essa escalonabilidade é essencial para treinar e implantar modelos de ML que exigem muitos dados.
• ML baseada em SQL:o BigQuery ML permite usar comandos SQL conhecidos para treinar e implantar modelos diretamente no BigQuery. Com esse recurso, os analistas de dados e os profissionais de SQL podem usar recursos de ML sem precisar de habilidades avançadas de programação.
• Previsões on-line e em lote:o BigQuery ML é compatível com previsões on-line e em lote. É possível executar previsões em tempo real em linhas individuais ou gerar previsões para grandes conjuntos de dados no modo em lote. Essa flexibilidade oferece suporte a diversos casos de uso com requisitos de latência variados.
• Redução da movimentação de dados:com o BigQuery ML, não é necessário mover os dados para recursos separados de armazenamento ou computação para treinamento de modelo e implantação. Essa movimentação reduzida simplifica seu fluxo de trabalho, diminui a latência e minimiza os custos associados à transferência de dados.
• Monitoramento de modelos:a Agent Platform oferece recursos abrangentes de monitoramento de modelos, permitindo monitorar a performance, a imparcialidade e a explicabilidade dos modelos do BigQuery ML. O monitoramento de modelos ajuda a garantir que seus modelos estejam funcionando como esperado e a resolver possíveis problemas.
• Modelos pré-treinados:o Agent Platform oferece acesso a modelos pré-treinados, incluindo aqueles para processamento de linguagem natural e visão computacional. É possível usar esses modelos no BigQuery para melhorar sua análise e extrair insights mais detalhados dos dados.
• Solução econômica:o BigQuery ML oferece uma maneira econômica e flexível de treinar e implantar modelos de ML. Você paga apenas pelos recursos que usa, o que a torna uma opção acessível para organizações de todos os tamanhos.
• Recursos de análise avançada:o BigQuery oferece ferramentas para análise avançada, incluindo análise geoespacial e previsão. Essas ferramentas permitem combinar o ML com outras técnicas analíticas para uma análise mais detalhada dos dados e insights mais completos.
• Colaboração aprimorada:ao usar o BigQuery com a Agent Platform, cientistas de dados, engenheiros de ML e analistas podem colaborar perfeitamente em projetos de ML. Essa colaboração ajuda a criar uma abordagem mais integrada e eficiente para lidar com problemas complexos de dados.

Casos de uso do Cloud Build

Considere os seguintes casos de uso do Cloud Build com a plataforma de agentes:

• Automatizar builds de pipelines de ML:o Cloud Build permite automatizar a criação e o teste dos pipelines de ML definidos nos pipelines do Agent Platform. Essa automação ajuda você a criar e implantar seus modelos com mais rapidez e consistência.
• Criar imagens de contêiner personalizadas para implantação:o Cloud Build pode criar imagens de contêiner personalizadas para seus ambientes de exibição de modelos. O Cloud Build permite empacotar o código do modelo, as dependências e o ambiente de execução em uma única imagem que pode ser implantada na inferência da plataforma de agentes do Gemini Enterprise para veicular previsões.
• Integração com fluxos de trabalho de CI/CD:o Cloud Build permite automatizar a criação e a implantação de modelos de ML nos fluxos de trabalho de CI/CD. Essa automação garante que seus modelos estejam atualizados e implantados na produção.
• Acionar builds com base em mudanças no código:o Cloud Build pode acionar builds automaticamente quando o código do modelo ou a definição do pipeline são alterados. Essa automação ajuda a garantir que seus modelos sejam criados com o código mais recente e que todas as mudanças sejam implantadas automaticamente na produção.
• Tenha uma infraestrutura escalonável e segura:o Cloud Build usa Google Cloud infraestrutura escalonável e segura para criar e implantar seus modelos. Essa escalonabilidade significa que você não precisa se preocupar em gerenciar sua própria infraestrutura e pode se concentrar no desenvolvimento de modelos.
• Suporte a várias linguagens de programação:o Cloud Build é compatível com várias linguagens de programação, incluindo Python, Java, Go e Node.js. Com esse suporte, você pode criar modelos usando a linguagem de sua escolha.
• Use etapas de build pré-criadas:para simplificar o processo de build, o Cloud Build oferece etapas de build pré-criadas para tarefas comuns de ML, como instalar dependências, executar testes e enviar imagens para registros de contêiner.
• Criar etapas de build personalizadas:é possível definir suas próprias etapas de build personalizadas no Cloud Build para executar qualquer código arbitrário durante o processo de build.
• Criar artefatos para outros serviços da Agent Platform:o Cloud Build pode criar artefatos para outros serviços da Agent Platform, como o Feature Store na Agent Platform e a rotulagem de dados da Agent Platform. Essa flexibilidade ajuda você a criar um fluxo de trabalho de ML completo noGoogle Cloud.
• Implemente uma solução econômica:o Cloud Build oferece um modelo de preços de pagamento por uso, ou seja, você paga apenas pelos recursos que usa.

