Contrôles IAM pour les cas d'utilisation de l'IA générative

Ce document inclut les bonnes pratiques et les consignes pour Identity and Access Management (IAM) lorsque vous exécutez des charges de travail d'IA générative sur Google Cloud. Utilisez IAM avec Vertex AI pour contrôler qui peut effectuer des actions spécifiques sur vos ressources de charge de travail générative, comme les créer, les modifier ou les supprimer.

Contrôles IAM requis

Les contrôles suivants sont fortement recommandés lorsque vous utilisez IAM.

Désactiver l'attribution automatique de rôles Identity and Access Management (IAM) pour les comptes de service par défaut

ID de contrôle Google IAM-CO-4.1
Catégorie Obligatoire
Description

Utilisez la contrainte booléenne automaticIamGrantsForDefaultServiceAccounts pour désactiver l'attribution automatique de rôles lorsque les services Google Cloud créent automatiquement des comptes de service par défaut avec des rôles trop permissifs. Par exemple, si vous n'appliquez pas cette contrainte et que vous créez un compte de service par défaut, le rôle Éditeur (roles/editor) lui est automatiquement attribué sur votre projet.
Produits applicables
  • IAM
  • Service de règles d'administration
Chemin d'accès constraints/iam.automaticIamGrantsForDefaultServiceAccounts
Opérateur Is
Valeur
  • False
Type Booléen
Contrôles NIST-800-53 associés
  • AC-3
  • AC-17
  • AC-20
Contrôles associés du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informations connexes

Bloquer la création de clés de compte de service externes

ID de contrôle Google IAM-CO-4.2
Catégorie Obligatoire
Description

Utilisez la contrainte booléenne iam.disableServiceAccountKeyCreation pour désactiver la création de clés de compte de service externes. Cette contrainte vous permet de contrôler l'utilisation des identifiants à long terme non gérés pour les comptes de service. Lorsque cette contrainte est définie, vous ne pouvez pas créer d'identifiants gérés par l'utilisateur pour les comptes de service dans les projets affectés par la contrainte.
Produits applicables
  • Service de règles d'administration
  • IAM
Chemin d'accès constraints/iam.disableServiceAccountKeyCreation
Opérateur Is
Valeur
  • True
Type Booléen
Contrôles NIST-800-53 associés
  • AC-3
  • AC-17
  • AC-20
Contrôles associés du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informations connexes

Bloquer l'importation de clés de compte de service

ID de contrôle Google IAM-CO-4.3
Catégorie Obligatoire
Description

Utilisez la contrainte booléenne iam.disableServiceAccountKeyUpload pour désactiver l'importation de clés publiques externes dans des comptes de service. Lorsque cette contrainte est définie, les utilisateurs ne peuvent pas importer de clés publiques dans les comptes de service de projets affectés par la contrainte.
Produits applicables
  • Service de règles d'administration
  • IAM
Chemin d'accès constraints/iam.disableServiceAccountKeyUpload
Opérateur Is
Valeur
  • True
Type Booléen
Contrôles NIST-800-53 associés
  • AC-3
  • AC-17
  • AC-20
Contrôles associés du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informations connexes

Selon vos cas d'utilisation de l'IA générative, vous aurez peut-être besoin de contrôles IAM supplémentaires.

Implémenter des tags pour attribuer efficacement des stratégies de Identity and Access Management (IAM) et des règles d'administration

ID de contrôle Google IAM-CO-6.1
Catégorie Recommandé
Description

Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Utilisez les tags et l'application conditionnelle de règles pour un contrôle ultraprécis de votre hiérarchie de ressources.
Produits applicables
  • Resource Manager
Contrôles NIST-800-53 associés
  • AC-2
  • AC-3
  • AC-5
Contrôles associés du profil CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Informations connexes

Auditer les modifications à haut risque apportées à Identity and Access Management (IAM)

ID de contrôle Google IAM-CO-7.1
Catégorie Recommandé
Description

Utilisez Cloud Audit Logs pour surveiller les activités à haut risque, comme l'attribution de rôles à haut risque (administrateur de l'organisation et super-administrateur, par exemple) à des comptes. Configurez des alertes pour ce type d'activité.
Produits applicables
  • Cloud Audit Logs
Contrôles NIST-800-53 associés
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Contrôles associés du profil CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informations connexes

Commandes courantes facultatives

Vous pouvez également implémenter les contrôles suivants en fonction des exigences de votre organisation.

Configurer l'accès contextuel pour les consoles Google

ID de contrôle Google IAM-CO-8.2
Catégorie Facultatif
Description

Grâce à l'accès contextuel, vous pouvez créer des règles de sécurité précises pour le contrôle des accès aux applications, sur la base d'attributs comme l'identité des utilisateurs, le lieu, le niveau de sécurité des appareils et l'adresse IP. Nous vous recommandons d'utiliser l'accès contextuel pour limiter l'accès à la console Google Cloud (https://console.cloud.google.com/) et à la console d'administration Google (https://admin.cloud.google.com).
Produits applicables
  • Cloud Identity
  • Accès contextuel
Contrôles NIST-800-53 associés
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Contrôles associés du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informations connexes

Étapes suivantes