Abilitare Model Armor in NotebookLM Enterprise

Questo documento descrive come abilitare Model Armor per NotebookLM Enterprise. Model Armor è un Google Cloud servizio che migliora la sicurezza delle applicazioni AI schermando in modo proattivo i prompt e le risposte forniti utilizzando NotebookLM Enterprise. Questo accorgimento aiuta a proteggere da vari rischi e garantisce pratiche di AI responsabile. Model Armor è supportato su NotebookLM Enterprise senza costi aggiuntivi.

La risposta di Model Armor a potenziali problemi nelle query o nelle risposte degli utenti di NotebookLM Enterprise è regolata dal tipo di applicazione del modello.

  • Se il tipo di applicazione è Ispeziona e blocca, NotebookLM Enterprise blocca la richiesta e visualizza un messaggio di errore. Questo è il tipo di applicazione predefinito quando crei un modello Model Armor utilizzando la console.

  • Se il tipo di applicazione è Solo ispeziona, NotebookLM Enterprise non blocca le richieste o le risposte.

Per saperne di più, consulta Definire il tipo di applicazione.

Prima di iniziare

Assicurati di avere i ruoli richiesti assegnati:

  • Per abilitare Model Armor in NotebookLM Enterprise, devi disporre del ruolo Gemini Enterprise Admin (roles/discoveryengine.agentspaceAdmin).

  • Per creare i modelli Model Armor, devi disporre del ruolo Model Armor Admin (roles/modelarmor.admin).

  • Per chiamare le API Model Armor, devi disporre del ruolo Model Armor User (roles/modelarmor.user).

Creare un modello Model Armor

Puoi creare e utilizzare lo stesso modello Model Armor per i prompt e le risposte degli utenti dell'assistente oppure puoi creare due modelli Model Armor separati. Per saperne di più, consulta Creare e gestire i modelli Model Armor.

Quando crei un modello Model Armor per NotebookLM Enterprise, tieni presente queste configurazioni:

  • Seleziona Multi-regione nel campo Regioni. La tabella seguente mostra come mappare le regioni dei modelli Model Armor alle regioni di NotebookLM Enterprise:

    NotebookLM Enterprise (multi-regione) Model Armor (multi-regione)
    Globale
    • Stati Uniti (più regioni negli Stati Uniti)
    • UE (più regioni nell'Unione Europea)
    Stati Uniti (più regioni negli Stati Uniti) Stati Uniti (più regioni negli Stati Uniti)
    UE (più regioni nell'Unione Europea) UE (più regioni nell'Unione Europea)

  • Google non consiglia di configurare Cloud Logging nel modello Model Armor per NotebookLM Enterprise. Questa configurazione può esporre dati sensibili agli utenti con il ruolo IAM Visualizzatore log privati (roles/logging.privateLogViewer). In alternativa, valuta le seguenti opzioni:

    • Se devi registrare i log che passano attraverso il modello Model Armor, puoi reindirizzare i log a uno spazio di archiviazione sicuro come BigQuery, che offre controlli di accesso più rigorosi. Per saperne di più, consulta Instradare i log verso destinazioni supportate.

    • Puoi configurare gli audit log dell'accesso ai dati per analizzare e generare report sui verdetti di screening delle richieste e delle risposte generati da Model Armor. Per saperne di più, consulta Configurare gli audit log.

Configurare NotebookLM Enterprise con i modelli Model Armor

I passaggi seguenti descrivono come aggiungere i modelli Model Armor a NotebookLM Enterprise.

