Remarque : Cette documentation s'applique aux éditions Standard, Plus et Frontline de Gemini Enterprise. Pour en savoir plus sur l'édition Business, consultez le Centre d'aide Gemini Enterprise – Édition Business.

Présentation de la sécurité de Gemini Enterprise

Google aide les organisations à sécuriser leur environnement cloud, à protéger leurs données et à se conformer aux réglementations du secteur. Pour obtenir des informations générales sur la sécurité dans l'ensemble de Google Cloud, consultez Google Cloud la présentation de la sécurité.

Configurations de sécurité de l'utilisateur final

Il est essentiel de gérer vos paramètres Identity and Access Management (IAM) dans Gemini Enterprise pour assurer la sécurité. Les ressources listées dans cette section vous aident à comprendre les autorisations et les contrôles d'accès dans Gemini Enterprise :

Les frameworks d'authentification suivants sont compatibles :

Fédération des identités des employés

Remarque : Lorsque vous envoyez des données à Gemini Enterprise à l'aide d'un connecteur tiers, nous vous recommandons d'utiliser la fédération des identités des employés.
Identité Google
Fédération d'identité de charge de travail

Sécurité des données Gemini Enterprise

Il est important de protéger vos données contre les menaces, les violations et l'usurpation d'identité. Gemini Enterprise met en place les mesures de sécurité suivantes :

Gemini Enterprise est intégré à VPC Service Controls.
Chiffrement des données par défaut avec des clés de chiffrement gérées par le client (CMEK).

Gemini Enterprise est également compatible avec un gestionnaire de clés externe (EKM) ou un module de sécurité matérielle (HSM). Pour en savoir plus sur les limites qui s'appliquent à CMEK et EKM, consultez Limites de Cloud Key Management Service dans Gemini Enterprise.

Conformité de Gemini Enterprise

La conformité des données consiste à répondre aux exigences légales et réglementaires concernant le traitement des informations personnelles et sensibles. Elle régit la collecte, le stockage, l'utilisation et la sécurité des données afin de garantir la confidentialité et la protection.

Les ressources listées dans cette section fournissent des informations pour vous aider à assurer la transparence et la conformité des données :

Activer Access Transparency
Journaux d'audit
Emplacements Gemini Enterprise
Certifications de conformité et contrôles de sécurité
Gemini Enterprise supprime les données demandées par l'utilisateur dans un délai de 60 jours. Pour en savoir plus, consultez Suppression des données sur Google Cloud.

Administrateurs de la fédération des identités des employés et des pools

Si vous utilisez la fédération des identités des employés pour authentifier vos utilisateurs, vous accordez les rôles IAM Administrateur de pools d'employés (roles/iam.workforcePoolAdmin) et Éditeur de pools d'employés IAM (roles/iam.workforcePoolEditor) à certains de vos administrateurs. Ces rôles disposent d'autorisations puissantes qui pourraient être utilisées pour usurper l'identité d'autres utilisateurs afin d'accéder à des documents et d'effectuer des actions non autorisées.

Pour cette raison, nous vous recommandons de procéder comme suit :

N'accordez ces rôles de pool d'employés qu'aux administrateurs de confiance qui en ont absolument besoin.
Utilisez Privileged Access Manager pour configurer les droits de ces rôles et auditer leur utilisation.

API requises Google Cloud

Pour commencer à utiliser Gemini Enterprise, vous devez activer les API suivantes :

API Vertex AI
API Gemini Enterprise (Discovery Engine)
API Cloud Storage
API Identity and Access Management

Pour en savoir plus sur la prise en main de Gemini Enterprise, consultez la section Avant de commencer.

Pour désactiver l'API Gemini Enterprise (Discovery Engine), consultez Désactiver Gemini Enterprise.

Connecteurs tiers et points de terminaison publics

Les connecteurs tiers interagissent avec des points de terminaison publics en dehors du réseau de Google, par exemple des points de terminaison pour l'API d'un tiers afin d'interroger des données ou une URL de webhook pour la synchronisation en temps réel. Étant donné que VPC Service Controls est conçu pour régir Google Cloud les services, il ne bloque ni ne sécurise intrinsèquement le trafic vers ces points de terminaison externes non Google.

Pour atténuer ce problème, Gemini Enterprise s'assure que votre trafic sortant est sécurisé par des règles de pare-feu VPC précises, qui limitent les connexions sortantes uniquement aux noms de domaine complets (FQDN) du service externe que vous fournissez.