Controles do Resource Manager para casos de uso da IA generativa

Este documento inclui as práticas recomendadas e diretrizes para o Resource Manager ao executar cargas de trabalho de IA generativa no Google Cloud. Use o Resource Manager com a Vertex AI para agrupar e gerenciar componentes lógicos das suas cargas de trabalho da Vertex AI.

Considere os seguintes casos de uso do Resource Manager com a Vertex AI:

  • Para garantir o isolamento de recursos e dados e controles de acesso refinados, crie projetos separados para diferentes equipes ou departamentos.
  • Aplique políticas de segurança de proteção a cargas de trabalho de IA.
  • Defina cotas para o uso de GPU em jobs de treinamento e evite estouros de custos.
  • Automatize a criação dos buckets do Cloud Storage e das instâncias do Compute Engine necessários para novos projetos.
  • Acompanhe e analise padrões de uso de recursos para projetos específicos e otimize a alocação de recursos.
  • Gere relatórios de auditoria para demonstrar a conformidade com as políticas de governança de dados e segurança.

Controles necessários do Resource Manager

Os controles a seguir são altamente recomendados ao usar o Resource Manager.

Restringir o uso do serviço de recursos

ID de controle do Google RM-CO-4.1
Categoria Obrigatório
Descrição
A restrição gcp.restrictServiceUsage garante que apenas os serviços aprovados Google Cloud sejam usados nos lugares certos. Por exemplo, uma pasta de produção ou altamente sensível tem uma pequena lista de serviços Google Cloud aprovados para armazenar dados. Uma pasta de sandbox pode ter uma lista maior de serviços e controles de segurança de dados para ajudar a evitar a exfiltração de dados. O valor é específico para seus sistemas e corresponde à sua lista aprovada de serviços e dependências para pastas e projetos específicos.
Produtos aplicáveis
  • Serviço de política da organização
  • Resource Manager
Caminho constraints/gcp.restrictServiceUsage
Operador Is
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Restringir locais de recursos

ID de controle do Google RM-CO-4.2
Categoria Obrigatório
Descrição
A restrição de local do recurso (gcp.resourceLocations) garante que apenas as regiões Google Cloud aprovadas sejam usadas para armazenar dados. O valor é específico para seus sistemas e corresponde à lista aprovada de regiões da sua organização para residência de dados.
Produtos aplicáveis
  • Serviço de política da organização
  • Resource Manager
Caminho constraints/gcp.resourceLocations
Operador Is
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

A seguir