Agenten und Anwendungssteuerungen für Anwendungsfälle für generative KI

Dieses Dokument enthält die Best Practices und Richtlinien für Agenten und Anwendungen, wenn generative KI-Arbeitslasten aufGoogle Cloudausgeführt werden.

Scannen von Artefakten auf Sicherheitslücken konfigurieren

Google-Einstellungs-ID AR-CO-6.2
Implementierung Erforderlich
Beschreibung

Verwenden Sie die Artefaktanalyse oder ein anderes Tool, um in Images und Paketen in Artifact Registry nach Sicherheitslücken zu suchen.

Wenn Sie ein Drittanbietertool zum Scannen verwenden, müssen Sie es richtig bereitstellen, um Artifact Registry nach Sicherheitslücken in Images und Paketen zu durchsuchen.
Entsprechende Produkte
  • Artifact Registry
  • Artefaktanalyse
Pfad serviceusage.getservice
Operator =
Wert
  • containerscanning.googleapis.com
Zugehörige NIST-800-53-Kontrollen
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
Zugehörige CRI-Profileinstellungen
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
Weitere Informationen

Zulässige private Pools definieren

Google-Einstellungs-ID CBD-CO-6.1
Implementierung Erforderlich
Beschreibung

Mit der Listenbeschränkung cloudbuild.allowedWorkerPools können Sie die zulässigen privaten Pools definieren, die Sie in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt verwenden können.

Verwenden Sie eines der folgenden Formate, um eine Liste der zulässigen oder nicht zulässigen Worker-Pools zu definieren:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Cloud Build
Pfad constraints/cloudbuild.allowedWorkerPools
Operator =
Typ String
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Weitere Informationen

Definieren, welche externen Dienste Build-Trigger aufrufen können

Google-Einstellungs-ID CBD-CO-6.2
Implementierung Erforderlich
Beschreibung

Mit der Einschränkung cloudbuild.allowedIntegrations wird definiert, welche externen Dienste (z. B. GitHub) Build-Trigger aufrufen können. Wenn Ihr Build-Trigger beispielsweise auf Änderungen an einem GitHub-Repository wartet und GitHub in dieser Einschränkung verweigert wird, wird Ihr Trigger nicht ausgeführt. Sie können eine beliebige Anzahl von zulässigen oder nicht zulässigen Werten für Ihre Organisation oder Ihr Projekt angeben.
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Cloud Build
Pfad constraints/cloudbuild.allowedIntegrations
Operator =
Typ Liste
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Weitere Informationen

Bereinigungsrichtlinien für Artefakte erstellen

Google-Einstellungs-ID AR-CO-6.1
Implementierung Empfohlen basierend auf dem Anwendungsfall
Beschreibung

Bereinigungsrichtlinien sind nützlich, wenn Sie viele Versionen Ihrer Artefakte speichern, aber nur bestimmte Versionen behalten müssen, die Sie in der Produktion veröffentlichen. Erstellen Sie separate Bereinigungsrichtlinien zum Löschen und Beibehalten von Artefakten.
Entsprechende Produkte
  • Artifact Registry
Zugehörige NIST-800-53-Kontrollen
  • SI-12
Zugehörige CRI-Profileinstellungen
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Weitere Informationen

Nächste Schritte