Controlli IAM per i casi d'uso dell'AI generativa

Questo documento include le best practice e le linee guida per Identity and Access Management (IAM) durante l'esecuzione di carichi di lavoro di AI generativa su Google Cloud. Utilizza IAM con Vertex AI per controllare chi può eseguire azioni specifiche sulle risorse del tuo workload generativo, ad esempio crearle, modificarle o eliminarle.

Controlli IAM obbligatori

Quando utilizzi IAM, ti consigliamo vivamente di utilizzare i seguenti controlli.

Disabilita le concessioni automatiche di Identity and Access Management (IAM) per i service account predefiniti

ID controllo Google IAM-CO-4.1
Categoria Obbligatorio
Descrizione

Utilizza il vincolo booleano automaticIamGrantsForDefaultServiceAccounts per disattivare le concessioni automatiche dei ruoli quando i servizi creano automaticamente service account predefiniti con ruoli eccessivamente permissivi. Google Cloud Ad esempio, se non applichi questo vincolo e crei un account di servizio predefinito, a quest'account di servizio viene concesso automaticamente il ruolo Editor (roles/editor) nel tuo progetto.
Prodotti applicabili
  • IAM
  • Servizio Policy dell'organizzazione
Percorso constraints/iam.automaticIamGrantsForDefaultServiceAccounts
Operatore Is
Valore
  • False
Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informazioni correlate

Blocca la creazione di chiavi del account di servizio esterne

ID controllo Google IAM-CO-4.2
Categoria Obbligatorio
Descrizione

Utilizza il vincolo booleano iam.disableServiceAccountKeyCreation per disattivare la creazione di chiavi esterne del account di servizio. Questo vincolo consente di controllare l'utilizzo di credenziali a lungo termine non gestite per i service account. Quando questo vincolo è impostato, non puoi creare credenziali gestite dall'utente per i service account nei progetti interessati dal vincolo.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • IAM
Percorso constraints/iam.disableServiceAccountKeyCreation
Operatore Is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informazioni correlate

Blocca i caricamenti di chiavi account di servizio

ID controllo Google IAM-CO-4.3
Categoria Obbligatorio
Descrizione

Utilizza il vincolo booleano iam.disableServiceAccountKeyUpload per disabilitare il caricamento di chiavi pubbliche esterne nei service account. Quando questo vincolo è impostato, gli utenti non possono caricare chiavi pubbliche nei service account dei progetti interessati dal vincolo.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • IAM
Percorso constraints/iam.disableServiceAccountKeyUpload
Operatore Is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informazioni correlate

A seconda dei tuoi casi d'uso dell'AI generativa, potresti aver bisogno di controlli IAM aggiuntivi.

Implementa i tag per assegnare in modo efficiente le policy IAM (Identity and Access Management) e le policy dell'organizzazione

ID controllo Google IAM-CO-6.1
Categoria Consigliato
Descrizione

I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentire o negare in modo condizionale le policy a seconda che una risorsa abbia un tag specifico. Utilizza i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.
Prodotti applicabili
  • Resource Manager
Controlli NIST-800-53 correlati
  • AC-2
  • AC-3
  • AC-5
Controlli del profilo CRI correlati
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Informazioni correlate

Controllare le modifiche ad alto rischio a Identity and Access Management (IAM)

ID controllo Google IAM-CO-7.1
Categoria Consigliato
Descrizione

Utilizza Audit log di Cloud per monitorare le attività ad alto rischio, ad esempio l'assegnazione di ruoli ad alto rischio come Amministratore dell'organizzazione e Super amministratore agli account. Configura gli avvisi per questo tipo di attività.
Prodotti applicabili
  • Cloud Audit Logs
Controlli NIST-800-53 correlati
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controlli del profilo CRI correlati
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informazioni correlate

Controlli comuni facoltativi

Puoi implementare facoltativamente i seguenti controlli in base ai requisiti della tua organizzazione.

Configurare l'accesso sensibile al contesto per le console Google

ID controllo Google IAM-CO-8.2
Categoria Facoltativo
Descrizione

Con l'accesso sensibile al contesto, puoi creare criteri di sicurezza per il controllo granulare degli accessi alle applicazioni in base ad attributi come l'identità dell'utente, la località, lo stato della sicurezza del dispositivo e l'indirizzo IP. Ti consigliamo di utilizzare l'accesso sensibile al contesto per limitare l'accesso alla console Google Cloud (https://console.cloud.google.com/) e alla Console di amministrazione Google (https://admin.cloud.google.com).
Prodotti applicabili
  • Cloud Identity
  • Accesso sensibile al contesto
Controlli NIST-800-53 correlati
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informazioni correlate

Passaggi successivi