Cette page a été traduite par l'API Cloud Translation.

Contrôles Vertex AI pour les cas d'utilisation de l'IA générative

Vertex AI vous permet de créer et d'utiliser l'IA générative, y compris des solutions d'IA, la recherche et la conversation, sur une seule plate-forme. Ce document inclut les bonnes pratiques et les consignes pour Vertex AI lors de l'exécution de charges de travail d'IA générative sur Google Cloud.

Contrôles Vertex AI requis

Les contrôles suivants sont fortement recommandés pour votre environnement Vertex AI.

Définir le mode d'accès pour les notebooks et instances Vertex AI Workbench

ID de contrôle Google	VAI-CO-4.1
Catégorie	Obligatoire
Description	Cette contrainte de liste définit les modes d'accès autorisés pour les notebooks et instances Vertex AI Workbench. La liste d'autorisation ou de refus peut spécifier plusieurs utilisateurs avec le mode `service-account` ou un accès utilisateur individuel avec le mode `single-user`.
Produits applicables	Vertex AI Workbench Service de règles d'administration
Chemin d'accès	`constraints/ainotebooks.accessMode`
Opérateur	`Is`
Valeur	`service-account` `single-user`
Contrôles NIST-800-53 associés	AC-3 AC-17 AC-20
Contrôles associés du profil CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Désactiver les téléchargements de fichiers sur les instances Vertex AI Workbench

ID de contrôle Google	VAI-CO-4.2
Catégorie	Obligatoire
Description	La contrainte booléenne `ainotebooks.disableFileDownloads` vous empêche de créer des instances Vertex AI Workbench avec l'option de téléchargement de fichiers activée. Par défaut, vous pouvez activer l'option de téléchargement de fichiers sur n'importe quelle instance Vertex AI Workbench.
Produits applicables	Service de règles d'administration Vertex AI Workbench
Chemin d'accès	`constraints/ainotebooks.disableFileDownloads`
Opérateur	`Is`
Valeur	`True`
Type	Booléen
Contrôles NIST-800-53 associés	AC-3 AC-17 AC-20
Contrôles associés du profil CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Désactiver l'accès root sur les notebooks et instances Vertex AI Workbench gérés par l'utilisateur

ID de contrôle Google	VAI-CO-4.3
Catégorie	Obligatoire
Description	La contrainte booléenne `ainotebooks.disableRootAccess` vous empêche de créer des notebooks et des instances Vertex AI Workbench gérés par l'utilisateur avec l'accès root activé. L'accès root peut être activé par défaut sur les notebooks et instances Vertex AI Workbench gérés par l'utilisateur.
Produits applicables	Service de règles d'administration Vertex AI Workbench
Chemin d'accès	`constraints/ainotebooks.disableRootAccess`
Opérateur	`Is`
Valeur	`True`
Type	Booléen
Contrôles NIST-800-53 associés	AC-3 AC-17 AC-20
Contrôles associés du profil CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Désactiver le terminal sur les instances Vertex AI Workbench

ID de contrôle Google	VAI-CO-4.4
Catégorie	Obligatoire
Description	La contrainte booléenne `ainotebooks.disableTerminal` vous empêche de créer des instances Vertex AI Workbench avec le terminal activé. Par défaut, vous pouvez activer le terminal sur les instances Vertex AI Workbench.
Produits applicables	Service de règles d'administration Vertex AI Workbench
Chemin d'accès	`constraints/ainotebooks.disableTerminal`
Opérateur	`Is`
Valeur	`True`
Type	Booléen
Contrôles NIST-800-53 associés	AC-3 AC-17 AC-20
Contrôles associés du profil CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Limiter les options d'environnement sur les notebooks et instances Vertex AI Workbench

