En este documento, se describe cómo habilitar Model Armor para Gemini Enterprise. Model Armor es un Google Cloud servicio que mejora la seguridad de tus aplicaciones de IA, ya que examina de forma proactiva las instrucciones y respuestas que proporciona el asistente de Gemini Enterprise. Esto ayuda a proteger contra diversos riesgos y garantiza prácticas IA responsable. Model Armor es compatible con todas las ediciones de Gemini Enterprise sin costo adicional.
La respuesta de Model Armor a los posibles problemas en las búsquedas o respuestas de los usuarios del asistente de Gemini Enterprise se rige por el tipo de aplicación de la plantilla. Para obtener más información, consulta Cómo definir el tipo de aplicación.
Si el tipo de aplicación de la política es Inspeccionar y bloquear, Gemini Enterprise bloqueará la solicitud y mostrará un mensaje de error. Este es el tipo de aplicación predeterminado cuando creas una plantilla de Model Armor con la consola.
Si el tipo de aplicación es Solo inspección, Gemini Enterprise no bloquea las solicitudes ni las respuestas.
Cuando el servicio de detección de Model Armor no está disponible, puedes configurar Gemini Enterprise para que se comporte de una de las siguientes maneras:
| Modo | Descripción |
|---|---|
| Permitir interacciones del usuario | En este modo, Gemini Enterprise permite que las solicitudes y las respuestas pasen sin una revisión proactiva cuando el servicio de revisión de Model Armor no está disponible, lo que garantiza una comunicación continua con el usuario final. Sin embargo, en ocasiones, esto puede exponer mensajes no filtrados o proporcionar respuestas a consultas no filtradas. |
| Bloquear todas las interacciones del usuario | En este modo, cuando el servicio de detección de Model Armor no está disponible, Gemini Enterprise bloquea todas las solicitudes y respuestas, incluidas las legítimas. |
Antes de comenzar
Asegúrate de tener los roles necesarios asignados a ti y a la cuenta de servicio de Gemini Enterprise:
Para habilitar Model Armor en Gemini Enterprise, necesitas el rol de administrador de Discovery Engine (
roles/discoveryengine.admin).Para crear las plantillas de Model Armor, necesitas el rol de administrador de Model Armor (
roles/modelarmor.admin).Para llamar a las APIs de Model Armor, necesitas el rol de Usuario de Model Armor (
roles/modelarmor.user).
Asegúrate de haber creado una app de Gemini Enterprise. Para crear una, consulta Crea una app.
Crea una plantilla de Model Armor
Puedes crear y usar la misma plantilla de Model Armor para las instrucciones y las respuestas del asistente, o bien crear dos plantillas de Model Armor separadas. Para obtener más información, consulta Crea una plantilla de Model Armor.
Cuando crees una plantilla de Model Armor para las apps de Gemini Enterprise, ten en cuenta estas configuraciones:
Selecciona Multirregión en el campo Regiones. En la siguiente tabla, se muestra cómo asignar las regiones de la plantilla de Model Armor a las regiones de la app de Gemini Enterprise:
App de Gemini Enterprise multirregión Model Armor multirregional Global - EE.UU. (varias regiones en Estados Unidos)
- UE (varias regiones en la Unión Europea)
EE.UU. (varias regiones en Estados Unidos) EE.UU. (varias regiones en Estados Unidos) UE (varias regiones en la Unión Europea) UE (varias regiones en la Unión Europea) Google no recomienda configurar el registro en la nube en la plantilla de Model Armor para las apps de Gemini Enterprise. Esta configuración puede exponer datos sensibles a los usuarios con el rol de IAM de Visualizador de registros privados (
roles/logging.privateLogViewer). En su lugar, considera las siguientes opciones:Si necesitas registrar los datos que pasan por la plantilla de Model Armor, puedes redireccionar los registros a un almacenamiento seguro, como BigQuery, que ofrece controles de acceso más estrictos. Para obtener más información, consulta Enruta registros a destinos compatibles.
