如需妥善保护 Gemini Enterprise 应用并降低数据渗漏风险,您必须配置 VPC Service Controls 边界。借助 VPC Service Controls 和 Access Context Manager,您可以保护 Gemini Enterprise 应用和关联的企业数据,并控制对这些应用和数据的访问权限。
使用 Gemini Enterprise 设置 VPC Service Controls
如需使用 VPC Service Controls 保护 Gemini Enterprise 资源,请执行以下操作:
确保您已配置 VPC Service Controls 边界。您可以专门为 Gemini Enterprise 应用创建新的边界,也可以使用包含相关资源的现有边界。
如需了解服务边界,请参阅服务边界详情和配置。
将包含 Gemini Enterprise 应用的 Google Cloud 项目添加到服务边界内受保护的资源列表中。
将以下 API 添加到服务边界的受限服务列表中:
- Discovery Engine API:
discoveryengine.googleapis.com
- Discovery Engine API:
启用服务边界并将 DiscoveryEngine API 列为受限服务后,VPC Service Controls 会采取以下安全措施:
discoveryengine.googleapis.comAPI 无法再通过公共互联网访问。对 Gemini Enterprise 用户界面的访问受到限制,除非入站规则允许。
Gemini Enterprise 操作会被屏蔽,并且在您与 Google 代表联系并要求将每项服务添加到许可名单之前,无法创建或使用这些操作。如需了解详情,请参阅启用 VPC Service Controls 后可执行的操作。
使用 Access Context Manager 限制公开访问权限
Gemini Enterprise 应用可供公众通过公共互联网公开访问。默认情况下,Gemini Enterprise 要求用户进行身份验证,并要求获得授权才能访问。VPC Service Controls 和 Access Context Manager 提供额外的控制措施,可用于控制访问权限。
借助 Access Context Manager,您可以为 Google Cloud中的项目和资源定义基于属性的精细访问权限控制。为此,您必须定义一个访问权限政策,这是组织范围内的访问权限级别和服务边界容器。
访问权限级别说明了请求得以执行所需满足的要求。例如,您可以根据以下条件限制请求:
- 设备类型和操作系统(需要 Chrome 企业进阶版许可)
- IP 地址
- 用户身份
在此参考架构中,公共 IP 子网访问权限级别用于构建 VPC Service Controls 访问权限政策。
如需使用 Access Context Manager 限制对 Gemini Enterprise 的访问权限,请按照创建基本访问权限级别中的说明创建基本访问权限级别。指定以下选项:
对于在以下条件中创建条件,选择基本模式。
在访问权限级别标题字段中,输入
corp-public-block。在条件部分,对于满足条件时返回,选择 TRUE。
对于 IP 子网,选择公共 IP。
对于 IP 地址范围,请指定您的外部 IP 地址。
启用 VPC Service Controls 后可执行的操作
VPC Service Controls 的主要目的是通过在项目和资源周围创建安全的服务边界来防止数据渗漏。Gemini Enterprise 操作(例如发送电子邮件或创建 Jira 工单)被视为数据离开此安全边界的潜在途径。由于这些操作可能会与外部服务互动或访问敏感数据,因此 VPC Service Controls 会阻止这些操作,以确保安全边界的完整性。
因此,如果您在包含 Gemini Enterprise 应用的 Google Cloud 项目上启用 VPC Service Controls,则默认情况下,您将无法创建和使用 Gemini Enterprise 助理操作,并且界面会阻止您创建新操作。如果您想在受 VPC Service Controls 保护的 Gemini Enterprise 应用中为特定服务启用助理操作,请与 Google 代表联系,并请求将该服务添加到许可名单中,以便在服务边界内使用。