Contrôles de l'infrastructure pour les cas d'utilisation de l'IA générative

Ce document inclut les bonnes pratiques et les consignes pour les services Google Cloudtels que Pub/Sub, Dataflow et Cloud Run Functions lors de l'exécution de charges de travail d'IA générative surGoogle Cloud.

Définir les instances de VM pouvant activer le transfert IP

ID de contrôle Google	VPC-CO-6.3
Implémentation	Obligatoire
Description	La contrainte `compute.vmCanIpForward` définit les instances de VM pouvant activer le transfert IP. Par défaut, toutes les VM peuvent activer le transfert IP sur n'importe quel réseau virtuel. Spécifiez les instances de VM en utilisant l'un des formats suivants : `under:organizations/ORGANIZATION_ID` `under:folders/FOLDER_ID` `under:projects/PROJECT_ID` `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME`. Cette contrainte n'est pas rétroactive.
Produits applicables	Service de règles d'administration Cloud privé virtuel (VPC) Compute Engine
Chemin d'accès	`constraints/compute.vmCanIpForward`
Opérateur	`=`
Valeur	`Your list of VM instances that can enable IP forwarding.`
Type	Liste
Contrôles NIST-800-53 associés	SC-7 SC-8
Commandes associées au profil CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informations connexes	Recommandations Activer le transfert IP pour les instances

Désactiver la virtualisation imbriquée des VM

ID de contrôle Google	VPC-CO-6.6
Implémentation	Obligatoire
Description	La contrainte booléenne `compute.disableNestedVirtualization` désactive la virtualisation imbriquée à accélération matérielle pour les VM Compute Engine.
Produits applicables	Service de règles d'administration Cloud privé virtuel (VPC) Compute Engine
Chemin d'accès	`constraints/compute.disableNestedVirtualization`
Opérateur	`Is`
Valeur	`True`
Type	Booléen
Contrôles NIST-800-53 associés	SC-7 SC-8
Commandes associées au profil CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informations connexes	Gérer la contrainte de virtualisation imbriquée

Restreindre les adresses IP externes sur les VM

ID de contrôle Google	VPC-CO-6.2
Implémentation	Obligatoire
Description	Sauf si cela est nécessaire, empêchez la création d'instances Compute Engine avec des adresses IP publiques. La contrainte de liste `compute.vmExternalIpAccess` définit l'ensemble des instances de VM Compute Engine pouvant disposer d'adresses IP externes. Empêchez les instances Compute Engine d'avoir des adresses IP externes pour réduire considérablement leur exposition à Internet. Toute instance dotée d'une adresse IP externe est immédiatement détectable et devient une cible directe pour les analyses automatisées, les attaques par force brute et les tentatives d'exploitation des failles. À la place, exigez des instances qu'elles utilisent des adresses IP privées et gérez l'accès via des chemins contrôlés, authentifiés et enregistrés, comme le tunnel Identity-Aware Proxy (IAP) ou un hôte bastion. L'adoption de cette posture de refus par défaut est une bonne pratique de sécurité fondamentale qui permet de réduire votre surface d'attaque et d'appliquer une approche zéro confiance à votre réseau. Cette contrainte n'est pas rétroactive.
Produits applicables	Service de règles d'administration Cloud privé virtuel (VPC) Compute Engine
Chemin d'accès	`constraints/compute.vmExternalIpAccess`
Opérateur	`=`
Valeur	`The list of VM instances in your organization that can have external IP addresses.`
Type	Liste
Contrôles NIST-800-53 associés	SC-7 SC-8
Commandes associées au profil CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informations connexes	Limiter les adresses IP externes à des instances spécifiques

Définir les adresses IP externes autorisées pour les instances de VM

ID de contrôle Google	CBD-CO-6.3
Implémentation	Obligatoire
Description	La contrainte de liste `compute.vmExternalIpAccess` vous permet de restreindre l'accès externe aux machines virtuelles en n'attribuant pas d'adresses IP externes. Configurez cette contrainte de liste pour refuser toutes les adresses IP externes aux machines virtuelles.
Produits applicables	Service de règles d'administration Compute Engine
Chemin d'accès	`compute.vmExternalIpAccess`
Opérateur	`=`
Valeur	`Deny All`
Type	Liste
Contrôles NIST-800-53 associés	AC-3 AC-12 AC-17 AC-20
Commandes associées au profil CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informations connexes	Limiter les adresses IP externes à des instances spécifiques

