Halaman ini diterjemahkan oleh Cloud Translation API.

Kontrol Cloud Identity untuk kasus penggunaan AI generatif

Dokumen ini mencakup praktik terbaik dan panduan untuk Cloud Build saat menjalankan workload AI generatif di Google Cloud. Gunakan Cloud Identity dengan Vertex AI untuk menyatukan identitas, akses, aplikasi, dan pengelolaan untuk Google Cloud.

Kontrol Cloud Identity yang diperlukan

Kontrol berikut sangat direkomendasikan saat menggunakan Cloud Identity.

Mengaktifkan verifikasi dua langkah untuk akun admin super

ID kontrol Google	CI-CO-6.1
Kategori	Wajib
Deskripsi	Google merekomendasikan Kunci Keamanan Titan untuk verifikasi 2 langkah (2SV) bagi akun admin super. Namun, untuk kasus penggunaan yang tidak memungkinkan hal ini, sebaiknya gunakan kunci keamanan lain sebagai alternatif.
Produk yang berlaku	Cloud Identity Kunci Keamanan Titan
Kontrol NIST-800-53 terkait	IA-2 IA-4 IA-5 IA-7
Kontrol profil CRI terkait	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informasi terkait	Men-deploy Verifikasi 2 Langkah

Menerapkan verifikasi dua langkah di unit organisasi admin super

ID kontrol Google	CI-CO-6.2
Kategori	Wajib
Deskripsi	Menerapkan verifikasi 2 langkah (2SV) untuk unit organisasi (OU) tertentu atau seluruh organisasi. Sebaiknya buat OU untuk admin super dan terapkan Verifikasi 2 Langkah di OU tersebut.
Produk yang berlaku	Cloud Identity
Kontrol NIST-800-53 terkait	IA-2 IA-4 IA-5 IA-7
Kontrol profil CRI terkait	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informasi terkait	Menambahkan unit organisasi Memindahkan pengguna ke unit organisasi

Buat alamat email eksklusif untuk admin super utama

ID kontrol Google	CI-CO-6.4
Kategori	Wajib
Deskripsi	Buat alamat email yang tidak spesifik untuk pengguna tertentu sebagai akun admin super Cloud Identity utama.
Produk yang berlaku	Cloud Identity
Kontrol NIST-800-53 terkait	IA-2 IA-4 IA-5
Kontrol profil CRI terkait	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informasi terkait	Membuat akun pengguna Cloud Identity

Mengirim log audit ke Google Cloud

ID kontrol Google	CI-CO-6.5
Kategori	Wajib
Deskripsi	Anda dapat membagikan data dari akun Google Workspace, Cloud Identity, atau Essentials Anda dengan layanan di Google Cloud. Google Workspace mengumpulkan log login, log administrator, dan log grup. Akses data yang dibagikan melalui Cloud Audit Logs.
Produk yang berlaku	Google Workspace Cloud Logging
Kontrol NIST-800-53 terkait	AC-2 AC-3 AC-8 AC-9
Kontrol profil CRI terkait	DM.ED-7.1 DM.ED-7.2 DM.ED-7.3 DM.ED-7.4
Informasi terkait	Log audit untuk Google Workspace Membagikan data ke layanan Google Cloud

Membuat akun admin super cadangan

ID kontrol Google	CI-CO-6.7
Kategori	Wajib
Deskripsi	Buat satu atau dua akun admin super cadangan. Sebagai aturan umum, jangan gunakan akun admin super untuk tugas pengelolaan sehari-hari. Hanya miliki dua hingga tiga akun admin super untuk organisasi Anda.
Produk yang berlaku	Google Workspace
Kontrol NIST-800-53 terkait	IA-2 IA-4 IA-5
Kontrol profil CRI terkait	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2

Kontrol cloud yang direkomendasikan

Sebaiknya terapkan kontrol Cloud Identity berikut ke lingkunganGoogle Cloud Anda, terlepas dari kasus penggunaan spesifik Anda.

Memblokir akses ke Cloud Shell untuk akun pengguna yang dikelola Cloud Identity

ID kontrol Google	CI-CO-6.8
Kategori	Disarankan
Deskripsi	Untuk menghindari pemberian akses yang berlebihan ke Google Cloud, blokir akses ke Cloud Shell untuk akun pengguna yang dikelola Cloud Identity.
Produk yang berlaku	Cloud Identity Cloud Shell
Kontrol NIST-800-53 terkait	SC-7 SC-8
Kontrol profil CRI terkait	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informasi terkait	Menonaktifkan Cloud Shell untuk akun pengguna terkelola

Kontrol opsional

Secara opsional, Anda dapat menerapkan kontrol Cloud Identity berikut berdasarkan persyaratan organisasi Anda.

Memblokir pemulihan mandiri akun untuk akun admin super

ID kontrol Google	CI-CO-6.3
Kategori	Opsional
Deskripsi	Penyerang dapat menggunakan proses pemulihan mandiri untuk mereset sandi admin super. Untuk memitigasi risiko keamanan yang terkait dengan serangan Signaling System 7 (SS7), serangan SIM Swap, atau serangan phishing lainnya, sebaiknya nonaktifkan fitur ini. Untuk menonaktifkan fitur ini, buka setelan pemulihan akun di konsol Google Admin.
Produk yang berlaku	Cloud Identity Google Workspace
Kontrol NIST-800-53 terkait	IA-2 IA-4 IA-5
Kontrol profil CRI terkait	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informasi terkait	Mengelola setelan keamanan pengguna

Menonaktifkan layanan Google yang tidak digunakan

ID kontrol Google	CI-CO-6.6
Kategori	Opsional
Deskripsi	Secara umum, sebaiknya nonaktifkan layanan yang tidak akan Anda gunakan.
Produk yang berlaku	Cloud Identity
Jalur	`http://admin.google.com > Apps > Additional Google Services`
Operator	`Setting`
Nilai	`False`
Kontrol NIST-800-53 terkait	SC-7 SC-8
Kontrol profil CRI terkait	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informasi terkait	Mengaktifkan atau menonaktifkan layanan Google tambahan

Langkah berikutnya

Tinjau kontrol Cloud Run Functions.
Lihat Google Cloud praktik terbaik dan panduan keamanan untuk beban kerja AI generatif lainnya.

Kontrol Cloud Identity untuk kasus penggunaan AI generatif Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.