Puedes configurar los registros de auditoría de acceso a los datos para analizar y generar informes sobre los veredictos de detección de solicitudes y respuestas que genera Model Armor. Para obtener más información, consulta Configura registros de auditoría.
Configura la app de Gemini Enterprise con las plantillas de Model Armor
En los siguientes pasos, se describe cómo agregar las plantillas de Model Armor a tu app de Gemini Enterprise.
Console
En la consola de Google Cloud , ve a la página de Gemini Enterprise.
Haz clic en el nombre de la app que quieres configurar.
Haz clic en Configuraciones > Asistente.
Para activar Model Armor, haz clic en Habilitar Model Armor.
Para Model Armor template for user prompts y Model Armor templates for response outputs, ingresa el nombre del recurso de las plantillas de Model Armor que creaste.
Si deseas bloquear las interacciones del usuario durante fallas de procesamiento de Model Armor, haz clic en el botón de activación Permitir interacciones del usuario durante fallas de procesamiento de Model Armor para desactivarlo. Para obtener más información, consulta los dos modos compatibles con Gemini Enterprise cuando Model Armor no está disponible.
Haz clic en Guardar y publicar.
REST
Para agregar las plantillas de Model Armor a tu app de Gemini Enterprise, ejecuta el siguiente comando :
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1alpha/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID/assistants/default_assistant?update_mask=customerPolicy" \
-d '{
"customerPolicy": {
"modelArmorConfig": {
"userPromptTemplate": "QUERY_PROMPT_TEMPLATE",
"responseTemplate": "RESPONSE_PROMPT_TEMPLATE",
"failureMode": "FAIL_MODE"
}
}
}'
Reemplaza lo siguiente:
PROJECT_ID: el ID de tu proyecto.ENDPOINT_LOCATION: Es la región múltiple para tu solicitud a la API. Asigna uno de los siguientes valores:us-para la multirregión de EE.UU.eu-para la multirregión de la UEglobal-para la ubicación global
LOCATION: Es la multirregión de tu almacén de datos:global,usoeu.APP_ID: Es el ID de la app que deseas configurar.QUERY_PROMPT_TEMPLATE: Es el nombre del recurso de las plantillas de Model Armor que creaste.
Para obtener el Nombre del recurso, sigue los pasos que se indican en la documentación de Cómo ver una plantilla de Model Armor y copia el valor de Nombre del recurso.RESPONSE_PROMPT_TEMPLATE: Es el nombre del recurso de las plantillas de Model Armor que creaste.FAIL_MODE: Es el modo de operación cuando Model Armor no está disponible:FAIL_CLOSEDoFAIL_OPEN.
Si no se defineFAIL_MODE,FAIL_CLOSEes el modo predeterminado en el que se bloquean todas las interacciones con el asistente de Gemini Enterprise cuando hay errores de procesamiento de Model Armor. Para obtener más información, consulta los dos modos compatibles con Gemini Enterprise cuando Model Armor no está disponible.
Prueba si la plantilla de Model Armor está habilitada
Después de configurar la plantilla de Model Armor, prueba si tu app de Gemini Enterprise examina y bloquea de forma proactiva las instrucciones y respuestas de los usuarios del asistente de Gemini Enterprise, según los niveles de confianza establecidos en los filtros de Model Armor.
Cuando la plantilla de Model Armor está configurada para inspeccionar y bloquear las solicitudes que incumplen la política, se muestra el siguiente mensaje de incumplimiento de política:
Console
Por ejemplo, verás el siguiente mensaje de incumplimiento de política:
REST
Es una respuesta JSON que incluye lo siguiente:
answer.state = SKIPPED
answer.assist_skipped_reasons: [CUSTOMER_POLICY_VIOLATION]
Quita las plantillas de Model Armor de una app de Gemini Enterprise
Para quitar las plantillas de Model Armor de una app de Gemini Enterprise, usa la consola deGoogle Cloud o la API de REST.
Console
Para quitar las plantillas de Model Armor de tu app de Gemini Enterprise, sigue estos pasos:
En la consola de Google Cloud , ve a la página de Gemini Enterprise.
