Agenten und Anwendungssteuerungen für Anwendungsfälle für generative KI

Dieses Dokument enthält die Best Practices und Richtlinien für Agents und Anwendungen, z. B. beim Ausführen generativer KI-Arbeitslasten in der Google Cloud.

Scannen auf Sicherheitslücken für Artefakte konfigurieren

Google-Kontroll-ID AR-CO-6.2
Implementierung Erforderlich
Beschreibung

Verwenden Sie die Artefaktanalyse oder ein anderes Tool, um in Bildern und Paketen in Artifact Registry nach Sicherheitslücken zu suchen.

Wenn Sie ein Drittanbieter-Scanningtool verwenden, müssen Sie diese Tools korrekt bereitstellen, um Artifact Registry nach Sicherheitslücken in Bildern und Paketen zu durchsuchen.
Entsprechende Produkte
  • Artifact Registry
  • Artefaktanalyse
Pfad serviceusage.getservice
Operator =
Wert
  • containerscanning.googleapis.com
Zugehörige NIST-800-53-Kontrollen
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
Zugehörige CRI-Profilkontrollen
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
Weitere Informationen

Zulässige private Pools definieren

Google-Kontroll-ID CBD-CO-6.1
Implementierung Erforderlich
Beschreibung

Mit der Listeneinschränkung cloudbuild.allowedWorkerPools können Sie die zulässigen privaten Pools definieren, die Sie in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt verwenden können.

Verwenden Sie eines der folgenden Formate, um eine Liste zulässiger oder nicht zulässiger Worker-Pools zu definieren:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Cloud Build
Pfad constraints/cloudbuild.allowedWorkerPools
Operator =
Typ String
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Zugehörige CRI-Profilkontrollen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Weitere Informationen

Definieren, welche externen Dienste Build-Trigger aufrufen können

Google-Kontroll-ID CBD-CO-6.2
Implementierung Erforderlich
Beschreibung

Die Einschränkung cloudbuild.allowedIntegrations definiert, welche externen Dienste (z. B. GitHub) Build-Trigger aufrufen können. Wenn Ihr Build-Trigger beispielsweise auf Änderungen an einem GitHub-Repository wartet und GitHub in dieser Einschränkung abgelehnt wird, wird der Trigger nicht ausgeführt. Sie können eine beliebige Anzahl zulässiger oder nicht zulässiger Werte für Ihre Organisation oder Ihr Projekt angeben.
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Cloud Build
Pfad constraints/cloudbuild.allowedIntegrations
Operator =
Typ Liste
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Zugehörige CRI-Profilkontrollen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Weitere Informationen

Bereinigungsrichtlinien für Artefakte erstellen

Google-Kontroll-ID AR-CO-6.1
Implementierung Empfohlen je nach Anwendungsfall
Beschreibung

Bereinigungsrichtlinien sind nützlich, wenn Sie viele Versionen Ihrer Artefakte speichern, aber nur bestimmte Versionen beibehalten müssen, die Sie in der Produktion veröffentlichen. Erstellen Sie separate Bereinigungsrichtlinien zum Löschen und Beibehalten von Artefakten.
Entsprechende Produkte
  • Artifact Registry
Zugehörige NIST-800-53-Kontrollen
  • SI-12
Zugehörige CRI-Profilkontrollen
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Weitere Informationen

Nächste Schritte