Casos de uso do Cloud Storage

Considere os seguintes casos de uso do Cloud Storage com a plataforma de agentes:

• Armazenar dados de treinamento:o Agent Platform permite armazenar seus conjuntos de dados de treinamento em buckets do Cloud Storage. Usar o Cloud Storage oferece várias vantagens:
  • O Cloud Storage pode processar conjuntos de dados de qualquer tamanho, permitindo treinar modelos com grandes quantidades de dados sem limitações de armazenamento.
  • É possível definir controles de acesso granulares e criptografia nos buckets do Cloud Storage para garantir a proteção dos dados de treinamento sensíveis.
  • O Cloud Storage permite rastrear mudanças e reverter para versões anteriores dos dados, fornecendo trilhas de auditoria valiosas e facilitando experimentos de treinamento reproduzíveis.
  • O Agent Platform se integra perfeitamente ao Cloud Storage, permitindo que você acesse seus dados de treinamento na plataforma.
• Armazenar artefatos de modelo:é possível armazenar artefatos de modelo treinado, como arquivos de modelo, configurações de hiperparâmetros e registros de treinamento, em buckets do Cloud Storage. Com o Cloud Storage, você pode fazer o seguinte:
  • Mantenha todos os artefatos do modelo no Cloud Storage como um repositório centralizado para acessar e gerenciar com facilidade.
  • Rastreie e gerencie diferentes versões dos seus modelos, facilitando comparações e rollbacks, se necessário.
  • Conceda acesso a colegas de equipe e colaboradores a buckets específicos do Cloud Storage para compartilhar modelos com eficiência.
• Armazenar dados de produção:para modelos usados em produção, o Cloud Storage pode armazenar os dados que estão sendo enviados ao modelo para previsão. Por exemplo, você pode usar o Cloud Storage para fazer o seguinte:
  • Armazenar dados e interações do usuário para recomendações personalizadas em tempo real.
  • Mantenha as imagens para processamento e classificação sob demanda usando seus modelos.
  • Mantenha os dados de transações para identificação de fraudes em tempo real usando seus modelos.
• Integração com outros serviços:o Cloud Storage se integra perfeitamente a outros serviços do Google Cloud usados em fluxos de trabalho da plataforma de agentes, como os seguintes:
  • Dataflow para pipelines simplificados de pré-processamento e transformação de dados.
  • BigQuery para acesso a grandes conjuntos de dados armazenados no BigQuery para treinamento de modelo e inferência.
  • Funções do Cloud Run para ações com base em previsões de modelo ou mudanças de dados em buckets do Cloud Storage.
• Gerenciar custos:o Cloud Storage oferece um modelo de preços de pagamento por uso, ou seja, você paga apenas pelo armazenamento que usa. Isso oferece eficiência de custo, especialmente para grandes conjuntos de dados.
• Ative a alta disponibilidade e durabilidade:o Cloud Storage garante que seus dados estejam altamente disponíveis e protegidos contra falhas ou interrupções, garantindo confiabilidade e acesso robusto aos seus recursos de ML.
• Ative o suporte multirregional:armazene seus dados em várias regiões do Cloud Storage geograficamente mais próximas dos seus usuários ou aplicativos, melhorando o desempenho e reduzindo a latência para acesso aos dados e previsões de modelos.

Casos de uso do Cloud Run functions

Considere os seguintes casos de uso do Cloud Run functions com a plataforma de agente:

• Pré-processar e pós-processar dados:as funções do Cloud Run podem pré-processar dados antes de enviá-los ao modelo do Agent Platform para treinamento ou previsão. Por exemplo, uma função pode limpar e normalizar dados ou extrair atributos deles. Da mesma forma, o Cloud Run functions pode pós-processar a saída do modelo da Agent Platform. Por exemplo, uma função pode formatar os dados de saída ou enviá-los para outro serviço para análise posterior.
• Acionar automaticamente jobs de treinamento da Agent Platform:para automatizar o treinamento de modelos da Agent Platform, acione funções do Cloud Run usando eventos de vários serviços doGoogle Cloud , como Cloud Storage, Pub/Sub e Cloud Scheduler. Por exemplo, é possível criar uma função que é acionada quando um novo arquivo é enviado para o Cloud Storage. Essa função pode iniciar um job de treinamento da Agent Platform para treinar seu modelo com os novos dados.
• Disponibilizar previsões:as funções do Cloud Run podem disponibilizar previsões dos modelos da Agent Platform, permitindo que você crie um endpoint de API para seu modelo sem precisar gerenciar nenhuma infraestrutura. Por exemplo, você pode escrever uma função que usa uma imagem como entrada e gera uma previsão do seu modelo de classificação de imagens da Agent Platform. Depois, é possível implantar essa função como um endpoint de API HTTP.
• Crie fluxos de trabalho de ML orientados por eventos:é possível usar o Cloud Run functions para criar fluxos de trabalho de ML orientados por eventos. Por exemplo, uma função pode acionar um job de previsão do Agent Platform quando um novo registro é adicionado a um tópico do Pub/Sub. Essa função permite processar dados em tempo real e tomar medidas com base nas previsões do modelo.
• Integração com outros serviços:é possível integrar funções do Cloud Run com outros serviços do Google Cloud , como Cloud Storage, BigQuery e Cloud Firestore. A integração permite criar pipelines de ML complexos que conectam diferentes serviços.
• Redução de custos:com as funções do Cloud Run, você paga apenas pelos recursos que sua função usa durante a execução. Além disso, as funções do Cloud Run são escalonadas automaticamente para atender à demanda, mantendo os recursos adequados durante os picos de tráfego.

