Agentes e controles de aplicativos para casos de uso da IA generativa

Este documento inclui as práticas recomendadas e diretrizes para agentes e aplicativos ao executar cargas de trabalho de IA generativa no Google Cloud.

Configurar a verificação de vulnerabilidades para artefatos

ID de controle do Google AR-CO-6.2
Implementação Obrigatório
Descrição

Use o Artifact Analysis ou outra ferramenta para verificar vulnerabilidades em imagens e pacotes no Artifact Registry.

Se você usar uma ferramenta de verificação de terceiros, implante-a corretamente para verificar vulnerabilidades em imagens e pacotes do Artifact Registry.
Produtos aplicáveis
  • Artifact Registry
  • Artifact Analysis
Caminho serviceusage.getservice
Operador =
Valor
  • containerscanning.googleapis.com
Controles relacionados do NIST-800-53
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
Controles relacionados ao perfil de CRI
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
Informações relacionadas

Definir pools particulares permitidos

ID de controle do Google CBD-CO-6.1
Implementação Obrigatório
Descrição

Com a restrição de lista cloudbuild.allowedWorkerPools, é possível definir os pools particulares permitidos que podem ser usados na sua organização, pasta ou projeto.

Use um dos seguintes formatos para definir uma lista permitida ou negada de pools de workers:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Produtos aplicáveis
  • Serviço de política da organização
  • Cloud Build
Caminho constraints/cloudbuild.allowedWorkerPools
Operador =
Tipo String
Controles relacionados do NIST-800-53
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informações relacionadas

Definir quais serviços externos podem invocar gatilhos de build

ID de controle do Google CBD-CO-6.2
Implementação Obrigatório
Descrição

A restrição cloudbuild.allowedIntegrations define quais serviços externos (por exemplo, GitHub) podem invocar acionadores de build. Por exemplo, se o gatilho de compilação detectar mudanças em um repositório do GitHub e o GitHub for negado nessa restrição, o gatilho não será executado. É possível especificar qualquer número de valores permitidos ou negados para sua organização ou projeto.
Produtos aplicáveis
  • Serviço de política da organização
  • Cloud Build
Caminho constraints/cloudbuild.allowedIntegrations
Operador =
Tipo Lista
Controles relacionados do NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informações relacionadas

Criar políticas de limpeza para artefatos

ID de controle do Google AR-CO-6.1
Implementação Recomendado com base no caso de uso
Descrição

As políticas de limpeza são úteis se você armazena muitas versões dos seus artefatos, mas só precisa manter versões específicas que lança para produção. Crie políticas de limpeza separadas para excluir artefatos e reter artefatos.
Produtos aplicáveis
  • Artifact Registry
Controles relacionados do NIST-800-53
  • SI-12
Controles relacionados ao perfil de CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informações relacionadas

A seguir