Commandes Cloud Identity pour les cas d'utilisation de l'IA générative

Ce document inclut les bonnes pratiques et les consignes pour Cloud Build lors de l'exécution de charges de travail d'IA générative sur Google Cloud. Utilisez Cloud Identity avec Vertex AI pour unifier l'identité, l'accès, les applications et la gestion pour Google Cloud.

Commandes Cloud Identity requises

Les contrôles suivants sont fortement recommandés lorsque vous utilisez Cloud Identity.

Activer la validation en deux étapes pour les comptes super-administrateur

ID de contrôle Google CI-CO-6.1
Catégorie Obligatoire
Description

Google recommande les clés de sécurité Titan pour la validation en deux étapes des comptes super-administrateur. Toutefois, pour les cas d'utilisation où cela n'est pas possible, nous vous recommandons d'utiliser une autre clé de sécurité.
Produits applicables
  • Cloud Identity
  • Clés de sécurité Titan
Contrôles NIST-800-53 associés
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Contrôles associés du profil CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informations connexes

Appliquer la validation en deux étapes à l'unité organisationnelle des super-administrateurs

ID de contrôle Google CI-CO-6.2
Catégorie Obligatoire
Description

Appliquez la validation en deux étapes pour une unité organisationnelle spécifique ou pour l'ensemble de l'organisation. Nous vous recommandons de créer une UO pour les super-administrateurs et d'y appliquer la validation en deux étapes.
Produits applicables
  • Cloud Identity
Contrôles NIST-800-53 associés
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Contrôles associés du profil CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informations connexes

Créer une adresse e-mail exclusive pour le super-administrateur principal

ID de contrôle Google CI-CO-6.4
Catégorie Obligatoire
Description
Créez une adresse e-mail qui n'est pas spécifique à un utilisateur particulier et définissez-la en tant que compte super-administrateur Cloud Identity principal.
Produits applicables
  • Cloud Identity
Contrôles NIST-800-53 associés
  • IA-2
  • IA-4
  • IA-5
Contrôles associés du profil CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informations connexes

Envoyer les journaux d'audit à Google Cloud

ID de contrôle Google CI-CO-6.5
Catégorie Obligatoire
Description

Vous pouvez partager les données de votre compte Google Workspace, Cloud Identity ou Essentials avec les services de Google Cloud. Google Workspace collecte les journaux de connexion, les journaux d'administrateur et les journaux de groupe. Accédez aux données partagées via Cloud Audit Logs.
Produits applicables
  • Google Workspace
  • Cloud Logging
Contrôles NIST-800-53 associés
  • AC-2
  • AC-3
  • AC-8
  • AC-9
Contrôles associés du profil CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
Informations connexes

Créer des comptes super-administrateur de sauvegarde

ID de contrôle Google CI-CO-6.7
Catégorie Obligatoire
Description

Créez un ou deux comptes super-administrateur de secours. En règle générale, n'utilisez pas de compte super-administrateur pour les tâches de gestion quotidiennes. Ne disposez que de deux ou trois comptes de super-administrateur pour votre organisation.
Produits applicables
  • Google Workspace
Contrôles NIST-800-53 associés
  • IA-2
  • IA-4
  • IA-5
Contrôles associés du profil CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2

Contrôles cloud recommandés

Nous vous recommandons d'appliquer les contrôles Cloud Identity suivants à votre environnementGoogle Cloud , quel que soit votre cas d'utilisation spécifique.

Bloquer l'accès à Cloud Shell pour les comptes utilisateur gérés Cloud Identity

ID de contrôle Google CI-CO-6.8
Catégorie Recommandé
Description

Pour éviter d'accorder un accès excessif à Google Cloud, bloquez l'accès à Cloud Shell pour les comptes utilisateur gérés Cloud Identity.
Produits applicables
  • Cloud Identity
  • Cloud Shell
Contrôles NIST-800-53 associés
  • SC-7
  • SC-8
Contrôles associés du profil CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informations connexes

Commandes facultatives

Vous pouvez éventuellement implémenter les contrôles Cloud Identity suivants en fonction des exigences de votre organisation.

Bloquer l'autorécupération de comptes super-administrateur

ID de contrôle Google CI-CO-6.3
Catégorie Facultatif
Description
Un pirate informatique pourrait utiliser la procédure d'autorécupération pour réinitialiser les mots de passe des super-administrateurs. Pour atténuer les risques de sécurité associés aux attaques Signaling System 7 (SS7), aux attaques par échange de carte SIM ou à d'autres attaques par hameçonnage, nous vous recommandons de désactiver cette fonctionnalité. Pour désactiver cette fonctionnalité, accédez aux paramètres de récupération de compte dans la console d'administration Google.
Produits applicables
  • Cloud Identity
  • Google Workspace
Contrôles NIST-800-53 associés
  • IA-2
  • IA-4
  • IA-5
Contrôles associés du profil CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informations connexes

Désactiver les services Google inutilisés

ID de contrôle Google CI-CO-6.6
Catégorie Facultatif
Description
En général, nous vous recommandons de désactiver les services que vous n'utiliserez pas.
Produits applicables
  • Cloud Identity
Chemin d'accès http://admin.google.com > Apps > Additional Google Services
Opérateur Setting
Valeur
  • False
Contrôles NIST-800-53 associés
  • SC-7
  • SC-8
Contrôles associés du profil CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informations connexes

Étapes suivantes