Controles de agentes y aplicaciones para casos de uso de IA generativa

En este documento, se incluyen las prácticas recomendadas y los lineamientos para agentes y aplicaciones, como cuando se ejecutan cargas de trabajo de IA generativa en Google Cloud.

Configura el análisis de vulnerabilidades para artefactos

ID de control de Google AR-CO-6.2
Implementación Obligatorio
Descripción

Usa Artifact Analysis o cualquier otra herramienta para analizar las vulnerabilidades en las imágenes y los paquetes dentro de Artifact Registry.

Si usas una herramienta de análisis externa, debes implementarla correctamente para analizar Artifact Registry en busca de vulnerabilidades en imágenes y paquetes.
Productos aplicables
  • Artifact Registry
  • Artifact Analysis
Ruta serviceusage.getservice
Operador =
Valor
  • containerscanning.googleapis.com
Controles relacionados de NIST-800-53
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
Controles relacionados del perfil de CRI
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
Información relacionada

Define grupos privados permitidos

ID de control de Google CBD-CO-6.1
Implementación Obligatorio
Descripción

La restricción de lista cloudbuild.allowedWorkerPools te permite definir los grupos privados permitidos que puedes usar en tu organización, carpeta o proyecto.

Usa uno de los siguientes formatos para definir una lista permitida o denegada de grupos de trabajadores:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Productos aplicables
  • Servicio de políticas de la organización
  • Cloud Build
Ruta constraints/cloudbuild.allowedWorkerPools
Operador =
Tipo String
Controles relacionados de NIST-800-53
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Información relacionada

Define qué servicios externos pueden invocar activadores de compilación

ID de control de Google CBD-CO-6.2
Implementación Obligatorio
Descripción

La restricción cloudbuild.allowedIntegrations define qué servicios externos (por ejemplo, GitHub) pueden invocar activadores de compilación. Por ejemplo, si tu activador de compilación escucha los cambios en un repositorio de GitHub y GitHub se deniega en esta restricción, el activador no se ejecutará. Puedes especificar cualquier cantidad de valores permitidos o denegados para tu organización o proyecto.
Productos aplicables
  • Servicio de políticas de la organización
  • Cloud Build
Ruta constraints/cloudbuild.allowedIntegrations
Operador =
Tipo Lista
Controles relacionados de NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Información relacionada

Crea políticas de limpieza para artefactos

ID de control de Google AR-CO-6.1
Implementación Recomendado según el caso de uso
Descripción

Las políticas de limpieza son útiles si almacenas muchas versiones de tus artefactos, pero solo necesitas conservar versiones específicas que lanzas a producción. Crea políticas de limpieza separadas para borrar artefactos y retener artefactos.
Productos aplicables
  • Artifact Registry
Controles relacionados de NIST-800-53
  • SI-12
Controles relacionados del perfil de CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Información relacionada

¿Qué sigue?