Controlos da IAM para exemplos de utilização da IA generativa

Este documento inclui as práticas recomendadas e as diretrizes para a gestão de identidade e acesso (IAM) quando executa cargas de trabalho de IA generativa no Google Cloud. Use o IAM com a Vertex AI para controlar quem pode realizar ações específicas nos recursos da sua carga de trabalho generativa, como criá-los, editá-los ou eliminá-los.

Controlos de IAM necessários

Os seguintes controlos são vivamente recomendados quando usar o IAM.

Desative as concessões automáticas da gestão de identidade e de acesso (IAM) para contas de serviço predefinidas

ID de controlo da Google IAM-CO-4.1
Categoria Obrigatória
Descrição

Use a restrição booleana automaticIamGrantsForDefaultServiceAccounts para desativar as concessões de funções automáticas quando Google Cloud os serviços criam automaticamente contas de serviço predefinidas com funções excessivamente permissivas. Por exemplo, se não aplicar esta restrição e criar uma conta de serviço predefinida, é concedida automaticamente à conta de serviço a função de Editor (roles/editor) no seu projeto.
Produtos aplicáveis
  • IAM
  • Serviço de políticas da organização
Caminho constraints/iam.automaticIamGrantsForDefaultServiceAccounts
Operador Is
Valor
  • False
Tipo Booleano
Controlos NIST-800-53 relacionados
  • AC-3
  • AC-17
  • AC-20
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Bloqueie a criação de chaves de contas de serviço externas

ID de controlo da Google IAM-CO-4.2
Categoria Obrigatória
Descrição

Use a restrição booleana iam.disableServiceAccountKeyCreation para impedir a criação de chaves de contas de serviço externas. Esta restrição permite-lhe controlar a utilização de credenciais de longo prazo não geridas para contas de serviço. Quando esta restrição está definida, não pode criar credenciais geridas pelo utilizador para contas de serviço em projetos afetados pela restrição.
Produtos aplicáveis
  • Serviço de políticas da organização
  • IAM
Caminho constraints/iam.disableServiceAccountKeyCreation
Operador Is
Valor
  • True
Tipo Booleano
Controlos NIST-800-53 relacionados
  • AC-3
  • AC-17
  • AC-20
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Bloqueie carregamentos de chaves de contas de serviço

ID de controlo da Google IAM-CO-4.3
Categoria Obrigatória
Descrição

Use a restrição booleana iam.disableServiceAccountKeyUpload para desativar o carregamento de chaves públicas externas para contas de serviço. Quando esta restrição está definida, os utilizadores não podem carregar chaves públicas para contas de serviço em projetos afetados pela restrição.
Produtos aplicáveis
  • Serviço de políticas da organização
  • IAM
Caminho constraints/iam.disableServiceAccountKeyUpload
Operador Is
Valor
  • True
Tipo Booleano
Controlos NIST-800-53 relacionados
  • AC-3
  • AC-17
  • AC-20
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Consoante os seus exemplos de utilização relacionados com a IA generativa, pode precisar de controlos de IAM adicionais.

Implemente etiquetas para atribuir de forma eficiente políticas de gestão de identidade e de acesso (IAM) e políticas de organização

ID de controlo da Google IAM-CO-6.1
Categoria Recomendado
Descrição

As etiquetas oferecem uma forma de criar anotações para recursos e, em alguns casos, permitem ou negam condicionalmente políticas com base no facto de um recurso ter uma etiqueta específica. Use etiquetas e aplicação condicional de políticas para um controlo detalhado na hierarquia de recursos.
Produtos aplicáveis
  • Resource Manager
Controlos NIST-800-53 relacionados
  • AC-2
  • AC-3
  • AC-5
Controlos do perfil de CRI relacionados
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Informações relacionadas

Audite alterações de alto risco à gestão de identidade e de acesso (IAM)

ID de controlo da Google IAM-CO-7.1
Categoria Recomendado
Descrição

Use os registos de auditoria do Cloud para monitorizar a atividade de alto risco, como a atribuição de funções de alto risco a contas, como administrador da organização e superadministrador. Configure alertas para este tipo de atividade.
Produtos aplicáveis
  • Cloud Audit Logs
Controlos NIST-800-53 relacionados
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controlos do perfil de CRI relacionados
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informações relacionadas

Controlos comuns opcionais

Opcionalmente, pode implementar os seguintes controlos com base nos requisitos da sua organização.

Configure o acesso sensível ao contexto para as consolas Google

ID de controlo da Google IAM-CO-8.2
Categoria Opcional
Descrição

Com o acesso sensível ao contexto, pode criar políticas de segurança de controlo de acesso detalhado para aplicações com base em atributos como a identidade do utilizador, a localização, o estado de segurança do dispositivo e o endereço IP. Recomendamos que use o acesso sensível ao contexto para restringir o acesso à Google Cloud consola (https://console.cloud.google.com/) e à consola do administrador Google (https://admin.cloud.google.com).
Produtos aplicáveis
  • Cloud ID
  • Acesso sensível ao contexto
Controlos NIST-800-53 relacionados
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

O que se segue?