Exiger un connecteur VPC pour les fonctions Cloud Run

ID de contrôle Google	CF-CO-4.4
Implémentation	Obligatoire
Description	La contrainte booléenne `cloudfunctions.requireVPCConnector` exige que les administrateurs spécifient un connecteur d'accès au VPC sans serveur lorsqu'ils déploient une fonction Cloud Run. Lorsqu'elle est appliquée, les fonctions doivent spécifier un connecteur.
Produits applicables	Service de règles d'administration Cloud Run Functions
Chemin d'accès	`constraints/cloudfunctions.requireVPCConnector`
Opérateur	`=`
Valeur	`True`
Type	Booléen
Contrôles NIST-800-53 associés	SC-7 SC-8
Commandes associées au profil CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informations connexes	Se connecter à un réseau VPC

Configurer des règles de stockage des messages

ID de contrôle Google	PS-CO-4.1
Implémentation	Facultatif
Description	Si vous publiez des messages sur le point de terminaison Pub/Sub mondial, Pub/Sub les stocke automatiquement dans la région Google Cloud la plus proche. Pour contrôler les régions dans lesquelles vos messages sont stockés, configurez une règle de stockage des messages sur votre sujet. Pour configurer des règles de stockage des messages pour les sujets, utilisez l'une des méthodes suivantes : Définissez une règle de stockage des messages à l'aide de la contrainte de règle d'administration Restriction d'emplacement des ressources (`gcp.resourceLocations`). Configurez une règle de stockage des messages lorsque vous créez un sujet. Exemple : `gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2`
Produits applicables	Service de règles d'administration Pub/Sub
Contrôles NIST-800-53 associés	AC-3 AC-17 AC-20
Commandes associées au profil CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1
Informations connexes	Configurer des règles de stockage des messages

Désactiver les adresses IP externes pour les jobs Dataflow

ID de contrôle Google	DF-CO-6.1
Implémentation	Facultatif
Description	Désactivez les adresses IP externes pour les tâches d'administration et de surveillance liées aux jobs Dataflow. Configurez plutôt l'accès à vos VM de nœud de calcul Dataflow à l'aide de SSH. Activez l'accès privé à Google et spécifiez l'une des options suivantes dans votre job Dataflow : `--usePublicIps=false` et `--network=NETWORK-NAME` `--subnetwork=SUBNETWORK-NAME` Où : `NETWORK-NAME` : nom de votre réseau Compute Engine. `SUBNETWORK-NAME` : nom de votre sous-réseau Compute Engine.
Produits applicables	Compute Engine Dataflow
Contrôles NIST-800-53 associés	SC-7 SC-8
Commandes associées au profil CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informations connexes	Choisir une méthode d'accès Configurer l'accès privé à Google

Utiliser des tags réseau pour les règles de pare-feu

ID de contrôle Google	DF-CO-6.2
Implémentation	Facultatif
Description	Les tags réseau sont des attributs textuels associés aux VM Compute Engine, telles que les VM de nœud de calcul Dataflow. Les tags réseau vous permettent d'appliquer des règles de pare-feu de réseau VPC et des routes statiques personnalisées à des instances de VM spécifiques. Dataflow permet d'ajouter des tags réseau à toutes les VM de nœud de calcul qui exécutent une tâche Dataflow particulière.
Produits applicables	Compute Engine Dataflow
Contrôles NIST-800-53 associés	SC-7 SC-8
Commandes associées au profil CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informations connexes	Tags réseau pour Dataflow

Étapes suivantes

Consultez les paramètres de gestion des données.
Consultez les Google Cloud bonnes pratiques et consignes de sécurité pour les charges de travail d'IA générative.

Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.

Dernière mise à jour le 2026/04/09 (UTC).