REST

Per aggiungere i modelli Model Armor a NotebookLM Enterprise, esegui il comando seguente :

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1alpha/projects/PROJECT_NUMBER?update_mask=customerProvidedConfig" \
-d '{
  "customerProvidedConfig": {
    "notebooklmConfig": {
      "modelArmorConfig": {
        "userPromptTemplate": "QUERY_PROMPT_TEMPLATE",
        "responseTemplate": "RESPONSE_PROMPT_TEMPLATE"
      }
    }
  }
}'

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • PROJECT_NUMBER: il numero del Google Cloud progetto.
  • ENDPOINT_LOCATION: la multi-regione per la richiesta API. Specifica uno dei seguenti valori:
    • us per la multi-regione Stati Uniti
    • eu per la multi-regione UE
    • global per la località globale
    Per saperne di più, consulta Specifica una multi-regione per il datastore.
  • QUERY_PROMPT_TEMPLATE: il nome della risorsa dei modelli Model Armor che hai creato.
    Per ottenere il nome della risorsa, segui i passaggi descritti nella documentazione Visualizzare un modello Model Armor e copia il valore del nome della risorsa.
  • RESPONSE_PROMPT_TEMPLATE: il nome della risorsa dei modelli Model Armor che hai creato.

Verificare se il modello Model Armor è abilitato

Dopo aver configurato il modello Model Armor, verifica se NotebookLM Enterprise esegue in modo proattivo lo screening e blocca i prompt e le risposte degli utenti in base ai livelli di attendibilità impostati nei filtri Model Armor.

Quando il modello Model Armor è configurato per Ispeziona e blocca le richieste che violano le norme, viene visualizzato il seguente messaggio di violazione delle norme:

Console

Ad esempio, viene visualizzato il messaggio di violazione delle norme:

Mostra il messaggio che un utente riceve quando viola il modello Model Armor abilitato per NotebookLM Enterprise.
Messaggio di violazione delle norme di Model Armor

REST

Una risposta JSON che include quanto segue:

Ad esempio: json "answer.state": "SKIPPED", "answer.assist_skipped_reasons": "CUSTOMER_POLICY_VIOLATION_REASON"

Rimuovere i modelli Model Armor da NotebookLM Enterprise

Per rimuovere i modelli Model Armor da NotebookLM Enterprise, esegui il comando seguente:

REST

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1alpha/projects/PROJECT_NUMBER?update_mask=customerProvidedConfig" \
-d '{
  "customerProvidedConfig": {
    "notebooklmConfig": {
      "modelArmorConfig": {}
    }
  }
}'

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • PROJECT_NUMBER: il numero del Google Cloud progetto.
  • ENDPOINT_LOCATION: la multi-regione per la richiesta API. Specifica uno dei seguenti valori:
    • us per la multi-regione Stati Uniti
    • eu per la multi-regione UE
    • global per la località globale
    Per saperne di più, consulta Specifica una multi-regione per il datastore.

Configurare gli audit log

Model Armor registra gli audit log dell'accesso ai dati che puoi utilizzare per analizzare i verdetti di screening delle richieste e delle risposte. Questi log non contengono le query o le risposte degli utenti di NotebookLM Enterprise, quindi sono sicuri per la generazione di report e l'analisi. Per saperne di più, consulta Audit logging per Model Armor.

Per accedere a questi log, devi disporre del ruolo IAM Visualizzatore log privati (roles/logging.privateLogViewer).

Abilitare gli audit log dell'accesso ai dati

Per abilitare gli audit log dell'accesso ai dati:

  1. Nella Google Cloud console, vai a IAM e amministrazione > Audit log.

  2. Seleziona API Model Armor.

  3. Nella sezione Tipo di autorizzazione, seleziona il tipo di autorizzazione Lettura dati.

  4. Fai clic su Salva.

Esaminare gli audit log dell'accesso ai dati

Per esaminare gli audit log dell'accesso ai dati:

  1. Nella Google Cloud console, vai a Esplora log.

  2. Cerca i seguenti nomi di metodi nei log:

    • google.cloud.modelarmor.v1.ModelArmor.SanitizeUserPrompt per visualizzare le richieste degli utenti sottoposte a screening.

    • google.cloud.modelarmor.v1.ModelArmor.SanitizeModelResponse per visualizzare le risposte sottoposte a screening.