ID de contrôle Google	VAI-CO-4.5
Catégorie	Obligatoire
Description	La contrainte de liste `ainotebooks.environmentOptions` définit les options d'image de conteneur et de VM que vous pouvez sélectionner lorsque vous créez des notebooks et des instances Vertex AI Workbench. Vous devez spécifier explicitement les options que vous souhaitez autoriser ou refuser. Le format attendu pour les instances de VM est le suivant : `ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE`. Remplacez `IMAGE_TYPE` par `image-family` ou `image-name`. Exemple : `ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615` Le format attendu pour les images de conteneurs est le suivant : `ainotebooks-container/CONTAINER_REPOSITORY:TAG` Exemple : `ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48`
Produits applicables	Service de règles d'administration Vertex AI Workbench
Chemin d'accès	`constraints/ainotebooks.environmentOptions`
Opérateur	`Is`
Type	Liste
Contrôles NIST-800-53 associés	AC-3 AC-17 AC-20
Contrôles associés du profil CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Appliquer les mises à jour automatiques planifiées sur les notebooks et instances Vertex AI Workbench gérés par l'utilisateur

ID de contrôle Google	VAI-CO-4.6
Catégorie	Obligatoire
Description	La contrainte booléenne `ainotebooks.requireAutoUpgradeSchedule` vous empêche de créer des notebooks et des instances Vertex AI Workbench gérés par l'utilisateur sans calendrier de mises à niveau automatiques. Pour définir une planification cron pour les mises à niveau automatiques, utilisez le flag de métadonnées `notebook-upgrade-schedule`. Exemple : --`metadata=notebook-upgrade-schedule="00 19 * * MON"`
Produits applicables	Service de règles d'administration Vertex AI Workbench
Chemin d'accès	`constraints/ainotebooks.requireAutoUpgradeSchedule`
Opérateur	`Is`
Valeur	`True`
Type	Booléen
Contrôles NIST-800-53 associés	MA-2 MA-3
Contrôles associés du profil CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Limiter l'accès public sur les nouveaux notebooks et instances Vertex AI Workbench

ID de contrôle Google	VAI-CO-4.7
Catégorie	Obligatoire
Description	Cette contrainte booléenne limite l'accès depuis des adresses IP publiques aux instances et notebooks Vertex AI Workbench. Par défaut, les adresses IP publiques peuvent accéder aux instances et notebooks Vertex AI Workbench.
Produits applicables	Service de règles d'administration Vertex AI Workbench
Chemin d'accès	`constraints/ainotebooks.restrictPublicIp`
Opérateur	`is`
Valeur	`True`
Type	Booléen
Contrôles NIST-800-53 associés	AC-3 AC-17 AC-20 SC-7 SC-8
Contrôles associés du profil CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-3.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4

Restreindre les réseaux VPC sur les instances Vertex AI Workbench

ID de contrôle Google	VAI-CO-4.8
Catégorie	Obligatoire
Description	La contrainte de liste `ainotebooks.restrictVpcNetworks` définit les réseaux VPC qu'un utilisateur peut sélectionner lorsqu'il crée des instances Vertex AI Workbench. Par défaut, une instance Vertex AI Workbench peut être créée dans n'importe quel réseau VPC. Utilisez l'un des formats suivants pour définir une liste de réseaux autorisés ou refusés : `under:organizations/ORGANIZATION_ID` `under:folders/FOLDER_ID` `under:projects/PROJECT_ID` `projects/PROJECT_ID/global/networks/NETWORK_NAME`
Produits applicables	Service de règles d'administration Vertex AI Workbench
Chemin d'accès	`constraints/ainotebooks.restrictVpcNetworks`
Opérateur	`is`
Type	Liste
Contrôles NIST-800-53 associés	AC-3 AC-17 AC-20 SC-7 SC-8
Contrôles associés du profil CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-5.1 PR.AC-5.2 PR.AC-6.1 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-3.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4

Étapes suivantes

Consultez les commandes Artifact Registry.
Consultez les Google Cloud bonnes pratiques et consignes de sécurité pour les charges de travail d'IA générative.

Contrôles Vertex AI pour les cas d'utilisation de l'IA générative Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.