생성형 AI 사용 사례를 위한 Vertex AI 컨트롤

Vertex AI를 사용하면 단일 플랫폼에서 AI 솔루션, 검색, 대화 등 생성형 AI를 빌드하고 사용할 수 있습니다. 이 문서에는 Google Cloud에서 생성형 AI 워크로드를 실행할 때 Vertex AI에 관한 권장사항과 가이드라인이 포함되어 있습니다.

필수 Vertex AI 컨트롤

Vertex AI 환경에는 다음 제어를 적극 권장합니다.

Vertex AI Workbench 노트북 및 인스턴스의 액세스 모드 정의

Google 제어 ID VAI-CO-4.1
카테고리 필수
설명

이 목록 제약 조건은 Vertex AI Workbench 노트북 및 인스턴스에 허용되는 액세스 모드를 정의합니다. 허용 또는 거부 목록은 service-account 모드를 사용하여 여러 사용자를 지정하거나 single-user 모드를 사용하여 단일 사용자 액세스를 지정할 수 있습니다.
적용 가능한 제품
  • Vertex AI Workbench
  • 조직 정책 서비스
경로 constraints/ainotebooks.accessMode
연산자 Is
  • service-account
  • single-user
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Vertex AI Workbench 인스턴스에서 파일 다운로드 사용 중지

Google 제어 ID VAI-CO-4.2
카테고리 필수
설명

ainotebooks.disableFileDownloads 불리언 제약 조건은 파일 다운로드 옵션이 사용 설정된 Vertex AI Workbench 인스턴스를 만들 수 없도록 합니다. 기본적으로 모든 Vertex AI Workbench 인스턴스에서 파일 다운로드 옵션을 사용 설정할 수 있습니다.
적용 가능한 제품
  • 조직 정책 서비스
  • Vertex AI Workbench
경로 constraints/ainotebooks.disableFileDownloads
연산자 Is
  • True
유형 불리언
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Vertex AI Workbench 사용자 관리형 노트북 및 인스턴스에서 루트 액세스 사용 중지

Google 제어 ID VAI-CO-4.3
카테고리 필수
설명

ainotebooks.disableRootAccess 불리언 제약조건을 사용하면 루트 액세스가 사용 설정된 Vertex AI Workbench 사용자 관리 노트북 및 인스턴스를 만들 수 없습니다. 기본적으로 Vertex AI Workbench 사용자 관리형 노트북 및 인스턴스는 루트 액세스를 사용 설정할 수 있습니다.
적용 가능한 제품
  • 조직 정책 서비스
  • Vertex AI Workbench
경로 constraints/ainotebooks.disableRootAccess
연산자 Is
  • True
유형 불리언
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Vertex AI Workbench 인스턴스에서 터미널 사용 중지

Google 제어 ID VAI-CO-4.4
카테고리 필수
설명

ainotebooks.disableTerminal 불리언 제약조건은 터미널이 사용 설정된 Vertex AI Workbench 인스턴스를 만들 수 없도록 방지합니다. 기본적으로 Vertex AI Workbench 인스턴스에서 터미널을 사용 설정할 수 있습니다.
적용 가능한 제품
  • 조직 정책 서비스
  • Vertex AI Workbench
경로 constraints/ainotebooks.disableTerminal
연산자 Is
  • True
유형 불리언
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Vertex AI Workbench 노트북 및 인스턴스에서 환경 옵션 제한

Google 제어 ID VAI-CO-4.5
카테고리 필수
설명

ainotebooks.environmentOptions 목록 제약 조건은 Vertex AI Workbench 노트북과 인스턴스를 만들 때 선택할 수 있는 VM 및 컨테이너 이미지 옵션을 정의합니다. 허용하거나 거부할 옵션을 명시적으로 지정해야 합니다.

VM 인스턴스의 예상 형식은 ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE입니다. IMAGE_TYPEimage-family 또는 image-name로 바꿉니다.

예를 들면 다음과 같습니다.

ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615

컨테이너 이미지의 예상 형식은 ainotebooks-container/CONTAINER_REPOSITORY:TAG입니다.

예를 들면 다음과 같습니다.

ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48
적용 가능한 제품
  • 조직 정책 서비스
  • Vertex AI Workbench
경로 constraints/ainotebooks.environmentOptions
연산자 Is
유형 목록
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Vertex AI Workbench 사용자 관리형 노트북 및 인스턴스에 자동 예약 업그레이드 적용

Google 제어 ID VAI-CO-4.6
카테고리 필수
설명

ainotebooks.requireAutoUpgradeSchedule 불리언 제약 조건은 자동 업그레이드 일정을 설정하지 않은 상태로 Vertex AI Workbench 사용자 관리 노트북과 인스턴스를 만들 수 없도록 합니다.

자동 업그레이드의 크론 일정을 정의하려면 notebook-upgrade-schedule 메타데이터 플래그를 사용하세요. 예를 들면 다음과 같습니다.

--metadata=notebook-upgrade-schedule="00 19 * * MON"
적용 가능한 제품
  • 조직 정책 서비스
  • Vertex AI Workbench
경로 constraints/ainotebooks.requireAutoUpgradeSchedule
연산자 Is
  • True
유형 불리언
관련 NIST-800-53 컨트롤
  • MA-2
  • MA-3
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

새 Vertex AI Workbench 노트북 및 인스턴스에서 공개 액세스 제한

Google 제어 ID VAI-CO-4.7
카테고리 필수
설명

이 불리언 제약 조건은 공개 IP 주소에서 Vertex AI Workbench 노트북 및 인스턴스로의 액세스를 제한합니다. 기본적으로 공개 IP 주소는 Vertex AI Workbench 노트북 및 인스턴스에 액세스할 수 있습니다.
적용 가능한 제품
  • 조직 정책 서비스
  • Vertex AI Workbench
경로 constraints/ainotebooks.restrictPublicIp
연산자 is
  • True
유형 불리언
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Vertex AI Workbench 인스턴스에서 VPC 네트워크 제한

Google 제어 ID VAI-CO-4.8
카테고리 필수
설명

ainotebooks.restrictVpcNetworks 목록 제약 조건은 사용자가 Vertex AI Workbench 인스턴스를 만들 때 선택할 수 있는 VPC 네트워크를 정의합니다. 기본적으로 Vertex AI Workbench 인스턴스는 모든 VPC 네트워크에서 만들 수 있습니다.

다음 형식 중 하나를 사용하여 허용 또는 거부된 네트워크 목록을 정의합니다.

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/networks/NETWORK_NAME
적용 가능한 제품
  • 조직 정책 서비스
  • Vertex AI Workbench
경로 constraints/ainotebooks.restrictVpcNetworks
연산자 is
유형 목록
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

다음 단계