Activer Model Armor dans Gemini Enterprise

Ce document explique comment activer Model Armor pour Gemini Enterprise. Model Armor est un service Google Cloud qui améliore la sécurité de vos applications d'IA en analysant de manière proactive les requêtes et les réponses fournies par l'assistant Gemini Enterprise. Cela permet de se protéger contre différents risques et d'assurer des pratiques d'IA responsable. Model Armor est compatible avec toutes les éditions Gemini Enterprise, sans frais supplémentaires.

La réponse de Model Armor aux problèmes potentiels dans les requêtes ou les réponses des utilisateurs de l'assistant Gemini Enterprise est régie par le type d'application du modèle. Pour en savoir plus, consultez Définir le type d'application.

• Si le type d'application est Inspecter et bloquer, Gemini Enterprise bloque la requête et affiche un message d'erreur. Il s'agit du type d'application par défaut lorsque vous créez un modèle Model Armor à l'aide de la console.

• Si le type d'application est Inspect only (Inspecter uniquement), Gemini Enterprise ne bloque pas les requêtes ni les réponses.

Lorsque le service de filtrage Model Armor n'est pas disponible, vous pouvez configurer Gemini Enterprise pour qu'il se comporte de l'une des manières suivantes :

Avant de commencer

• Assurez-vous que les rôles requis vous sont attribués, ainsi qu'au compte de service Gemini Enterprise :

  • Pour activer Model Armor dans Gemini Enterprise, vous devez disposer du rôle Administrateur Discovery Engine (roles/discoveryengine.admin).

  • Pour créer des modèles Model Armor, vous devez disposer du rôle Administrateur Model Armor (roles/modelarmor.admin).

  • Pour appeler les API Model Armor, vous devez disposer du rôle Utilisateur Model Armor (roles/modelarmor.user).

• Assurez-vous d'avoir créé une application Gemini Enterprise. Pour en créer une, consultez Créer une application.

Créer un modèle Model Armor

Vous pouvez créer et utiliser le même modèle Model Armor pour les requêtes utilisateur et les réponses de l'assistant, ou vous pouvez créer deux modèles Model Armor distincts. Pour en savoir plus, consultez Créer un modèle Model Armor.

Lorsque vous créez un modèle Model Armor pour les applications Gemini Enterprise, tenez compte des configurations suivantes :

• Sélectionnez Multirégional dans le champ Régions. Le tableau suivant vous montre comment mapper les régions de modèle Model Armor avec les régions de l'application Gemini Enterprise :

  Application Gemini Enterprise multirégion	Model Armor multirégional
  Monde	États-Unis (plusieurs régions aux États-Unis) UE (plusieurs régions dans l'Union européenne)
  États-Unis (plusieurs régions aux États-Unis)	États-Unis (plusieurs régions aux États-Unis)
  UE (plusieurs régions dans l'Union européenne)	UE (plusieurs régions dans l'Union européenne)

• Google ne recommande pas de configurer la journalisation Cloud dans le modèle Model Armor pour les applications Gemini Enterprise. Cette configuration peut exposer des données sensibles aux utilisateurs disposant du rôle IAM Lecteur des journaux privés (roles/logging.privateLogViewer). Envisagez plutôt l'une des options suivantes :

  • Si vous devez consigner les données qui transitent par le modèle Model Armor, vous pouvez rediriger les journaux vers un stockage sécurisé tel que BigQuery, qui offre des contrôles d'accès plus stricts. Pour en savoir plus, consultez Acheminer les journaux vers des destinations compatibles.

  • Vous pouvez configurer les journaux d'audit pour l'accès aux données afin d'analyser les verdicts de filtrage des requêtes et des réponses générés par Model Armor, et de générer des rapports à leur sujet. Pour en savoir plus, consultez Configurer les journaux d'audit.

Configurer l'application Gemini Enterprise avec les modèles Model Armor

Les étapes suivantes décrivent comment ajouter les modèles Model Armor à votre application Gemini Enterprise.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1alpha/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID/assistants/default_assistant?update_mask=customerPolicy" \
-d '{
  "customerPolicy": {
    "modelArmorConfig": {
      "userPromptTemplate": "QUERY_PROMPT_TEMPLATE",
      "responseTemplate": "RESPONSE_PROMPT_TEMPLATE",
      "failureMode": "FAIL_MODE"
    }
  }
}'

