Gemini Enterprise 安全性總覽

Google 可協助機構保護雲端環境、資料安全，並遵守產業法規。如要瞭解所有 Google Cloud的安全性一般資訊，請參閱Google Cloud 安全性總覽。

使用者安全性設定

在 Gemini Enterprise 中管理身分與存取權管理 (IAM) 設定，對安全性至關重要。本節列出的資源可協助您瞭解 Gemini Enterprise 的權限和存取控管機制：

• 身分和權限
• 設定外部身分
• 向 Gemini Enterprise API 進行驗證
• 使用 IAM 控管存取權

系統支援下列驗證架構：

• 員工身分聯盟

• Google Identity

• Workload Identity 聯盟

Gemini Enterprise 資料安全

保護資料免於威脅、侵害和身分盜用至關重要。 Gemini Enterprise 採取下列安全措施：

• Gemini Enterprise 已整合 VPC Service Controls。

• 使用客戶自行管理的加密金鑰 (CMEK) 預設加密資料。

  Gemini Enterprise 也支援外部金鑰管理員 (EKM) 或硬體安全性模組 (HSM)。如要瞭解 CMEK 和 EKM 適用的限制，請參閱 Gemini Enterprise 中 Cloud Key Management Service 的限制。

Gemini Enterprise 法規遵循

資料法規遵循是指處理個人和私密資訊時，必須符合法律和法規要求。這項服務會控管資料的收集、儲存、使用和安全性，確保隱私權和資料受到保護。

本節列出的資源提供相關資訊，協助您維持資料透明度和法規遵循：

• 啟用資料存取透明化控管機制
• 稽核記錄
• Gemini Enterprise 位置
• 法規遵循與安全性控制選項
• Gemini Enterprise 會在 60 天內刪除使用者要求刪除的資料。詳情請參閱 Google Cloud的資料刪除。

員工身分聯盟和集區管理員

如果您使用員工身分聯盟驗證使用者身分，請將 IAM 工作團隊身分集區管理員 (roles/iam.workforcePoolAdmin) 和 IAM 工作團隊集區編輯者 (roles/iam.workforcePoolEditor) IAM 角色授予部分管理員。這些角色擁有強大的權限，可用來模擬其他使用者，藉此存取文件及採取未經授權的動作。

因此，我們建議採取下列做法：

• 請只將這些工作人員集區角色授予絕對需要這些角色的信任管理員。

• 使用 Privileged Access Manager 設定這些角色的授權，並稽核其使用情形。

必要 Google Cloud API

如要開始使用 Gemini Enterprise，請啟用下列 API：

• Vertex AI API
• Gemini Enterprise (Discovery Engine) API
• Cloud Storage API
• Identity and Access Management API

如要進一步瞭解如何開始使用 Gemini Enterprise，請參閱「事前準備」一節。

如要停用 Gemini Enterprise (Discovery Engine) API，請參閱「停用 Gemini Enterprise」。

第三方連接器和公開端點

第三方連結器會與 Google 網路外部的公開端點互動；例如，第三方 API 的端點 (用於輪詢資料) 或用於即時同步處理的 Webhook URL。由於 VPC Service Controls 的設計是為了控管 Google Cloud 服務，因此不會主動封鎖或保護流向這些外部非 Google 端點的流量。

為減輕這類風險，Gemini Enterprise 會確保您的輸出流量受到精細的 VPC 防火牆規則保護，這些規則會限制輸出連線，只允許連線至您提供的外部服務完整網域名稱 (FQDN)。