Controlli di Vertex AI per i casi d'uso dell'AI generativa

Vertex AI ti consente di creare e utilizzare l'AI generativa, incluse soluzioni AI, ricerca e conversazione, su un'unica piattaforma. Questo documento include le best practice e le linee guida per Vertex AI durante l'esecuzione di carichi di lavoro di AI generativa su Google Cloud.

Controlli Vertex AI obbligatori

I seguenti controlli sono vivamente consigliati per il tuo ambiente Vertex AI.

Definisci la modalità di accesso per notebook e istanze Vertex AI Workbench

ID controllo Google VAI-CO-4.1
Categoria Obbligatorio
Descrizione

Questo vincolo dell'elenco definisce le modalità di accesso consentite per istanze e notebook di Vertex AI Workbench. La lista consentita o bloccata può specificare più utenti utilizzando la modalità service-account o l'accesso di un singolo utente utilizzando la modalità single-user.
Prodotti applicabili
  • Vertex AI Workbench
  • Servizio Policy dell'organizzazione
Percorso constraints/ainotebooks.accessMode
Operatore Is
Valore
  • service-account
  • single-user
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Disabilita i download dei file sulle istanze Vertex AI Workbench

ID controllo Google VAI-CO-4.2
Categoria Obbligatorio
Descrizione

Il vincolo booleano ainotebooks.disableFileDownloads impedisce di creare istanze di Vertex AI Workbench con l'opzione Download file abilitata. Per impostazione predefinita, puoi attivare l'opzione Download file su qualsiasi istanza di Vertex AI Workbench.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Vertex AI Workbench
Percorso constraints/ainotebooks.disableFileDownloads
Operatore Is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Disabilita l'accesso root alle istanze e ai notebook gestiti dall'utente di Vertex AI Workbench

ID controllo Google VAI-CO-4.3
Categoria Obbligatorio
Descrizione

Il vincolo booleano ainotebooks.disableRootAccess impedisce di creare istanze e notebook gestiti dall'utente di Vertex AI Workbench con l'accesso root abilitato. Per impostazione predefinita, le istanze e i blocchi note gestiti dall'utente di Vertex AI Workbench possono avere l'accesso root abilitato.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Vertex AI Workbench
Percorso constraints/ainotebooks.disableRootAccess
Operatore Is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Disattiva il terminale sulle istanze di Vertex AI Workbench

ID controllo Google VAI-CO-4.4
Categoria Obbligatorio
Descrizione

Il vincolo booleano ainotebooks.disableTerminal impedisce di creare istanze di Vertex AI Workbench con il terminale abilitato. Per impostazione predefinita, puoi abilitare il terminale sulle istanze di Vertex AI Workbench.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Vertex AI Workbench
Percorso constraints/ainotebooks.disableTerminal
Operatore Is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Limita le opzioni di ambiente nelle istanze e nei notebook di Vertex AI Workbench

ID controllo Google VAI-CO-4.5
Categoria Obbligatorio
Descrizione

Il vincolo dell'elenco ainotebooks.environmentOptions definisce le opzioni per le immagini VM e container che puoi selezionare quando crei notebook e istanze di Vertex AI Workbench. Devi specificare in modo esplicito le opzioni che vuoi consentire o negare.

Il formato previsto per le istanze VM è: ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Sostituisci IMAGE_TYPE con image-family o image-name

Ad esempio:

ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615

Il formato previsto per le immagini container è: ainotebooks-container/CONTAINER_REPOSITORY:TAG

Ad esempio:

ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Vertex AI Workbench
Percorso constraints/ainotebooks.environmentOptions
Operatore Is
Tipo Elenco
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Applica gli upgrade automatici pianificati alle istanze e ai notebook gestiti dall'utente di Vertex AI Workbench

ID controllo Google VAI-CO-4.6
Categoria Obbligatorio
Descrizione

Il vincolo booleano ainotebooks.requireAutoUpgradeSchedule impedisce la creazione di istanze e notebook gestiti dall'utente di Vertex AI Workbench senza una pianificazione automatica degli upgrade.

Per definire una pianificazione cron per gli upgrade automatici, utilizza il flag di metadati notebook-upgrade-schedule. Ad esempio:

--metadata=notebook-upgrade-schedule="00 19 * * MON"
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Vertex AI Workbench
Percorso constraints/ainotebooks.requireAutoUpgradeSchedule
Operatore Is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • MA-2
  • MA-3
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Limita l'accesso pubblico sui nuovi notebook e istanze di Vertex AI Workbench

ID controllo Google VAI-CO-4.7
Categoria Obbligatorio
Descrizione

Questo vincolo booleano limita l'accesso da indirizzi IP pubblici a istanze e notebook di Vertex AI Workbench. Per impostazione predefinita, gli indirizzi IP pubblici possono accedere alle istanze e ai blocchi note di Vertex AI Workbench.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Vertex AI Workbench
Percorso constraints/ainotebooks.restrictPublicIp
Operatore is
Valore
  • True
Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Limita le reti VPC sulle istanze di Vertex AI Workbench

ID controllo Google VAI-CO-4.8
Categoria Obbligatorio
Descrizione

Il vincolo dell'elenco ainotebooks.restrictVpcNetworks definisce le reti VPC che un utente può selezionare quando crea istanze Vertex AI Workbench. Per impostazione predefinita, un'istanza Vertex AI Workbench può essere creata in qualsiasi rete VPC.

Utilizza uno dei seguenti formati per definire un elenco di reti consentite o bloccate:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/networks/NETWORK_NAME
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Vertex AI Workbench
Percorso constraints/ainotebooks.restrictVpcNetworks
Operatore is
Tipo Elenco
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Passaggi successivi