Outils et contrôles d'inférence pour les cas d'utilisation de l'IA générative

Ce document inclut les bonnes pratiques et les consignes pour Vertex AI lorsque vous exécutez des charges de travail d'IA générative surGoogle Cloud.

Définir le mode d'accès pour les notebooks et instances Vertex AI Workbench

ID de contrôle Google VAI-CO-4.1
Implémentation Obligatoire
Description

Cette contrainte de liste définit les modes d'accès autorisés pour les notebooks et instances Vertex AI Workbench. La liste d'autorisation ou de refus peut spécifier plusieurs utilisateurs avec le mode service-account ou un accès utilisateur individuel avec le mode single-user.
Produits applicables
  • Vertex AI Workbench
  • Service de règles d'administration
Chemin d'accès constraints/ainotebooks.accessMode
Opérateur Is
Valeur
  • service-account
  • single-user
Contrôles NIST-800-53 associés
  • AC-3
  • AC-17
  • AC-20
Commandes associées du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Désactiver les téléchargements de fichiers sur les instances Vertex AI Workbench

ID de contrôle Google VAI-CO-4.2
Implémentation Obligatoire
Description

La contrainte booléenne ainotebooks.disableFileDownloads vous empêche de créer des instances Vertex AI Workbench avec l'option de téléchargement de fichiers activée. Par défaut, vous pouvez activer l'option de téléchargement de fichiers sur n'importe quelle instance Vertex AI Workbench.
Produits applicables
  • Service de règles d'administration
  • Vertex AI Workbench
Chemin d'accès constraints/ainotebooks.disableFileDownloads
Opérateur Is
Valeur
  • True
Type Booléen
Contrôles NIST-800-53 associés
  • AC-3
  • AC-17
  • AC-20
Commandes associées du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Désactiver l'accès root sur les notebooks et instances Vertex AI Workbench gérés par l'utilisateur

ID de contrôle Google VAI-CO-4.3
Implémentation Obligatoire
Description

La contrainte booléenne ainotebooks.disableRootAccess vous empêche de créer des notebooks et des instances Vertex AI Workbench gérés par l'utilisateur avec l'accès root activé. L'accès root peut être activé par défaut sur les notebooks et instances Vertex AI Workbench gérés par l'utilisateur.
Produits applicables
  • Service de règles d'administration
  • Vertex AI Workbench
Chemin d'accès constraints/ainotebooks.disableRootAccess
Opérateur Is
Valeur
  • True
Type Booléen
Contrôles NIST-800-53 associés
  • AC-3
  • AC-17
  • AC-20
Commandes associées du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Désactiver le terminal sur les instances Vertex AI Workbench

ID de contrôle Google VAI-CO-4.4
Implémentation Obligatoire
Description

La contrainte booléenne ainotebooks.disableTerminal vous empêche de créer des instances Vertex AI Workbench avec le terminal activé. Par défaut, vous pouvez activer le terminal sur les instances Vertex AI Workbench.
Produits applicables
  • Service de règles d'administration
  • Vertex AI Workbench
Chemin d'accès constraints/ainotebooks.disableTerminal
Opérateur Is
Valeur
  • True
Type Booléen
Contrôles NIST-800-53 associés
  • AC-3
  • AC-17
  • AC-20
Commandes associées du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Limiter les options d'environnement sur les notebooks et instances Vertex AI Workbench

ID de contrôle Google VAI-CO-4.5
Implémentation Obligatoire
Description

La contrainte de liste ainotebooks.environmentOptions définit les options d'image de conteneur et de VM que vous pouvez sélectionner lorsque vous créez des notebooks et des instances Vertex AI Workbench. Vous devez spécifier explicitement les options que vous souhaitez autoriser ou refuser.

Le format attendu pour les instances de VM est le suivant : ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Remplacez IMAGE_TYPE par image-family ou image-name.

Exemple :

ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615

Le format attendu pour les images de conteneurs est le suivant : ainotebooks-container/CONTAINER_REPOSITORY:TAG

Exemple :

ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48
Produits applicables
  • Service de règles d'administration
  • Vertex AI Workbench
Chemin d'accès constraints/ainotebooks.environmentOptions
Opérateur Is
Type Liste
Contrôles NIST-800-53 associés
  • AC-3
  • AC-17
  • AC-20
Commandes associées du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Appliquer les mises à jour automatiques planifiées sur les notebooks et instances Vertex AI Workbench gérés par l'utilisateur

ID de contrôle Google VAI-CO-4.6
Implémentation Obligatoire
Description

La contrainte booléenne ainotebooks.requireAutoUpgradeSchedule vous empêche de créer des notebooks et des instances Vertex AI Workbench gérés par l'utilisateur sans calendrier de mises à niveau automatiques.

Pour définir une planification cron pour les mises à niveau automatiques, utilisez le flag de métadonnées notebook-upgrade-schedule. Exemple :

--metadata=notebook-upgrade-schedule="00 19 * * MON"
Produits applicables
  • Service de règles d'administration
  • Vertex AI Workbench
Chemin d'accès constraints/ainotebooks.requireAutoUpgradeSchedule
Opérateur Is
Valeur
  • True
Type Booléen
Contrôles NIST-800-53 associés
  • MA-2
  • MA-3
Commandes associées du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Limiter l'accès public sur les nouveaux notebooks et instances Vertex AI Workbench

ID de contrôle Google VAI-CO-4.7
Implémentation Obligatoire
Description

Cette contrainte booléenne limite l'accès depuis des adresses IP publiques aux instances et notebooks Vertex AI Workbench. Par défaut, les adresses IP publiques peuvent accéder aux instances et notebooks Vertex AI Workbench.
Produits applicables
  • Service de règles d'administration
  • Vertex AI Workbench
Chemin d'accès constraints/ainotebooks.restrictPublicIp
Opérateur is
Valeur
  • True
Type Booléen
Contrôles NIST-800-53 associés
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Commandes associées du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Restreindre les réseaux VPC sur les instances Vertex AI Workbench

ID de contrôle Google VAI-CO-4.8
Implémentation Obligatoire
Description

La contrainte de liste ainotebooks.restrictVpcNetworks définit les réseaux VPC qu'un utilisateur peut sélectionner lorsqu'il crée des instances Vertex AI Workbench. Par défaut, une instance Vertex AI Workbench peut être créée dans n'importe quel réseau VPC.

Utilisez l'un des formats suivants pour définir une liste de réseaux autorisés ou refusés :

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/networks/NETWORK_NAME
Produits applicables
  • Service de règles d'administration
  • Vertex AI Workbench
Chemin d'accès constraints/ainotebooks.restrictVpcNetworks
Opérateur is
Type Liste
Contrôles NIST-800-53 associés
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Commandes associées du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Étapes suivantes