IAM-Einstellungen für Anwendungsfälle für generative KI

Dieses Dokument enthält die Best Practices und Richtlinien für Identity and Access Management (IAM) beim Ausführen von generativen KI-Arbeitslasten auf Google Cloud. Mit IAM in Vertex AI können Sie steuern, wer bestimmte Aktionen für Ihre Ressourcen für generative KI-Arbeitslasten ausführen darf, z. B. das Erstellen, Bearbeiten oder Löschen von Ressourcen.

Erforderliche IAM-Steuerelemente

Die folgenden Kontrollen werden dringend empfohlen, wenn Sie IAM verwenden.

Automatische IAM-Zuweisungen (Identity and Access Management) für Standarddienstkonten deaktivieren

Google-Einstellungs-ID IAM-CO-4.1
Kategorie Erforderlich
Beschreibung

Verwenden Sie die boolesche Einschränkung automaticIamGrantsForDefaultServiceAccounts, um automatische Rollenzuweisungen zu deaktivieren, wenn Google Cloud Dienste automatisch Standarddienstkonten mit zu umfangreichen Rollen erstellen. Wenn Sie diese Einschränkung beispielsweise nicht erzwingen und ein Standarddienstkonto erstellen, erhält das Dienstkonto automatisch die Rolle „Bearbeiter“ (roles/editor) für Ihr Projekt.
Entsprechende Produkte
  • IAM
  • Organisationsrichtliniendienst
Pfad constraints/iam.automaticIamGrantsForDefaultServiceAccounts
Operator Is
Wert
  • False
Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Erstellung externer Dienstkontoschlüssel blockieren

Google-Einstellungs-ID IAM-CO-4.2
Kategorie Erforderlich
Beschreibung

Mit der booleschen Einschränkung iam.disableServiceAccountKeyCreation können Sie verhindern, dass externe Dienstkontoschlüssel erstellt werden. Mit dieser Einschränkung können Sie die Verwendung von nicht verwalteten, langfristigen Anmeldedaten für Dienstkonten steuern. Wenn diese Einschränkung festgelegt ist, können Sie keine von Nutzern verwalteten Anmeldedaten für Dienstkonten in Projekten erstellen, die von der Einschränkung betroffen sind.
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • IAM
Pfad constraints/iam.disableServiceAccountKeyCreation
Operator Is
Wert
  • True
Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Hochladen von Dienstkontoschlüsseln blockieren

Google-Einstellungs-ID IAM-CO-4.3
Kategorie Erforderlich
Beschreibung

Mit der booleschen Einschränkung iam.disableServiceAccountKeyUpload können Sie das Hochladen externer öffentlicher Schlüssel in Dienstkonten deaktivieren. Wenn diese Einschränkung festgelegt ist, können Nutzer keine öffentlichen Schlüssel in Dienstkonten in Projekten hochladen, die von der Einschränkung betroffen sind.
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • IAM
Pfad constraints/iam.disableServiceAccountKeyUpload
Operator Is
Wert
  • True
Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Je nach Ihren Anwendungsfällen für generative KI benötigen Sie möglicherweise zusätzliche IAM-Steuerelemente.

Tags implementieren, um IAM-Richtlinien (Identity and Access Management) und Organisationsrichtlinien effizient zuzuweisen

Google-Einstellungs-ID IAM-CO-6.1
Kategorie Empfohlen
Beschreibung

Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Tags und die bedingte Erzwingung von Richtlinien ermöglichen Ihnen, die Ressourcenhierarchie genau zu steuern.
Entsprechende Produkte
  • Resource Manager
Zugehörige NIST-800-53-Kontrollen
  • AC-2
  • AC-3
  • AC-5
Zugehörige CRI-Profileinstellungen
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Weitere Informationen

Änderungen mit hohem Risiko an Identity and Access Management (IAM) prüfen

Google-Einstellungs-ID IAM-CO-7.1
Kategorie Empfohlen
Beschreibung

Mit Cloud-Audit-Logs können Sie Aktivitäten mit hohem Risiko überwachen, z. B. wenn Konten Rollen mit hohem Risiko wie „Administrator der Organisation“ und „Super Admin“ zugewiesen werden. Richten Sie Benachrichtigungen für diese Art von Aktivität ein.
Entsprechende Produkte
  • Cloud-Audit-Logs
Zugehörige NIST-800-53-Kontrollen
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Zugehörige CRI-Profileinstellungen
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Weitere Informationen

Optionale gemeinsame Steuerelemente

Sie können optional die folgenden Kontrollen entsprechend den Anforderungen Ihrer Organisation implementieren.

Kontextsensitiven Zugriff für Google-Konsolen konfigurieren

Google-Einstellungs-ID IAM-CO-8.2
Kategorie Optional
Beschreibung

Mit dem kontextsensitiven Zugriff können Sie detaillierte Sicherheitsrichtlinien auf Grundlage von Attributen wie Nutzer-ID, Standort, Sicherheitsstatus des Geräts oder IP-Adresse erstellen, mit denen sich der Zugriff auf Anwendungen steuern lässt. Wir empfehlen, den Zugriff auf die Google Cloud -Konsole (https://console.cloud.google.com/) und die Google Admin-Konsole (https://admin.cloud.google.com) mit dem kontextsensitiven Zugriff einzuschränken.
Entsprechende Produkte
  • Cloud Identity
  • Kontextsensitiver Zugriff
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Weitere Informationen

Nächste Schritte