Kontrol Vertex AI untuk kasus penggunaan AI generatif

Vertex AI memungkinkan Anda membangun dan menggunakan AI generatif, termasuk solusi AI, penelusuran, dan percakapan, di satu platform. Dokumen ini mencakup praktik terbaik dan panduan untuk Vertex AI saat menjalankan beban kerja AI generatif di Google Cloud.

Kontrol Vertex AI yang diperlukan

Kontrol berikut sangat direkomendasikan untuk lingkungan Vertex AI Anda.

Menentukan mode akses untuk notebook dan instance Vertex AI Workbench

ID kontrol Google VAI-CO-4.1
Kategori Wajib
Deskripsi

Batasan daftar ini menentukan mode akses yang diizinkan untuk notebook dan instance Vertex AI Workbench. Daftar izinkan atau tolak dapat menentukan beberapa pengguna menggunakan mode service-account atau akses pengguna tunggal menggunakan mode single-user.
Produk yang berlaku
  • Vertex AI Workbench
  • Organization Policy Service
Jalur constraints/ainotebooks.accessMode
Operator Is
Nilai
  • service-account
  • single-user
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Menonaktifkan download file di instance Vertex AI Workbench

ID kontrol Google VAI-CO-4.2
Kategori Wajib
Deskripsi

Batasan boolean ainotebooks.disableFileDownloads mencegah Anda membuat instance Vertex AI Workbench dengan opsi download file diaktifkan. Secara default, Anda dapat mengaktifkan opsi download file di instance Vertex AI Workbench mana pun.
Produk yang berlaku
  • Organization Policy Service
  • Vertex AI Workbench
Jalur constraints/ainotebooks.disableFileDownloads
Operator Is
Nilai
  • True
Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Menonaktifkan akses root di notebook dan instance Vertex AI Workbench yang dikelola pengguna

ID kontrol Google VAI-CO-4.3
Kategori Wajib
Deskripsi

Batasan boolean ainotebooks.disableRootAccess mencegah Anda membuat instance dan notebook yang dikelola pengguna Vertex AI Workbench dengan akses root diaktifkan. Secara default, notebook dan instance yang dikelola pengguna Vertex AI Workbench dapat mengaktifkan akses root.
Produk yang berlaku
  • Organization Policy Service
  • Vertex AI Workbench
Jalur constraints/ainotebooks.disableRootAccess
Operator Is
Nilai
  • True
Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Menonaktifkan terminal pada instance Vertex AI Workbench

ID kontrol Google VAI-CO-4.4
Kategori Wajib
Deskripsi

Batasan boolean ainotebooks.disableTerminal mencegah Anda membuat instance Vertex AI Workbench dengan terminal yang diaktifkan. Secara default, Anda dapat mengaktifkan terminal di instance Vertex AI Workbench.
Produk yang berlaku
  • Organization Policy Service
  • Vertex AI Workbench
Jalur constraints/ainotebooks.disableTerminal
Operator Is
Nilai
  • True
Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Membatasi opsi lingkungan di notebook dan instance Vertex AI Workbench

ID kontrol Google VAI-CO-4.5
Kategori Wajib
Deskripsi

Batasan daftar ainotebooks.environmentOptions menentukan opsi VM dan image container yang dapat Anda pilih saat membuat notebook dan instance Vertex AI Workbench. Anda harus menentukan secara eksplisit opsi yang ingin Anda izinkan atau tolak.

Format yang diharapkan untuk instance VM adalah: ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Ganti IMAGE_TYPE dengan image-family atau image-name

Contoh:

ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615

Format yang diharapkan untuk image container adalah: ainotebooks-container/CONTAINER_REPOSITORY:TAG

Contoh:

ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48
Produk yang berlaku
  • Organization Policy Service
  • Vertex AI Workbench
Jalur constraints/ainotebooks.environmentOptions
Operator Is
Jenis Daftar
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Menerapkan upgrade terjadwal otomatis pada notebook dan instance Vertex AI Workbench yang dikelola pengguna

ID kontrol Google VAI-CO-4.6
Kategori Wajib
Deskripsi

Batasan boolean ainotebooks.requireAutoUpgradeSchedule mencegah Anda membuat instance dan notebook yang dikelola pengguna Vertex AI Workbench tanpa jadwal upgrade otomatis.

Untuk menentukan jadwal cron untuk upgrade otomatis, gunakan tanda metadata notebook-upgrade-schedule. Contoh:

--metadata=notebook-upgrade-schedule="00 19 * * MON"
Produk yang berlaku
  • Organization Policy Service
  • Vertex AI Workbench
Jalur constraints/ainotebooks.requireAutoUpgradeSchedule
Operator Is
Nilai
  • True
Jenis Boolean
Kontrol NIST-800-53 terkait
  • MA-2
  • MA-3
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Membatasi akses publik pada notebook dan instance Vertex AI Workbench baru

ID kontrol Google VAI-CO-4.7
Kategori Wajib
Deskripsi

Batasan boolean ini membatasi akses dari alamat IP publik ke notebook dan instance Vertex AI Workbench. Secara default, alamat IP publik dapat mengakses notebook dan instance Vertex AI Workbench.
Produk yang berlaku
  • Organization Policy Service
  • Vertex AI Workbench
Jalur constraints/ainotebooks.restrictPublicIp
Operator is
Nilai
  • True
Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Membatasi jaringan VPC pada instance Vertex AI Workbench

ID kontrol Google VAI-CO-4.8
Kategori Wajib
Deskripsi

Batasan daftar ainotebooks.restrictVpcNetworks menentukan jaringan VPC yang dapat dipilih pengguna saat membuat instance Vertex AI Workbench. Secara default, instance Vertex AI Workbench dapat dibuat di jaringan VPC mana pun.

Gunakan salah satu format berikut untuk menentukan daftar jaringan yang diizinkan atau ditolak:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/networks/NETWORK_NAME
Produk yang berlaku
  • Organization Policy Service
  • Vertex AI Workbench
Jalur constraints/ainotebooks.restrictVpcNetworks
Operator is
Jenis Daftar
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Langkah berikutnya