本文提供 Secret Manager 最佳做法和指南,適用於在 Google Cloud上執行生成式 AI 工作負載的情況。您可以搭配 Secret Manager 使用 Vertex AI,保護 Vertex AI 專案中使用的機密資料和憑證。
以下是搭配使用 Secret Manager 與 Vertex AI 的應用實例:
- 儲存 API 金鑰,以便存取用於模型訓練的外部資料來源。
- 在預測管道中加密資料庫憑證,確保存取安全。
- 提供臨時存取權杖,確保服務之間的通訊安全。
- 保護用於加密通訊頻道的私密金鑰和憑證。
- 管理在 ML 工作流程中使用的第三方服務密碼和憑證。
必要的 Secret Manager 控制項
使用 Secret Manager 時,強烈建議您採用下列控制項。
設定自動 Secret 輪換
| Google 控制項 ID | SM-CO-6.2 |
|---|---|
| 類別 | 必要 |
| 說明 | 自動輪換 Secret,並在遭到入侵時提供緊急輪換程序。 |
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
根據生成式 AI 用途建議使用的控制項
如果您處理機密資料或機密生成式 AI 工作負載,建議在適用的生成式 AI 用途中導入下列控制措施。
自動複製 Secret
| Google 控制項 ID | SM-CO-6.1 |
|---|---|
| 類別 | 建議 |
| 說明 | 除非工作負載有特定地點規定,否則請選擇自動複製政策來複製 Secret。自動政策可滿足大多數工作負載的可用性和效能需求。如果工作負載有特定地點規定,您可以在建立 Secret 時,使用 API 選取複製政策的位置。 |
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
後續步驟
參閱這篇文章,瞭解更多生成式 AI 工作負載適用的Google Cloud 安全性最佳做法和指南。