Vertex AI-Einstellungen für Anwendungsfälle mit generativer KI

Mit Vertex AI können Sie generative KI, einschließlich KI-Lösungen, Suche und Unterhaltung, auf einer einzigen Plattform erstellen und verwenden. Dieses Dokument enthält die Best Practices und Richtlinien für Vertex AI beim Ausführen von generativen KI-Arbeitslasten auf Google Cloud.

Erforderliche Vertex AI-Steuerelemente

Die folgenden Kontrollen werden für Ihre Vertex AI-Umgebung dringend empfohlen.

Zugriffsmodus für Vertex AI Workbench-Notebooks und ‑Instanzen definieren

Google-Einstellungs-ID VAI-CO-4.1
Kategorie Erforderlich
Beschreibung

Mit dieser Listeneinschränkung werden die zulässigen Zugriffsmodi für Notebooks und Instanzen in Vertex AI Workbench definiert. Über die Zulassungs‑ oder Sperrliste können mit dem service-account-Modus mehrere Nutzer oder mit dem single-user-Modus ein einzelner Nutzer angegeben werden.
Entsprechende Produkte
  • Vertex AI Workbench
  • Organisationsrichtliniendienst
Pfad constraints/ainotebooks.accessMode
Operator Is
Wert
  • service-account
  • single-user
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Dateidownloads auf Vertex AI Workbench-Instanzen deaktivieren

Google-Einstellungs-ID VAI-CO-4.2
Kategorie Erforderlich
Beschreibung

Die boolesche Einschränkung ainotebooks.disableFileDownloads verhindert, dass Sie Vertex AI Workbench-Instanzen mit aktivierter Option zum Herunterladen von Dateien erstellen. Standardmäßig können Sie die Option zum Herunterladen von Dateien in jeder beliebigen Vertex AI Workbench-Instanz aktivieren.
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Vertex AI Workbench
Pfad constraints/ainotebooks.disableFileDownloads
Operator Is
Wert
  • True
Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Root-Zugriff auf von Nutzern verwalteten Vertex AI Workbench-Notebooks und ‑Instanzen deaktivieren

Google-Einstellungs-ID VAI-CO-4.3
Kategorie Erforderlich
Beschreibung

Die boolesche Einschränkung ainotebooks.disableRootAccess verhindert, dass Sie von Nutzern verwaltete Vertex AI Workbench-Notebooks und ‑Instanzen mit aktiviertem Root-Zugriff erstellen. Standardmäßig kann der Root-Zugriff auf von Nutzern verwalteten Vertex AI Workbench-Notebooks und ‑Instanzen aktiviert sein.
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Vertex AI Workbench
Pfad constraints/ainotebooks.disableRootAccess
Operator Is
Wert
  • True
Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Terminal auf Vertex AI Workbench-Instanzen deaktivieren

Google-Einstellungs-ID VAI-CO-4.4
Kategorie Erforderlich
Beschreibung

Die boolesche Einschränkung ainotebooks.disableTerminal verhindert, dass Sie Vertex AI Workbench-Instanzen mit aktiviertem Terminal erstellen. Standardmäßig können Sie das Terminal in Vertex AI Workbench-Instanzen aktivieren.
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Vertex AI Workbench
Pfad constraints/ainotebooks.disableTerminal
Operator Is
Wert
  • True
Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Umgebungsoptionen auf Vertex AI Workbench-Notebooks und ‑Instanzen einschränken

Google-Einstellungs-ID VAI-CO-4.5
Kategorie Erforderlich
Beschreibung

Mit der Listeneinschränkung ainotebooks.environmentOptions werden die VM‑ und Container-Image-Optionen definiert, die Sie beim Erstellen von Vertex AI Workbench-Notebooks und ‑Instanzen auswählen können. Sie müssen die Optionen, die Sie zulassen oder ablehnen möchten, explizit angeben.

Das erwartete Format für VM-Instanzen ist ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Ersetzen Sie IMAGE_TYPE durch image-family oder image-name.

Beispiel:

ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615

Das erwartete Format für Container-Images ist: ainotebooks-container/CONTAINER_REPOSITORY:TAG

Beispiel:

ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Vertex AI Workbench
Pfad constraints/ainotebooks.environmentOptions
Operator Is
Typ Liste
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Automatische geplante Upgrades auf nutzerverwalteten Vertex AI Workbench-Notebooks und ‑Instanzen erzwingen

Google-Einstellungs-ID VAI-CO-4.6
Kategorie Erforderlich
Beschreibung

Die boolesche Einschränkung ainotebooks.requireAutoUpgradeSchedule verhindert, dass Sie nutzerverwaltete Vertex AI Workbench-Notebooks und ‑Instanzen ohne Zeitplan für automatische Upgrades erstellen.

Verwenden Sie das Metadaten-Flag notebook-upgrade-schedule, um einen Cron-Zeitplan für die automatischen Upgrades zu definieren. Beispiel:

--metadata=notebook-upgrade-schedule="00 19 * * MON"
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Vertex AI Workbench
Pfad constraints/ainotebooks.requireAutoUpgradeSchedule
Operator Is
Wert
  • True
Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • MA-2
  • MA-3
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Öffentlichen Zugriff auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einschränken

Google-Einstellungs-ID VAI-CO-4.7
Kategorie Erforderlich
Beschreibung

Diese boolesche Einschränkung schränkt den Zugriff auf Vertex AI Workbench-Notebooks und ‑Instanzen über öffentliche IP-Adressen ein. Standardmäßig kann über öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden.
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Vertex AI Workbench
Pfad constraints/ainotebooks.restrictPublicIp
Operator is
Wert
  • True
Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

VPC-Netzwerke auf Vertex AI Workbench-Instanzen einschränken

Google-Einstellungs-ID VAI-CO-4.8
Kategorie Erforderlich
Beschreibung

Mit der Listeneinschränkung ainotebooks.restrictVpcNetworks werden die VPC-Netzwerke definiert, die ein Nutzer beim Erstellen von Vertex AI Workbench-Instanzen auswählen kann. Standardmäßig kann eine Vertex AI Workbench-Instanz in jedem VPC-Netzwerk erstellt werden.

Verwenden Sie eines der folgenden Formate, um eine Liste zulässiger oder nicht zulässiger Netzwerke zu definieren:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/networks/NETWORK_NAME
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Vertex AI Workbench
Pfad constraints/ainotebooks.restrictVpcNetworks
Operator is
Typ Liste
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Nächste Schritte