Controles de IAM para casos de uso de IA generativa

En este documento, se incluyen las prácticas recomendadas y los lineamientos para Identity and Access Management (IAM) cuando se ejecutan cargas de trabajo de IA generativa en Google Cloud. Usa IAM con Vertex AI para controlar quién puede realizar acciones específicas en los recursos de tu carga de trabajo generativa, como crearlos, editarlos o borrarlos.

Controles de IAM obligatorios

Se recomienda encarecidamente usar los siguientes controles cuando se usa IAM.

Inhabilita el otorgamiento automático de Identity and Access Management (IAM) para las cuentas de servicio predeterminadas

ID de control de Google IAM-CO-4.1
Categoría Obligatorio
Descripción

Usa la restricción booleana automaticIamGrantsForDefaultServiceAccounts para inhabilitar las asignaciones de roles automáticas cuando los servicios de Google Cloud crean automáticamente cuentas de servicio predeterminadas con roles demasiado permisivos. Por ejemplo, si no aplicas esta restricción y creas una cuenta de servicio predeterminada, se le otorgará automáticamente el rol de editor (roles/editor) en tu proyecto.
Productos aplicables
  • IAM
  • Servicio de políticas de la organización
Ruta constraints/iam.automaticIamGrantsForDefaultServiceAccounts
Operador Is
Valor
  • False
Tipo Booleano
Controles relacionados de NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Información relacionada

Bloquea la creación de claves de cuentas de servicio externas

ID de control de Google IAM-CO-4.2
Categoría Obligatorio
Descripción

Usa la restricción booleana iam.disableServiceAccountKeyCreation para inhabilitar la creación de claves de cuentas de servicio externas. Esta restricción te permite controlar el uso de credenciales a largo plazo no administradas para las cuentas de servicio. Cuando se establece esta restricción, no puedes crear credenciales administradas por el usuario para las cuentas de servicio en los proyectos afectados por la restricción.
Productos aplicables
  • Servicio de políticas de la organización
  • IAM
Ruta constraints/iam.disableServiceAccountKeyCreation
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados de NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Información relacionada

Bloquea las cargas de claves de cuentas de servicio

ID de control de Google IAM-CO-4.3
Categoría Obligatorio
Descripción

Usa la restricción booleana iam.disableServiceAccountKeyUpload para inhabilitar la carga de claves públicas externas a las cuentas de servicio. Cuando se establece esta restricción, los usuarios no pueden subir claves públicas a cuentas de servicio en proyectos afectados por la restricción.
Productos aplicables
  • Servicio de políticas de la organización
  • IAM
Ruta constraints/iam.disableServiceAccountKeyUpload
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados de NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Información relacionada

Según tus casos de uso relacionados con la IA generativa, es posible que necesites controles de IAM adicionales.

Implementa etiquetas para asignar de manera eficiente políticas de Identity and Access Management (IAM) y políticas de la organización

ID de control de Google IAM-CO-6.1
Categoría Recomendado
Descripción

Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Usa etiquetas y la aplicación condicional de políticas para obtener un control detallado de toda la jerarquía de tus recursos.
Productos aplicables
  • Resource Manager
Controles relacionados de NIST-800-53
  • AC-2
  • AC-3
  • AC-5
Controles relacionados del perfil de CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Información relacionada

Audita los cambios de alto riesgo en Identity and Access Management (IAM)

ID de control de Google IAM-CO-7.1
Categoría Recomendado
Descripción

Usa los registros de auditoría de Cloud para supervisar la actividad de alto riesgo, como las cuentas a las que se les otorgan roles de alto riesgo, como administrador de la organización y administrador avanzado. Configura alertas para este tipo de actividad.
Productos aplicables
  • Registros de auditoría de Cloud
Controles relacionados de NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controles relacionados del perfil de CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Información relacionada

Controles comunes opcionales

De manera opcional, puedes implementar los siguientes controles según los requisitos de tu organización.

Configura el acceso adaptado al contexto para las consolas de Google

ID de control de Google IAM-CO-8.2
Categoría Opcional
Descripción

Con el acceso adaptado al contexto, puedes crear políticas de seguridad detalladas para el control de acceso a las aplicaciones en función de atributos, como la identidad del usuario, la ubicación, el estado de seguridad del dispositivo y la dirección IP. Te recomendamos que uses el Acceso adaptado al contexto para restringir el acceso a la Google Cloud consola (https://console.cloud.google.com/) y a la Consola del administrador de Google (https://admin.cloud.google.com).
Productos aplicables
  • Cloud Identity
  • Acceso adaptado al contexto
Controles relacionados de NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Información relacionada

¿Qué sigue?