生成 AI ユースケースの Dataflow コントロール

このドキュメントでは、 Google Cloudで生成 AI ワークロードを実行する際の Dataflow のベストプラクティスとガイドラインについて説明します。Vertex AI で Dataflow を使用して、さまざまなソースからデータを取り込み、必要に応じてデータを集計する複雑なパイプラインを構築します。

オプションの Dataflow コントロール

データソースに応じて、次のセキュリティコントロールを実装することをおすすめします。

Dataflow ジョブの外部 IP アドレスをオフにする

Google コントロール ID	DF-CO-6.1
カテゴリ	オプション
説明	Dataflow ジョブに関連する管理タスクとモニタリングタスクの外部 IP アドレスをオフにします。代わりに、SSH を使用して Dataflow ワーカー VM へのアクセスを構成します。プライベート Google アクセスを有効にして、Dataflow ジョブで次のいずれかのオプションを指定します。 `--usePublicIps=false` と `--network=NETWORK-NAME` `--subnetwork=SUBNETWORK-NAME` ここで `NETWORK-NAME`: Compute Engine ネットワークの名前。 `SUBNETWORK-NAME`: Compute Engine サブネットワークの名前。
対象プロダクト	Compute Engine Dataflow
関連する NIST-800-53 コントロール	SC-7 SC-8
関連する CRI プロファイルコントロール	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
関連情報	アクセス方法を選択するプライベート Google アクセスを構成する

ファイアウォールルールにネットワークタグを使用する

Google コントロール ID	DF-CO-6.2
カテゴリ	オプション
説明	ネットワークタグは、Dataflow ワーカー VM などの Compute Engine VM に付加されるテキスト属性です。ネットワークタグを使用すると、VPC ネットワークファイアウォールルールと一部のカスタム静的ルートを特定の VM インスタンスに適用できます。Dataflow では、特定の Dataflow ジョブを実行するすべてのワーカー VM にネットワークタグを追加できます。
対象プロダクト	Compute Engine Dataflow
関連する NIST-800-53 コントロール	SC-7 SC-8
関連する CRI プロファイルコントロール	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
関連情報	Dataflow のネットワークタグ

次のステップ

Identity and Access Management（IAM）の制御を確認する。
Google Cloud 生成 AI ワークロードのセキュリティに関するベストプラクティスとガイドラインを確認する。

特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。

最終更新日 2025-12-11 UTC。