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: my-project-123" \
"https://us-discoveryengine.googleapis.com/v1alpha/projects/my-project-123/locations/us/collections/default_collection/engines/my-app/assistants/default_assistant?update_mask=customer_policy" \
-d '{
  "customer_policy": {
    "modelArmorConfig": {
      "user_prompt_template": "projects/my-project-123/locations/us/templates/123456789",
      "response_template": "projects/my-project-123/locations/us/templates/123456789",
      "failure_mode": "FAIL_OPEN"
    }
  }
}'

{
  "name": "projects/my-project-123/locations/us/collections/default_collection/engines/my-app/assistants/default_assistant",
  "displayName": "Default Assistant",
  "webGroundingType": "WEB_GROUNDING_TYPE_GOOGLE_SEARCH",
  "googleSearchGroundingEnabled": true,
  "customerPolicy": {
    "modelArmorConfig": {
      "userPromptTemplate": "projects/my-project-123/locations/us/templates/123456789",
      "responseTemplate": "projects/my-project-123/locations/us/templates/123456789",
      "failureMode": "FAIL_OPEN"
    }
  }
}

Tester si le modèle Model Armor est activé

Après avoir configuré le modèle Model Armor, testez si votre application Gemini Enterprise filtre et bloque de manière proactive les requêtes et les réponses des utilisateurs de l'assistant Gemini Enterprise, en fonction des niveaux de confiance définis dans les filtres Model Armor.

Lorsque le modèle Model Armor est configuré sur Inspecter et bloquer les requêtes qui ne respectent pas le règlement, le message suivant s'affiche :

Console

Par exemple, le message de non-respect des règles suivant s'affiche :

REST

Réponse JSON incluant les éléments suivants :

answer.state = SKIPPED
answer.assist_skipped_reasons: [CUSTOMER_POLICY_VIOLATION]

Supprimer les modèles Model Armor d'une application Gemini Enterprise

Pour supprimer les modèles Model Armor d'une application Gemini Enterprise, utilisez la consoleGoogle Cloud ou l'API REST.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1alpha/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID/assistants/default_assistant?update_mask=customerPolicy" \
-d '{
  "customerPolicy": {
    "modelArmorConfig": {
    }
  }
}'

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: my-project-123" \
"https://discoveryengine.googleapis.com/v1alpha/projects/my-project-123/locations/global/collections/default_collection/engines/my-app/assistants/default_assistant?update_mask=customerPolicy" \
-d '{
  "customerPolicy": {
    "modelArmorConfig": {
    }
  }
}'

{
  "name": "projects/my-project-123/locations/global/collections/default_collection/engines/my-app/assistants/default_assistant",
  "displayName": "Default Assistant",
  "webGroundingType": "WEB_GROUNDING_TYPE_GOOGLE_SEARCH",
  "googleSearchGroundingEnabled": true,
  "customerPolicy": {
    "modelArmorConfig": {}
  },
  "generationConfig": {
    "systemInstruction": {}
  }
}

Configurer les journaux d'audit

Model Armor peut écrire des journaux d'audit pour l'accès aux données, que vous pouvez utiliser pour analyser les verdicts de filtrage des requêtes et des réponses générés par Model Armor et créer des rapports à leur sujet. Ces journaux ne contiennent pas les requêtes utilisateur ni les réponses de l'assistant Gemini Enterprise. Ils peuvent donc être utilisés sans risque pour les rapports et les analyses. Pour en savoir plus, consultez Journalisation des audits pour Model Armor.

Pour accéder à ces journaux, vous devez disposer du rôle IAM Lecteur des journaux privés (roles/logging.privateLogViewer).

Activer les journaux d'audit des accès aux données

Pour activer les journaux d'audit des accès aux données, procédez comme suit :

1. Dans la console Google Cloud , accédez à IAM et administration > Journaux d'audit.

2. Sélectionnez l'API Model Armor.

3. Dans la section Type d'autorisation, sélectionnez le type d'autorisation Lecture des données.

4. Cliquez sur Enregistrer.

Examiner les journaux d'audit des accès aux données

Pour examiner les journaux d'audit pour l'accès aux données, procédez comme suit :

1. Dans la console Google Cloud , accédez à l'explorateur de journaux.

2. Recherchez les noms de méthodes suivants dans les journaux :

   • methodName: "google.cloud.modelarmor.v1.ModelArmor.SanitizeUserPrompt" pour afficher les demandes utilisateur examinées.

   • google.cloud.modelarmor.v1.ModelArmor.SanitizeModelResponse pour afficher les réponses filtrées.

Éléments à prendre en compte lors de l'utilisation de Model Armor

Lorsque vous utilisez Model Armor avec Gemini Enterprise, tenez compte des points suivants :