Casos de uso do Pub/Sub

Considere os seguintes casos de uso do Pub/Sub com a plataforma de agentes:

• Arquitetura assíncrona orientada a eventos:o Pub/Sub permite a comunicação orientada a eventos para que você possa acionar pipelines da Agent Platform com base em eventos publicados em tópicos do Pub/Sub. Esses eventos podem incluir novos dados e atualizações de modelo.
• Escalabilidade e confiabilidade:o Pub/Sub é altamente escalonável, permitindo que você processe vários eventos sem afetar a performance. A escalonabilidade é fundamental para processar grandes conjuntos de dados ou executar vários jobs de ML simultâneos. O Pub/Sub também oferece entrega e ordem confiáveis de mensagens em um tópico, garantindo a consistência do processamento mesmo em cargas de trabalho pesadas.
• Flexibilidade:é possível integrar a Agent Platform a outros serviços, como funções do Cloud Run ou Dataflow usando o Pub/Sub, criando pipelines de ML flexíveis e dinâmicos.
• Monitoramento e alertas em tempo real:o Pub/Sub permite que você se inscreva em tópicos específicos para receber notificações em tempo real sobre eventos nos seus pipelines do Agent Platform. O monitoramento em tempo real ajuda a acompanhar o progresso do treinamento de modelo, os resultados do pré-processamento de dados e a saída de previsão. É possível configurar alertas com base em eventos específicos, como jobs com falha ou anomalias detectadas durante a previsão. Os alertas permitem intervenções proativas e solução de problemas oportuna.

Por exemplo, é possível usar o Pub/Sub para fazer o seguinte:

• Acionar o treinamento de modelo quando novos dados chegarem a um bucket do Cloud Storage.
• Envie previsões em tempo real de um modelo implantado para sistemas downstream para processamento adicional.
• Monitore e reaja a mudanças nas métricas de desempenho do modelo.
• Acione alertas para eventos críticos, como previsões com falha ou problemas de qualidade de dados.

Casos de uso do Resource Manager

Considere os seguintes casos de uso do Resource Manager com a Plataforma de Agentes:

• Crie projetos separados para diferentes equipes ou departamentos e garanta o isolamento de recursos e dados, além de controles de acesso refinados.
• Aplique políticas de segurança de proteção a cargas de trabalho de IA.
• Defina cotas para o uso de GPU em jobs de treinamento e evite estouros de custos.
• Automatize a criação dos buckets do Cloud Storage e das instâncias do Compute Engine necessários para novos projetos.
• Acompanhe e analise padrões de uso de recursos para projetos específicos e otimize a alocação de recursos.
• Gere relatórios de auditoria para demonstrar a conformidade com as políticas de governança e segurança de dados.

Casos de uso do Secret Manager

Considere os seguintes casos de uso do Secret Manager com a Agent Platform:

• Armazene chaves de API para acessar fontes de dados externas usadas no treinamento de modelo.
• Criptografe as credenciais do banco de dados em pipelines de previsão para acesso seguro.
• Provisionar tokens de acesso temporários para comunicação segura entre serviços.
• Proteja as chaves privadas e os certificados usados para criptografar canais de comunicação.
• Gerencie senhas e credenciais para serviços de terceiros usados nos seus fluxos de trabalho de ML.

Casos de uso da VPC

Considere os seguintes casos de uso da VPC com a plataforma de agentes:

• Defina regras de firewall granulares e controles de acesso na rede VPC para restringir o tráfego e permitir apenas conexões autorizadas a recursos específicos.

• Organize os recursos da Agent Platform em redes VPC separadas com base em requisitos de função ou segurança.

  Esse tipo de organização ajuda a isolar recursos e evita o acesso não autorizado entre diferentes projetos ou equipes. É possível criar redes VPC dedicadas para cargas de trabalho sensíveis, como treinamento de modelos com dados confidenciais, garantindo que apenas usuários e serviços autorizados tenham acesso à rede.

A seguir

• Revise os papéis recomendados do IAM.

• Confira mais práticas recomendadas e diretrizes de segurança doGoogle Cloud .