Esta página se ha traducido con Cloud Translation API.

Controles de gestión de identidades y accesos para casos prácticos de IA generativa

Este documento incluye las prácticas recomendadas y las directrices de Gestión de Identidades y Accesos (IAM) para ejecutar cargas de trabajo de IA generativa en Google Cloud. Usa IAM con Vertex AI para controlar quién puede realizar acciones específicas en tus recursos de cargas de trabajo generativas, como crearlos, editarlos o eliminarlos.

Controles de gestión de identidades y accesos obligatorios

Se recomienda encarecidamente usar los siguientes controles al usar IAM.

Inhabilitar las concesiones automáticas de gestión de identidades y accesos (IAM) para las cuentas de servicio predeterminadas

ID de control de Google	IAM-CO-4.1
Categoría	Obligatorio
Descripción	Usa la `automaticIamGrantsForDefaultServiceAccounts`restricción booleana para inhabilitar la concesión automática de roles cuando los Google Cloud servicios creen automáticamente cuentas de servicio predeterminadas con roles demasiado permisivos. Por ejemplo, si no aplicas esta restricción y creas una cuenta de servicio predeterminada, se le asignará automáticamente el rol Editor (`roles/editor`) en tu proyecto.
Productos aplicables	Gestión de identidades y accesos Servicio de política de organización
Ruta	`constraints/iam.automaticIamGrantsForDefaultServiceAccounts`
Operador	`Is`
Valor	`False`
Tipo	Booleano
Controles relacionados de NIST 800-53	AC-3 AC-17 AC-20
Controles relacionados con el perfil de CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1
Información relacionada	Tipos de cuentas de servicio

Bloquear la creación de claves de cuentas de servicio externas

ID de control de Google	IAM-CO-4.2
Categoría	Obligatorio
Descripción	Usa la restricción booleana `iam.disableServiceAccountKeyCreation` para inhabilitar la creación de claves externas de cuentas de servicio. Esta restricción le permite controlar el uso de credenciales a largo plazo no gestionadas para cuentas de servicio. Cuando se define esta restricción, no puedes crear credenciales gestionadas por el usuario para cuentas de servicio en proyectos afectados por la restricción.
Productos aplicables	Servicio de política de organización Gestión de identidades y accesos
Ruta	`constraints/iam.disableServiceAccountKeyCreation`
Operador	`Is`
Valor	`True`
Tipo	Booleano
Controles relacionados de NIST 800-53	AC-3 AC-17 AC-20
Controles relacionados con el perfil de CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1
Información relacionada	Inhabilitar la creación de claves de cuentas de servicio

Bloquear la subida de claves de cuentas de servicio

ID de control de Google	IAM-CO-4.3
Categoría	Obligatorio
Descripción	Usa la restricción booleana `iam.disableServiceAccountKeyUpload` para inhabilitar la subida de claves públicas externas a cuentas de servicio. Cuando se define esta restricción, los usuarios no pueden subir claves públicas a cuentas de servicio en proyectos afectados por la restricción.
Productos aplicables	Servicio de política de organización Gestión de identidades y accesos
Ruta	`constraints/iam.disableServiceAccountKeyUpload`
Operador	`Is`
Valor	`True`
Tipo	Booleano
Controles relacionados de NIST 800-53	AC-3 AC-17 AC-20
Controles relacionados con el perfil de CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1
Información relacionada	Inhabilitar la subida de claves a cuentas de servicio

Controles recomendados en función del caso práctico de IA generativa

En función de tus casos prácticos de IA generativa, es posible que necesites controles de gestión de identidades y accesos adicionales.

Implementa etiquetas para asignar de forma eficiente políticas de gestión de identidades y accesos (IAM) y políticas de organización

ID de control de Google	IAM-CO-6.1
Categoría	Recomendado
Descripción	Las etiquetas permiten crear anotaciones para los recursos y, en algunos casos, permiten o deniegan políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Usa etiquetas y la aplicación de políticas condicionales para controlar de forma pormenorizada toda la jerarquía de recursos.
Productos aplicables	Resource Manager
Controles relacionados de NIST 800-53	AC-2 AC-3 AC-5
Controles relacionados con el perfil de CRI	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.DS-5.1 PR.PT-3.1
Información relacionada	Descripción general de las etiquetas

Auditar los cambios de alto riesgo en la gestión de identidades y accesos (IAM)

ID de control de Google	IAM-CO-7.1
Categoría	Recomendado
Descripción	Usa Registros de auditoría de Cloud para monitorizar la actividad de alto riesgo, como la concesión de roles de alto riesgo a cuentas (por ejemplo, los roles de administrador de la organización y superadministrador). Configura alertas para este tipo de actividad.
Productos aplicables	Registros de auditoría de Cloud
Controles relacionados de NIST 800-53	AU-2 AU-3 AU-8 AU-9
Controles relacionados con el perfil de CRI	DM.ED-7.1 DM.ED-7.2 DM.ED-7.3 DM.ED-7.4 PR.IP-1.4
Información relacionada	Registro de auditoría de Gestión de Identidades y Accesos Resumen de los Registros de auditoría de Cloud

Controles comunes opcionales

También puedes implementar los siguientes controles en función de los requisitos de tu organización.

Configurar el acceso contextual para las consolas de Google

ID de control de Google	IAM-CO-8.2
Categoría	Opcional
Descripción	Con el acceso contextual, puedes crear políticas de seguridad de control de acceso detalladas para aplicaciones basadas en atributos como la identidad del usuario, la ubicación, el estado de seguridad del dispositivo y la dirección IP. Te recomendamos que uses el acceso contextual para restringir el acceso a la consola (https://console.cloud.google.com/) y a la consola de administración de Google (https://admin.cloud.google.com). Google Cloud
Productos aplicables	Cloud Identity Acceso contextual
Controles relacionados de NIST 800-53	AC-3 AC-12 AC-17 AC-20 SC-7 SC-8
Controles relacionados con el perfil de CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-5.1 PR.AC-5.2 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Información relacionada	Proteger tu empresa con el acceso contextual

Siguientes pasos

Consulta los controles del servicio de políticas de organización.
Consulta más Google Cloud prácticas recomendadas y directrices de seguridad para cargas de trabajo de IA generativa.

Controles de gestión de identidades y accesos para casos prácticos de IA generativa Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.