Kontrol IAM untuk kasus penggunaan AI generatif

Dokumen ini mencakup praktik terbaik dan panduan untuk Identity and Access Management (IAM) saat menjalankan beban kerja AI generatif di Google Cloud. Gunakan IAM dengan Vertex AI untuk mengontrol siapa yang dapat melakukan tindakan tertentu pada resource beban kerja generatif Anda, seperti membuat, mengedit, atau menghapusnya.

Kontrol IAM yang diperlukan

Kontrol berikut sangat direkomendasikan saat menggunakan IAM.

Menonaktifkan pemberian otomatis Identity and Access Management (IAM) untuk akun layanan default

ID kontrol Google IAM-CO-4.1
Kategori Wajib
Deskripsi

Gunakan batasan boolean automaticIamGrantsForDefaultServiceAccounts untuk menonaktifkan pemberian peran otomatis saat Google Cloud layanan otomatis membuat akun layanan default dengan peran yang terlalu permisif. Misalnya, jika Anda tidak menerapkan batasan ini dan Anda membuat akun layanan default, akun layanan tersebut akan otomatis diberi peran Editor (roles/editor) di project Anda.
Produk yang berlaku
  • IAM
  • Organization Policy Service
Jalur constraints/iam.automaticIamGrantsForDefaultServiceAccounts
Operator Is
Nilai
  • False
Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Memblokir pembuatan kunci akun layanan eksternal

ID kontrol Google IAM-CO-4.2
Kategori Wajib
Deskripsi

Gunakan batasan boolean iam.disableServiceAccountKeyCreation untuk menonaktifkan pembuatan kunci akun layanan eksternal. Batasan ini memungkinkan Anda mengontrol penggunaan kredensial jangka panjang yang tidak dikelola untuk akun layanan. Jika batasan ini ditetapkan, Anda tidak dapat membuat kredensial yang dikelola pengguna untuk akun layanan di project yang terpengaruh oleh batasan tersebut.
Produk yang berlaku
  • Organization Policy Service
  • IAM
Jalur constraints/iam.disableServiceAccountKeyCreation
Operator Is
Nilai
  • True
Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Memblokir upload kunci akun layanan

ID kontrol Google IAM-CO-4.3
Kategori Wajib
Deskripsi

Gunakan batasan boolean iam.disableServiceAccountKeyUpload untuk menonaktifkan upload kunci publik eksternal ke akun layanan. Jika batasan ini ditetapkan, pengguna tidak dapat mengupload kunci publik ke akun layanan dalam project yang terpengaruh oleh batasan tersebut.
Produk yang berlaku
  • Organization Policy Service
  • IAM
Jalur constraints/iam.disableServiceAccountKeyUpload
Operator Is
Nilai
  • True
Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Bergantung pada kasus penggunaan Anda terkait AI generatif, Anda mungkin memerlukan kontrol IAM tambahan.

Terapkan tag untuk menetapkan kebijakan Identity and Access Management (IAM) dan kebijakan organisasi secara efisien

ID kontrol Google IAM-CO-6.1
Kategori Disarankan
Deskripsi

Tag memberikan cara untuk membuat anotasi untuk resource, dan dalam beberapa kasus, mengizinkan atau menolak kebijakan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Gunakan tag dan penerapan kebijakan bersyarat untuk mendapatkan kontrol yang terperinci di seluruh hierarki resource Anda.
Produk yang berlaku
  • Resource Manager
Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
  • AC-5
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Informasi terkait

Mengaudit perubahan berisiko tinggi pada Identity and Access Management (IAM)

ID kontrol Google IAM-CO-7.1
Kategori Disarankan
Deskripsi

Gunakan Cloud Audit Logs untuk memantau aktivitas berisiko tinggi, seperti akun yang diberi peran berisiko tinggi seperti Admin Organisasi dan Admin Super. Siapkan notifikasi untuk jenis aktivitas ini.
Produk yang berlaku
  • Cloud Audit Logs
Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Kontrol umum opsional

Anda dapat menerapkan kontrol berikut secara opsional berdasarkan persyaratan organisasi Anda.

Mengonfigurasi Akses Kontekstual untuk konsol Google

ID kontrol Google IAM-CO-8.2
Kategori Opsional
Deskripsi

Dengan Akses Kontekstual, Anda dapat membuat kebijakan keamanan kontrol akses terperinci untuk aplikasi berdasarkan berbagai atribut, seperti identitas pengguna, lokasi, status keamanan perangkat, dan alamat IP. Sebaiknya gunakan Akses Kontekstual untuk membatasi akses ke konsol Google Cloud (https://console.cloud.google.com/) dan konsol Google Admin (https://admin.cloud.google.com).
Produk yang berlaku
  • Cloud Identity
  • Akses Kontekstual
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Langkah berikutnya