Strumenti e controlli di inferenza

Questo documento include le best practice e le linee guida per Gemini Enterprise Agent Platform durante l'esecuzione dei carichi di lavoro su Google Cloud.

Definisci la modalità di accesso per notebook e istanze di Agent Platform Workbench

ID controllo Google VAI-CO-4.1
Implementazione Obbligatorio
Descrizione

Questo vincolo dell'elenco definisce le modalità di accesso consentite per i notebook e le istanze di Agent Platform Workbench. La lista consentita o bloccata può specificare più utenti utilizzando la modalità service-account o l'accesso di un singolo utente utilizzando la modalità single-user.
Prodotti applicabili
  • Gemini Enterprise Agent Platform Workbench
  • Servizio Policy dell'organizzazione
Percorso constraints/ainotebooks.accessMode
Operatore Is
Valore
  • service-account
  • single-user
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Disabilita i download dei file sulle istanze di Agent Platform Workbench

ID controllo Google VAI-CO-4.2
Implementazione Obbligatorio
Descrizione

Il vincolo booleano ainotebooks.disableFileDownloads impedisce di creare istanze di Gemini Enterprise Agent Platform Workbench con l'opzione Download file abilitata. Per impostazione predefinita, puoi abilitare l'opzione Download file su qualsiasi istanza di Agent Platform Workbench.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Agent Platform Workbench
Percorso constraints/ainotebooks.disableFileDownloads
Operatore Is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Disabilita l'accesso root alle istanze e ai notebook gestiti dall'utente di Agent Platform Workbench

ID controllo Google VAI-CO-4.3
Implementazione Obbligatorio
Descrizione

Il vincolo booleano ainotebooks.disableRootAccess impedisce di creare istanze e notebook gestiti dall'utente di Gemini Enterprise Agent Platform Workbench con l'accesso root abilitato. Per impostazione predefinita, le istanze e i notebook gestiti dall'utente di Agent Platform Workbench possono avere l'accesso root abilitato.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Agent Platform Workbench
Percorso constraints/ainotebooks.disableRootAccess
Operatore Is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Disattiva il terminale sulle istanze di Agent Platform Workbench

ID controllo Google VAI-CO-4.4
Implementazione Obbligatorio
Descrizione

Il vincolo booleano ainotebooks.disableTerminal impedisce la creazione di istanze di Gemini Enterprise Agent Platform Workbench con il terminale abilitato. Per impostazione predefinita, puoi abilitare il terminale sulle istanze di Agent Platform Workbench.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Agent Platform Workbench
Percorso constraints/ainotebooks.disableTerminal
Operatore Is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Limita le opzioni di ambiente nelle istanze e nei notebook di Agent Platform Workbench

ID controllo Google VAI-CO-4.5
Implementazione Obbligatorio
Descrizione

Il vincolo dell'elenco ainotebooks.environmentOptions definisce le opzioni per le immagini VM e container che puoi selezionare quando crei notebook e istanze di Gemini Enterprise Agent Platform Workbench. Devi specificare in modo esplicito le opzioni che vuoi consentire o negare.

Il formato previsto per le istanze VM è: ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Sostituisci IMAGE_TYPE con image-family o image-name

Ad esempio:

ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615

Il formato previsto per le immagini container è: ainotebooks-container/CONTAINER_REPOSITORY:TAG

Ad esempio:

ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Agent Platform Workbench
Percorso constraints/ainotebooks.environmentOptions
Operatore Is
Tipo Elenco
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Applica gli upgrade automatici pianificati dei notebook e delle istanze gestiti dall'utente di Agent Platform Workbench

ID controllo Google VAI-CO-4.6
Implementazione Obbligatorio
Descrizione

Il vincolo booleano ainotebooks.requireAutoUpgradeSchedule impedisce la creazione di istanze e notebook gestiti dall'utente di Gemini Enterprise Agent Platform Workbench senza una pianificazione automatica degli upgrade.

Per definire una pianificazione cron per gli upgrade automatici, utilizza il flag di metadati notebook-upgrade-schedule. Ad esempio:

--metadata=notebook-upgrade-schedule="00 19 * * MON"
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Agent Platform Workbench
Percorso constraints/ainotebooks.requireAutoUpgradeSchedule
Operatore Is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • MA-2
  • MA-3
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Limita l'accesso pubblico alle nuove istanze e ai nuovi notebook di Agent Platform Workbench

ID controllo Google VAI-CO-4.7
Implementazione Obbligatorio
Descrizione

Questo vincolo booleano limita l'accesso dagli indirizzi IP pubblici alle istanze e ai blocchi note di Gemini Enterprise Agent Platform Workbench. Per impostazione predefinita, gli indirizzi IP pubblici possono accedere alle istanze e ai blocchi note di Agent Platform Workbench.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Agent Platform Workbench
Percorso constraints/ainotebooks.restrictPublicIp
Operatore is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Limita le reti VPC sulle istanze di Agent Platform Workbench

ID controllo Google VAI-CO-4.8
Implementazione Obbligatorio
Descrizione

Il vincolo dell'elenco ainotebooks.restrictVpcNetworks definisce le reti VPC che un utente può selezionare quando crea istanze di Gemini Enterprise Agent Platform Workbench. Per impostazione predefinita, un'istanza di Agent Platform Workbench può essere creata in qualsiasi rete VPC.

Utilizza uno dei seguenti formati per definire un elenco di reti consentite o bloccate:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/networks/NETWORK_NAME
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Agent Platform Workbench
Percorso constraints/ainotebooks.restrictVpcNetworks
Operatore is
Tipo Elenco
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Passaggi successivi