Resource Manager-Steuerelemente für Anwendungsfälle für generative KI

Dieses Dokument enthält die Best Practices und Richtlinien für Resource Manager beim Ausführen von generativen KI-Arbeitslasten auf Google Cloud. Verwenden Sie Resource Manager mit Vertex AI, um logische Komponenten Ihrer Vertex AI-Workloads zu gruppieren und zu verwalten.

Hier sind einige Anwendungsfälle für Resource Manager mit Vertex AI:

  • Um die Isolation von Ressourcen und Daten sowie eine detaillierte Zugriffssteuerung zu gewährleisten, sollten Sie separate Projekte für verschiedene Teams oder Abteilungen erstellen.
  • Schützende Sicherheitsrichtlinien auf KI-Arbeitslasten anwenden
  • Definieren Sie Kontingente für die GPU-Nutzung in Trainingsjobs, um Kostenüberschreitungen zu vermeiden.
  • Erstellen Sie die erforderlichen Cloud Storage-Buckets und Compute Engine-Instanzen für neue Projekte automatisch.
  • Ressourcennutzungsmuster für bestimmte Projekte verfolgen und analysieren, um die Ressourcenzuweisung zu optimieren.
  • Prüfberichte erstellen, um die Einhaltung von Data-Governance- und Sicherheitsrichtlinien zu belegen.

Erforderliche Resource Manager-Steuerelemente

Die folgenden Kontrollen werden bei der Verwendung von Resource Manager dringend empfohlen.

Nutzung von Ressourcendiensten einschränken

Google-Einstellungs-ID RM-CO-4.1
Kategorie Erforderlich
Beschreibung
Die Einschränkung gcp.restrictServiceUsage sorgt dafür, dass nur Ihre genehmigten Google Cloud Dienste an den richtigen Stellen verwendet werden. Beispiel: Ein Produktions- oder sehr vertraulicher Ordner hat eine kleine Liste von Google Cloud Diensten, die zum Speichern von Daten zugelassen sind. Ein Sandbox-Ordner enthält möglicherweise eine längere Liste von Diensten und zugehörigen Datensicherheitskontrollen, um Daten-Exfiltration zu verhindern. Der Wert ist spezifisch für Ihre Systeme und entspricht Ihrer genehmigten Liste von Diensten und Abhängigkeiten für bestimmte Ordner und Projekte.
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Resource Manager
Pfad constraints/gcp.restrictServiceUsage
Operator Is
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Ressourcenstandorte einschränken

Google-Einstellungs-ID RM-CO-4.2
Kategorie Erforderlich
Beschreibung
Die Einschränkung für Ressourcenstandorte (gcp.resourceLocations) sorgt dafür, dass nur Ihre genehmigten Google Cloud Regionen zum Speichern von Daten verwendet werden. Der Wert ist spezifisch für Ihre Systeme und entspricht der genehmigten Liste der Regionen Ihrer Organisation für den Datenstandort.
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Resource Manager
Pfad constraints/gcp.resourceLocations
Operator Is
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Nächste Schritte