如要妥善保護 Gemini Enterprise 應用程式,並降低資料竊取風險,請務必設定 VPC Service Controls 安全範圍。使用 VPC Service Controls 和 Access Context Manager,保護 Gemini Enterprise 應用程式和連結的企業資料,並控管存取權。
使用 Gemini Enterprise 設定 VPC Service Controls
如要使用 VPC Service Controls 保護 Gemini Enterprise 資源,請完成下列步驟:
確認您已設定 VPC Service Controls 範圍。您可以專為 Gemini Enterprise 應用程式建立新的安全防護範圍,也可以使用現有的安全防護範圍來存放相關資源。
如要瞭解服務範圍,請參閱「服務範圍詳細資料與設定」。
將包含 Gemini Enterprise 應用程式的 Google Cloud 專案新增至服務範圍內的受保護資源清單。
將下列 API 新增至服務範圍的受限服務清單:
- Discovery Engine API:
discoveryengine.googleapis.com
- Discovery Engine API:
啟用服務範圍並將 DiscoveryEngine API 列為受限服務後,VPC Service Controls 會採取下列安全措施:
您無法再透過公開網際網路存取
discoveryengine.googleapis.comAPI。系統會封鎖 Gemini Enterprise 使用者介面存取權,但輸入規則允許的情況除外。
Gemini Enterprise 動作會遭到封鎖,您必須聯絡 Google 代表,要求將各項服務加入允許清單,才能建立或使用這些動作。詳情請參閱「啟用 VPC Service Controls 後使用動作」。
使用 Access Context Manager 限制公開存取權
Gemini Enterprise 應用程式可供大眾透過網際網路公開存取。根據預設,Gemini Enterprise 會要求使用者驗證身分,並授權存取權。VPC Service Controls 和 Access Context Manager 提供額外的存取控管功能。
您可以使用 Access Context Manager,依據屬性為 Google Cloud中的專案和資源定義精細的存取控管機制。如要這麼做,您必須定義存取權政策,這是適用於全機構的存取層級和服務範圍容器。
存取層級描述接受要求的必要需求,舉例來說,您可以根據下列條件限制要求:
- 裝置類型和作業系統 (須有 Chrome Enterprise 進階版授權)
- IP 位址
- 使用者身分
在本參考架構中,公開 IP 子網路存取層級用於建構 VPC Service Controls 存取政策。
如要使用 Access Context Manager 控管 Gemini Enterprise 的存取權,請按照「建立基本存取層級」一文中的操作說明建立基本存取層級。指定下列選項:
在「建立條件於」中,選擇「基本模式」。
在「Access level title」(存取層級標題) 欄位中輸入
corp-public-block。在「條件」部分,針對「符合條件時傳回」,選取「TRUE」。
在「IP Subnetworks」(IP 子網路) 中,選取「Public IP」(公開 IP)。
在 IP 位址範圍中,指定外部 IP 位址。
啟用 VPC Service Controls 後使用動作
VPC Service Controls 的主要目標是為專案和資源建立安全服務範圍,防止資料遭竊。Gemini Enterprise 的動作 (例如傳送電子郵件或建立 Jira 票證) 屬於資料離開這個安全範圍的潛在路徑。由於這些動作可能會與外部服務互動或存取機密資料,VPC Service Controls 會封鎖這些動作,確保安全邊界的完整性。
因此,如果您在含有 Gemini Enterprise 應用程式的專案中啟用 VPC Service Controls,系統預設會封鎖建立及使用 Gemini Enterprise 助理動作的功能,且使用者介面會禁止您建立新動作。 Google Cloud 如要在受 VPC Service Controls 保護的 Gemini Enterprise 應用程式中,為特定服務啟用助理動作,請與 Google 代表聯絡,要求將該服務加入允許清單,並在服務範圍內啟用。