Controles da Vertex AI para casos de uso de IA generativa

Com a Vertex AI, você pode criar e usar IA generativa, incluindo soluções de IA, pesquisa e conversa, em uma única plataforma. Este documento inclui as práticas recomendadas e as diretrizes da Vertex AI ao executar cargas de trabalho de IA generativa no Google Cloud.

Controles obrigatórios da Vertex AI

Os controles a seguir são altamente recomendados para seu ambiente da Vertex AI.

Definir o modo de acesso para notebooks e instâncias do Vertex AI Workbench

ID de controle do Google VAI-CO-4.1
Categoria Obrigatório
Descrição

Essa restrição de lista define os modos de acesso permitidos para notebooks e instâncias do Vertex AI Workbench. A lista de permissões ou bloqueios pode especificar vários usuários usando o modo service-account ou o acesso de usuário único usando o modo single-user.
Produtos aplicáveis
  • Vertex AI Workbench
  • Serviço de política da organização
Caminho constraints/ainotebooks.accessMode
Operador Is
Valor
  • service-account
  • single-user
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Desativar downloads de arquivos em instâncias do Vertex AI Workbench

ID de controle do Google VAI-CO-4.2
Categoria Obrigatório
Descrição

A restrição booleana ainotebooks.disableFileDownloads impede a criação de instâncias do Vertex AI Workbench com a opção de download de arquivo ativada. Por padrão, é possível ativar a opção de download de arquivos em qualquer instância do Vertex AI Workbench.
Produtos aplicáveis
  • Serviço de política da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.disableFileDownloads
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Desativa o acesso raiz nas instâncias e notebooks do Vertex AI Workbench gerenciados pelos usuários.

ID de controle do Google VAI-CO-4.3
Categoria Obrigatório
Descrição

A restrição booleana ainotebooks.disableRootAccess impede a criação de instâncias e notebooks gerenciados pelo usuário do Vertex AI Workbench com o acesso raiz ativado. Por padrão, as instâncias e os notebooks do Vertex AI Workbench gerenciados pelos usuários podem ter o acesso raiz ativado.
Produtos aplicáveis
  • Serviço de política da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.disableRootAccess
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Desativar o terminal em instâncias do Vertex AI Workbench

ID de controle do Google VAI-CO-4.4
Categoria Obrigatório
Descrição

A restrição booleana ainotebooks.disableTerminal impede a criação de instâncias do Vertex AI Workbench com o terminal ativado. Por padrão, é possível ativar o terminal nas instâncias do Vertex AI Workbench.
Produtos aplicáveis
  • Serviço de política da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.disableTerminal
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Restringir opções de ambiente em notebooks e instâncias do Vertex AI Workbench

ID de controle do Google VAI-CO-4.5
Categoria Obrigatório
Descrição

A restrição de lista ainotebooks.environmentOptions define as opções de imagens de contêineres e VMs que você pode selecionar ao criar notebooks e instâncias do Vertex AI Workbench. É necessário especificar explicitamente as opções que você quer permitir ou negar.

O formato esperado para instâncias de VM é: ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Substitua IMAGE_TYPE por image-family ou image-name

Exemplo:

ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615

O formato esperado para imagens de contêiner é: ainotebooks-container/CONTAINER_REPOSITORY:TAG

Exemplo:

ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48
Produtos aplicáveis
  • Serviço de política da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.environmentOptions
Operador Is
Tipo Lista
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Aplicar atualizações programadas automáticas em notebooks e instâncias gerenciados pelo usuário do Vertex AI Workbench

ID de controle do Google VAI-CO-4.6
Categoria Obrigatório
Descrição

A restrição booleana ainotebooks.requireAutoUpgradeSchedule impede que você crie instâncias e notebooks gerenciados pelo usuário do Vertex AI Workbench sem uma programação de atualização automática.

Para definir uma programação cron para as atualizações automáticas, use a flag de metadados notebook-upgrade-schedule. Exemplo:

--metadata=notebook-upgrade-schedule="00 19 * * MON"
Produtos aplicáveis
  • Serviço de política da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.requireAutoUpgradeSchedule
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • MA-2
  • MA-3
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Restringir o acesso público em novas instâncias e notebooks do Vertex AI Workbench

ID de controle do Google VAI-CO-4.7
Categoria Obrigatório
Descrição

Essa restrição booleana restringe o acesso de endereços IP públicos a notebooks e instâncias do Vertex AI Workbench. Por padrão, os endereços IP públicos podem acessar notebooks e instâncias do Vertex AI Workbench.
Produtos aplicáveis
  • Serviço de política da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.restrictPublicIp
Operador is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Restringir redes VPC em instâncias do Vertex AI Workbench

ID de controle do Google VAI-CO-4.8
Categoria Obrigatório
Descrição

A restrição de lista ainotebooks.restrictVpcNetworks define as redes VPC que um usuário pode selecionar ao criar instâncias do Vertex AI Workbench. Por padrão, uma instância do Vertex AI Workbench pode ser criada em qualquer rede VPC.

Use um dos seguintes formatos para definir uma lista de redes permitidas ou negadas:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/networks/NETWORK_NAME
Produtos aplicáveis
  • Serviço de política da organização
  • Vertex AI Workbench
Caminho constraints/ainotebooks.restrictVpcNetworks
Operador is
Tipo Lista
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

A seguir