Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

工具和推理控制

本文档包含在 Google Cloud上运行工作负载时，Gemini Enterprise Agent Platform 的最佳实践和准则。

定义 Agent Platform Workbench 笔记本和实例的访问模式

Google 控制 ID	VAI-CO-4.1
实现	必需
说明	此列表限制条件定义了 Agent Platform Workbench 笔记本和实例允许的访问模式。在 `service-account` 模式下，允许或拒绝列表可指定多个用户；在 `single-user` 模式下，允许或拒绝列表可指定单用户访问。
适用的产品	Gemini Enterprise Agent Platform Workbench 组织政策服务
路径	`constraints/ainotebooks.accessMode`
运算符	`Is`
值	`service-account` `single-user`
相关 NIST-800-53 控制措施	AC-3 AC-17 AC-20
相关 CRI 配置文件控制措施	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

禁止在 Agent Platform Workbench 实例上下载文件

Google 控制 ID	VAI-CO-4.2
实现	必需
说明	`ainotebooks.disableFileDownloads` 布尔值限制条件会阻止您创建已启用文件下载选项的 Gemini Enterprise Agent Platform Workbench 实例。默认情况下，您可以在任何 Agent Platform Workbench 实例上启用文件下载选项。
适用的产品	组织政策服务 Agent Platform Workbench
路径	`constraints/ainotebooks.disableFileDownloads`
运算符	`Is`
值	`True`
类型	布尔值
相关 NIST-800-53 控制	AC-3 AC-17 AC-20
相关 CRI 配置文件控制措施	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

停用对 Agent Platform Workbench 用户管理的笔记本和实例的根访问权限

Google 控制 ID	VAI-CO-4.3
实现	必需
说明	`ainotebooks.disableRootAccess` 布尔值限制条件会阻止您创建已启用根访问权限的 Gemini Enterprise Agent Platform Workbench 用户管理的笔记本和实例。默认情况下，Agent Platform Workbench 用户管理的笔记本和实例可以启用根访问权限。
适用的产品	组织政策服务 Agent Platform Workbench
路径	`constraints/ainotebooks.disableRootAccess`
运算符	`Is`
值	`True`
类型	布尔值
相关 NIST-800-53 控制	AC-3 AC-17 AC-20
相关 CRI 配置文件控制措施	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

停用 Agent Platform Workbench 实例上的终端

Google 控制 ID	VAI-CO-4.4
实现	必需
说明	`ainotebooks.disableTerminal` 布尔值限制条件会阻止您创建已启用终端的 Gemini Enterprise Agent Platform Workbench 实例。默认情况下，您可以在 Agent Platform Workbench 实例上启用终端。
适用的产品	组织政策服务 Agent Platform Workbench
路径	`constraints/ainotebooks.disableTerminal`
运算符	`Is`
值	`True`
类型	布尔值
相关 NIST-800-53 控制	AC-3 AC-17 AC-20
相关 CRI 配置文件控制措施	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

限制 Agent Platform Workbench 笔记本和实例上的环境选项

Google 控制 ID	VAI-CO-4.5
实现	必需
说明	`ainotebooks.environmentOptions` 列表限制条件定义了在创建 Gemini Enterprise Agent Platform Workbench 笔记本和实例时可选择的虚拟机和容器映像选项。您必须明确指定要允许或拒绝的选项。虚拟机实例的预期格式为：`ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE`。将 `IMAGE_TYPE` 替换为 `image-family` 或 `image-name` 例如： `ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615` 容器映像的预期格式为：`ainotebooks-container/CONTAINER_REPOSITORY:TAG` 例如： `ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48`
适用的产品	组织政策服务 Agent Platform Workbench
路径	`constraints/ainotebooks.environmentOptions`
运算符	`Is`
类型	列表
相关 NIST-800-53 控制	AC-3 AC-17 AC-20
相关 CRI 配置文件控制措施	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

强制对 Agent Platform Workbench 用户管理的笔记本和实例进行自动预定升级

Google 控制 ID	VAI-CO-4.6
实现	必需
说明	`ainotebooks.requireAutoUpgradeSchedule` 布尔值限制条件可防止您在未设置自动升级时间表的情况下创建 Gemini Enterprise Agent Platform Workbench 用户管理的笔记本和实例。如需为自动升级定义 Cron 时间表，请使用 `notebook-upgrade-schedule` 元数据标志。例如： --`metadata=notebook-upgrade-schedule="00 19 * * MON"`
适用的产品	组织政策服务 Agent Platform Workbench
路径	`constraints/ainotebooks.requireAutoUpgradeSchedule`
运算符	`Is`
值	`True`
类型	布尔值
相关 NIST-800-53 控制措施	MA-2 MA-3
相关 CRI 配置文件控制措施	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

限制对新的 Agent Platform Workbench 笔记本和实例的公共访问权限

Google 控制 ID	VAI-CO-4.7
实现	必需
说明	此布尔值限制条件会限制从公共 IP 地址对 Gemini Enterprise Agent Platform Workbench 笔记本和实例的访问。默认情况下，公共 IP 地址可以访问 Agent Platform Workbench 笔记本和实例。
适用的产品	组织政策服务 Agent Platform Workbench
路径	`constraints/ainotebooks.restrictPublicIp`
运算符	`is`
值	`True`
类型	布尔值
相关 NIST-800-53 控制	AC-3 AC-17 AC-20 SC-7 SC-8
相关 CRI 配置文件控制措施	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-3.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4

限制 Agent Platform Workbench 实例上的 VPC 网络

Google 控制 ID	VAI-CO-4.8
实现	必需
说明	`ainotebooks.restrictVpcNetworks` 列表限制条件定义了用户在创建 Gemini Enterprise Agent Platform Workbench 实例时可以选择的 VPC 网络。默认情况下，可以在任何 VPC 网络中创建 Agent Platform Workbench 实例。使用以下格式之一定义允许或拒绝的网络列表： `under:organizations/ORGANIZATION_ID` `under:folders/FOLDER_ID` `under:projects/PROJECT_ID` `projects/PROJECT_ID/global/networks/NETWORK_NAME`
适用的产品	组织政策服务 Agent Platform Workbench
路径	`constraints/ainotebooks.restrictVpcNetworks`
运算符	`is`
类型	列表
相关 NIST-800-53 控制	AC-3 AC-17 AC-20 SC-7 SC-8
相关 CRI 配置文件控制措施	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-5.1 PR.AC-5.2 PR.AC-6.1 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-3.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4

后续步骤

查看代理和应用控制。
详细了解Google Cloud 安全防护最佳实践和指南。

如未另行说明，那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可，并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情，请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。

最后更新时间 (UTC)：2026-05-21。