Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

ツールと推論コントロール

このドキュメントでは、 Google Cloudでワークロードを実行する際の Gemini Enterprise Agent Platform のベストプラクティスとガイドラインについて説明します。

Agent Platform Workbench のノートブックとインスタンスのアクセスモードを定義する

Google コントロール ID	VAI-CO-4.1
実装	必須
説明	このリスト型制約は、Agent Platform Workbench のノートブックとインスタンスに対して許可されるアクセスモードを定義します。許可リストまたは拒否リストにおいて、`service-account` モードでは複数のユーザーの指定、`single-user` モードではシングルユーザーアクセスを指定できます。
対象プロダクト	Gemini Enterprise Agent Platform Workbench 組織ポリシーサービス
パス	`constraints/ainotebooks.accessMode`
演算子	`Is`
値	`service-account` `single-user`
関連する NIST-800-53 コントロール	AC-3 AC-17 AC-20
関連する CRI プロファイルコントロール	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Agent Platform Workbench インスタンスでファイルのダウンロードを無効にする

Google コントロール ID	VAI-CO-4.2
実装	必須
説明	`ainotebooks.disableFileDownloads` ブール型制約により、ファイルダウンロードオプションを有効にした状態で Gemini Enterprise Agent Platform Workbench インスタンスを作成できなくなります。デフォルトでは、任意の Agent Platform Workbench インスタンスでファイルダウンロードオプションを有効にできます。
対象プロダクト	組織ポリシーサービス Agent Platform Workbench
パス	`constraints/ainotebooks.disableFileDownloads`
演算子	`Is`
値	`True`
型	ブール値
関連する NIST-800-53 コントロール	AC-3 AC-17 AC-20
関連する CRI プロファイルコントロール	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Agent Platform Workbench のユーザー管理のノートブックとインスタンスで root アクセスを無効にする

Google コントロール ID	VAI-CO-4.3
実装	必須
説明	`ainotebooks.disableRootAccess` ブール型制約により、root アクセスを有効にした状態で Gemini Enterprise Agent Platform Workbench ユーザー管理のノートブックとインスタンスを作成できなくなります。デフォルトでは、Agent Platform Workbench のユーザー管理のノートブックとインスタンスで root アクセスを有効にできます。
対象プロダクト	組織ポリシーサービス Agent Platform Workbench
パス	`constraints/ainotebooks.disableRootAccess`
演算子	`Is`
値	`True`
型	ブール値
関連する NIST-800-53 コントロール	AC-3 AC-17 AC-20
関連する CRI プロファイルコントロール	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Agent Platform Workbench インスタンスでターミナルを無効にする

Google コントロール ID	VAI-CO-4.4
実装	必須
説明	`ainotebooks.disableTerminal` ブール型制約により、ターミナルを有効にした状態で Gemini Enterprise Agent Platform Workbench インスタンスを作成できなくなります。デフォルトでは、Agent Platform Workbench インスタンスでターミナルを有効にできます。
対象プロダクト	組織ポリシーサービス Agent Platform Workbench
パス	`constraints/ainotebooks.disableTerminal`
演算子	`Is`
値	`True`
型	ブール値
関連する NIST-800-53 コントロール	AC-3 AC-17 AC-20
関連する CRI プロファイルコントロール	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Agent Platform Workbench のノートブックとインスタンスの環境オプションを制限する

Google コントロール ID	VAI-CO-4.5
実装	必須
説明	`ainotebooks.environmentOptions` リスト型制約により、Gemini Enterprise Agent Platform Workbench のノートブックとインスタンスの作成時に選択できる VM とコンテナイメージのオプションを定義します。許可または拒否するオプションを明示的に指定する必要があります。 VM インスタンスの想定される形式は `ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE` です。`IMAGE_TYPE` は、`image-family` または `image-name` に置き換えます。例: `ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615` コンテナイメージの形式は `ainotebooks-container/CONTAINER_REPOSITORY:TAG` です。例: `ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48`
対象プロダクト	組織ポリシーサービス Agent Platform Workbench
パス	`constraints/ainotebooks.environmentOptions`
演算子	`Is`
型	リスト
関連する NIST-800-53 コントロール	AC-3 AC-17 AC-20
関連する CRI プロファイルコントロール	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Agent Platform Workbench ユーザー管理ノートブックとインスタンスで自動アップグレードのスケジュールを適用する

Google コントロール ID	VAI-CO-4.6
実装	必須
説明	`ainotebooks.requireAutoUpgradeSchedule` ブール型制約により、自動アップグレードスケジュールなしで Gemini Enterprise Agent Platform Workbench ユーザー管理のノートブックとインスタンスを作成できなくなります。自動アップグレードの cron スケジュールを定義するには、`notebook-upgrade-schedule` メタデータフラグを使用します。例: --`metadata=notebook-upgrade-schedule="00 19 * * MON"`
対象プロダクト	組織ポリシーサービス Agent Platform Workbench
パス	`constraints/ainotebooks.requireAutoUpgradeSchedule`
演算子	`Is`
値	`True`
型	ブール値
関連する NIST-800-53 コントロール	MA-2 MA-3
関連する CRI プロファイルコントロール	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

新しい Agent Platform Workbench のノートブックとインスタンスに対するパブリックアクセスを制限する

Google コントロール ID	VAI-CO-4.7
実装	必須
説明	このブール型制約により、パブリック IP アドレスから Gemini Enterprise Agent Platform Workbench のノートブックとインスタンスへのアクセスが制限されます。デフォルトでは、パブリック IP アドレスから Agent Platform Workbench のノートブックとインスタンスにアクセスできます。
対象プロダクト	組織ポリシーサービス Agent Platform Workbench
パス	`constraints/ainotebooks.restrictPublicIp`
演算子	`is`
値	`True`
型	ブール値
関連する NIST-800-53 コントロール	AC-3 AC-17 AC-20 SC-7 SC-8
関連する CRI プロファイルコントロール	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-3.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4

Agent Platform Workbench インスタンスで VPC ネットワークを制限する

Google コントロール ID	VAI-CO-4.8
実装	必須
説明	`ainotebooks.restrictVpcNetworks` リスト型制約では、Gemini Enterprise Agent Platform Workbench インスタンスの作成時にユーザーが選択できる VPC ネットワークを定義します。デフォルトでは、Agent Platform Workbench インスタンスは任意の VPC ネットワークに作成できます。次のいずれかの形式を使用して、ネットワークの許可リストまたは拒否リストを定義します。 `under:organizations/ORGANIZATION_ID` `under:folders/FOLDER_ID` `under:projects/PROJECT_ID` `projects/PROJECT_ID/global/networks/NETWORK_NAME`
対象プロダクト	組織ポリシーサービス Agent Platform Workbench
パス	`constraints/ainotebooks.restrictVpcNetworks`
演算子	`is`
型	リスト
関連する NIST-800-53 コントロール	AC-3 AC-17 AC-20 SC-7 SC-8
関連する CRI プロファイルコントロール	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-5.1 PR.AC-5.2 PR.AC-6.1 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-3.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4

次のステップ

エージェントとアプリケーションの制御を確認します。
Google Cloud セキュリティに関するベストプラクティスとガイドラインを確認する。

特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。

最終更新日 2026-05-21 UTC。