Controlos do Vertex AI para exemplos de utilização da IA generativa

A Vertex AI permite-lhe criar e usar IA generativa, incluindo soluções de IA, pesquisa e conversa, numa única plataforma. Este documento inclui as práticas recomendadas e as diretrizes para a Vertex AI quando executa cargas de trabalho de IA generativa no Google Cloud.

Controlos do Vertex AI obrigatórios

Os seguintes controlos são fortemente recomendados para o seu ambiente do Vertex AI.

Defina o modo de acesso para instâncias e notebooks do Vertex AI Workbench

ID de controlo da Google VAI-CO-4.1
Categoria Obrigatória
Descrição

Esta restrição de lista define os modos de acesso permitidos para instâncias e blocos de notas do Vertex AI Workbench. A lista de permissões ou recusas pode especificar vários utilizadores através do modo service-account ou o acesso de um único utilizador através do modo single-user.
Produtos aplicáveis
  • Vertex AI Workbench
  • Serviço de políticas da organização
Caminho constraints/ainotebooks.accessMode
Operador Is
Valor
  • service-account
  • single-user
Controlos NIST-800-53 relacionados
  • AC-3
  • AC-17
  • AC-20
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Desative as transferências de ficheiros em instâncias do Vertex AI Workbench

ID de controlo da Google VAI-CO-4.2
Categoria Obrigatória
Descrição

A restrição booleana ainotebooks.disableFileDownloads impede a criação de instâncias do Vertex AI Workbench com a opção de transferência de ficheiros ativada. Por predefinição, pode ativar a opção de transferência de ficheiros em qualquer instância do Vertex AI Workbench.
Produtos aplicáveis
  • Serviço de políticas da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.disableFileDownloads
Operador Is
Valor
  • True
Tipo Booleano
Controlos NIST-800-53 relacionados
  • AC-3
  • AC-17
  • AC-20
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Desative o acesso raiz em instâncias e blocos de notas geridos pelo utilizador do Vertex AI Workbench

ID de controlo da Google VAI-CO-4.3
Categoria Obrigatória
Descrição

A restrição booleana ainotebooks.disableRootAccess impede a criação de instâncias e blocos de notas geridos pelo utilizador do Vertex AI Workbench com acesso de raiz ativado. Por predefinição, os blocos de notas e as instâncias geridos pelo utilizador do Vertex AI Workbench podem ter o acesso de raiz ativado.
Produtos aplicáveis
  • Serviço de políticas da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.disableRootAccess
Operador Is
Valor
  • True
Tipo Booleano
Controlos NIST-800-53 relacionados
  • AC-3
  • AC-17
  • AC-20
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Desative o terminal em instâncias do Vertex AI Workbench

ID de controlo da Google VAI-CO-4.4
Categoria Obrigatória
Descrição

A restrição booleana ainotebooks.disableTerminal impede a criação de instâncias do Vertex AI Workbench com o terminal ativado. Por predefinição, pode ativar o terminal nas instâncias do Vertex AI Workbench.
Produtos aplicáveis
  • Serviço de políticas da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.disableTerminal
Operador Is
Valor
  • True
Tipo Booleano
Controlos NIST-800-53 relacionados
  • AC-3
  • AC-17
  • AC-20
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Restrinja as opções de ambiente nos blocos de notas e nas instâncias do Vertex AI Workbench

ID de controlo da Google VAI-CO-4.5
Categoria Obrigatória
Descrição

A restrição de lista ainotebooks.environmentOptions define as opções de imagem de contentor e VM que pode selecionar quando cria instâncias e blocos de notas do Vertex AI Workbench. Tem de especificar explicitamente as opções que quer permitir ou recusar.

O formato esperado para instâncias de VM é: ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Substitua IMAGE_TYPE por image-family ou image-name

Por exemplo:

ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615

O formato esperado para imagens de contentores é: ainotebooks-container/CONTAINER_REPOSITORY:TAG

Por exemplo:

ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48
Produtos aplicáveis
  • Serviço de políticas da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.environmentOptions
Operador Is
Tipo Lista
Controlos NIST-800-53 relacionados
  • AC-3
  • AC-17
  • AC-20
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Aplique atualizações automáticas agendadas em instâncias e blocos de notas geridos pelo utilizador do Vertex AI Workbench

ID de controlo da Google VAI-CO-4.6
Categoria Obrigatória
Descrição

A restrição booleana ainotebooks.requireAutoUpgradeSchedule impede a criação de instâncias e notebooks geridos pelo utilizador do Vertex AI Workbench sem um agendamento de atualização automática.

Para definir uma programação cron para as atualizações automáticas, use a flag de metadados notebook-upgrade-schedule. Por exemplo:

--metadata=notebook-upgrade-schedule="00 19 * * MON"
Produtos aplicáveis
  • Serviço de políticas da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.requireAutoUpgradeSchedule
Operador Is
Valor
  • True
Tipo Booleano
Controlos NIST-800-53 relacionados
  • MA-2
  • MA-3
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Restrinja o acesso público em novas instâncias e blocos de notas do Vertex AI Workbench

ID de controlo da Google VAI-CO-4.7
Categoria Obrigatória
Descrição

Esta restrição booleana restringe o acesso de endereços IP públicos a blocos de notas e instâncias do Vertex AI Workbench. Por predefinição, os endereços IP públicos podem aceder a instâncias e notebooks do Vertex AI Workbench.
Produtos aplicáveis
  • Serviço de políticas da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.restrictPublicIp
Operador is
Valor
  • True
Tipo Booleano
Controlos NIST-800-53 relacionados
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Restrinja as redes da VPC em instâncias do Vertex AI Workbench

ID de controlo da Google VAI-CO-4.8
Categoria Obrigatória
Descrição

A restrição de lista ainotebooks.restrictVpcNetworks define as redes de VPC que um utilizador pode selecionar ao criar instâncias do Vertex AI Workbench. Por predefinição, é possível criar uma instância do Vertex AI Workbench em qualquer rede de VPC.

Use um dos seguintes formatos para definir uma lista de redes permitidas ou recusadas:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/networks/NETWORK_NAME
Produtos aplicáveis
  • Serviço de políticas da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.restrictVpcNetworks
Operador is
Tipo Lista
Controlos NIST-800-53 relacionados
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controlos do perfil de CRI relacionados
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

O que se segue?