Controles do IAM para casos de uso da IA generativa

Este documento inclui as práticas recomendadas e diretrizes do Identity and Access Management (IAM) ao executar cargas de trabalho de IA generativa no Google Cloud. Use o IAM com a Vertex AI para controlar quem pode realizar ações específicas nos recursos da sua carga de trabalho generativa, como criar, editar ou excluir.

Controles obrigatórios do IAM

Os controles a seguir são altamente recomendados ao usar o IAM.

Desativar concessões automáticas do Identity and Access Management (IAM) para contas de serviço padrão

ID de controle do Google IAM-CO-4.1
Categoria Obrigatório
Descrição

Use a restrição booleana automaticIamGrantsForDefaultServiceAccounts para desativar as concessões automáticas de papéis quando os serviços do Google Cloud criam automaticamente contas de serviço padrão com papéis excessivamente permissivos. Por exemplo, se você não aplicar essa restrição e criar uma conta de serviço padrão, ela vai receber automaticamente o papel de Editor (roles/editor) no projeto.
Produtos aplicáveis
  • IAM
  • Serviço de política da organização
Caminho constraints/iam.automaticIamGrantsForDefaultServiceAccounts
Operador Is
Valor
  • False
Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Bloquear a criação de chaves de conta de serviço externas

ID de controle do Google IAM-CO-4.2
Categoria Obrigatório
Descrição

Use a restrição booleana iam.disableServiceAccountKeyCreation para desativar a criação de chaves de conta de serviço externas. Com essa restrição, é possível controlar o uso de credenciais de longo prazo não gerenciadas para contas de serviço. Quando essa restrição é definida, não é possível criar credenciais gerenciadas pelo usuário para contas de serviço em projetos afetados pela restrição.
Produtos aplicáveis
  • Serviço de política da organização
  • IAM
Caminho constraints/iam.disableServiceAccountKeyCreation
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Bloquear uploads de chaves de conta de serviço

ID de controle do Google IAM-CO-4.3
Categoria Obrigatório
Descrição

Use a restrição booleana iam.disableServiceAccountKeyUpload para desativar o upload de chaves públicas externas para contas de serviço. Quando essa restrição é definida, os usuários não podem fazer upload de chaves públicas para contas de serviço em projetos afetados pela restrição.
Produtos aplicáveis
  • Serviço de política da organização
  • IAM
Caminho constraints/iam.disableServiceAccountKeyUpload
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Dependendo dos seus casos de uso de IA generativa, talvez sejam necessários mais controles do IAM.

Implementar tags para atribuir com eficiência políticas do Identity and Access Management (IAM) e políticas da organização

ID de controle do Google IAM-CO-6.1
Categoria Recomendado
Descrição

As tags fornecem uma maneira de criar anotações para recursos e, em alguns casos, permitir ou negar políticas condicionalmente com base em um recurso ter uma tag específica. Use tags e aplicação condicional de políticas para ter um controle refinado em toda a hierarquia de recursos.
Produtos aplicáveis
  • Resource Manager
Controles relacionados do NIST-800-53
  • AC-2
  • AC-3
  • AC-5
Controles relacionados ao perfil de CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Informações relacionadas

Auditar mudanças de alto risco no Identity and Access Management (IAM)

ID de controle do Google IAM-CO-7.1
Categoria Recomendado
Descrição

Use os Registros de auditoria do Cloud para monitorar atividades de alto risco, como contas recebendo papéis de alto risco, como administrador da organização e superadministrador. Configure alertas para esse tipo de atividade.
Produtos aplicáveis
  • Registros de auditoria do Cloud
Controles relacionados do NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controles relacionados ao perfil de CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informações relacionadas

Controles comuns opcionais

Você pode implementar os seguintes controles com base nos requisitos da sua organização.

Configurar o acesso baseado no contexto para consoles do Google

ID de controle do Google IAM-CO-8.2
Categoria Opcional
Descrição

Com o acesso baseado no contexto, é possível criar políticas de segurança de controle de acesso granulares para aplicativos com base em atributos como identidade do usuário, local, status de segurança do dispositivo e endereço IP. Recomendamos que você use o Acesso baseado no contexto para restringir o acesso ao console Google Cloud (https://console.cloud.google.com/) e ao Google Admin Console (https://admin.cloud.google.com).
Produtos aplicáveis
  • Cloud Identity
  • Acesso baseado no contexto
Controles relacionados do NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

A seguir