Haz clic en el nombre de la app que quieres configurar.
Haz clic en Configuraciones > Asistente.
Para desactivar Model Armor, haz clic en el botón de activación Habilitar Model Armor para llevarlo a la posición desactivada.
Haz clic en Guardar y publicar.
REST
Para quitar las plantillas de Model Armor de tu app de Gemini Enterprise, ejecuta el siguiente comando:
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1alpha/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID/assistants/default_assistant?update_mask=customerPolicy" \
-d '{
"customerPolicy": {
"modelArmorConfig": {
}
}
}'
Reemplaza lo siguiente:
PROJECT_ID: el ID de tu proyecto.PROJECT_NUMBER: Es el número de tu proyecto de Google Cloud .ENDPOINT_LOCATION: Es la región múltiple para tu solicitud a la API. Asigna uno de los siguientes valores:us-para la multirregión de EE.UU.eu-para la multirregión de la UEglobal-para la ubicación global
LOCATION: Es la multirregión de tu almacén de datos:global,usoeu.APP_ID: Es el ID de la app que deseas configurar.
Configurar registros de auditoría
Model Armor puede escribir registros de auditoría de acceso a los datos, que puedes usar para analizar y generar informes sobre los veredictos de detección de solicitudes y respuestas que genera Model Armor. Estos registros no contienen las búsquedas de los usuarios ni las respuestas del asistente de Gemini Enterprise, por lo que son seguros para los informes y las estadísticas. Para obtener más información, consulta Registro de auditoría de Model Armor.
Para acceder a estos registros, debes tener el rol de IAM de Visualizador de registros privados (roles/logging.privateLogViewer).
Habilita los registros de auditoría de acceso a los datos
Para habilitar los registros de auditoría de acceso a los datos, sigue estos pasos:
En la consola de Google Cloud , ve a IAM y administración > Registros de auditoría.
Selecciona la API de Model Armor.
En la sección Tipo de permiso, selecciona el tipo de permiso Lectura de datos.
Haz clic en Guardar.
Cómo examinar los registros de auditoría de acceso a los datos
Para examinar los registros de auditoría de acceso a los datos, sigue estos pasos:
En la consola de Google Cloud , ve al Explorador de registros.
Busca los siguientes nombres de métodos en los registros:
methodName: "google.cloud.modelarmor.v1.ModelArmor.SanitizeUserPrompt"para ver las solicitudes de los usuarios que se filtraron.google.cloud.modelarmor.v1.ModelArmor.SanitizeModelResponsepara ver las respuestas que se filtraron.
Consideraciones para usar Model Armor
Cuando uses Model Armor con Gemini Enterprise, ten en cuenta lo siguiente:
| Tokens | Los límites de tokens para las apps de Gemini Enterprise que usan Model Armor se determinan según los filtros específicos configurados en Model Armor. Para obtener información detallada sobre estos límites, consulta los límites de tokens aplicables en la documentación de Model Armor. |
|---|---|
| Acuerdo de Nivel de Servicio | Gemini Enterprise proporciona un Acuerdo de Nivel de Servicio. Cuando Gemini Enterprise está configurado para usar Model Armor, las búsquedas bloqueadas no se consideran incumplimientos del ANS, independientemente de si se usa el modo de fail-open o fail-closed. |
| Cumplimiento | Tanto Gemini Enterprise como Model Armor ofrecen varias certificaciones de cumplimiento. Cuando se usan en conjunto, las certificaciones de cumplimiento efectivas son el subconjunto común de ambos productos. Google recomienda revisar las certificaciones de cumplimiento de ambos productos para garantizar que satisfagan tus requisitos reglamentarios. |
| Revisión de documentos | Si una plantilla de Model Armor está configurada para analizar las solicitudes de los usuarios, se analizarán los documentos incluidos en la solicitud. La revisión se realiza cuando agregas un documento a la solicitud. Si un documento incumple las políticas de la plantilla configurada, se descarta y no se incluye en la solicitud. Para obtener la lista de los tipos de documentos admitidos, consulta Verificación de documentos. |