Configura la Protección de IA

AI Protection te ayuda a proteger tus recursos y flujos de trabajo de IA supervisando tus modelos, datos y la infraestructura relacionada con la IA. En esta guía, se describe cómo configurar la Protección contra IA.

Antes de comenzar

  1. Obtén el ID de tu organización.
  2. Para crear y otorgar roles, asegúrate de tener los permisos necesarios, como los roles de administrador de roles de Identity and Access Management (IAM) (roles/iam.roleAdmin) y administrador de la organización (roles/resourcemanager.organizationAdmin). Para obtener más información, consulta el Índice de roles y permisos de IAM.

Roles obligatorios

Después de completar los pasos en Antes de comenzar, sigue los pasos de una de las siguientes secciones para configurar los roles necesarios para el acceso a la Protección basada en IA:

Funciones personalizadas

Para cumplir con el principio de privilegio mínimo, puedes crear roles de IAM personalizados que otorguen solo los permisos necesarios para el acceso de administrador o visualizador.

En este documento, se muestra cómo crear y otorgar roles personalizados para la Protección contra IA.

Configura el acceso de lectura

El acceso de visualizador permite que un usuario vea el panel y los datos de Protección con IA. Para configurar el acceso de visualizador, crea un rol AIP Viewer personalizado y, luego, otórgale ese rol a un usuario.

Crea el rol personalizado de AIP Viewer

Crea un rol personalizado que contenga todos los permisos necesarios para el acceso de solo lectura a Protección contra IA.

Console

  1. En la consola de Google Cloud , ve a la página Roles.

Ir a Funciones

  1. Haz clic en Crear rol.
  2. En el campo Title, ingresa AIP Viewer.
  3. El campo ID se completa automáticamente. De forma opcional, puedes cambiarlo a aip.viewer.
  4. En el campo Descripción, ingresa Grants permissions required to view AIP dashboard and data.
  5. Establece Role launch stage en General Availability.
  6. Haz clic en Agregar permisos.

  7. Filtra y selecciona cada uno de los siguientes permisos:

    • cloudasset.assets.exportResource
    • cloudasset.assets.searchAllIamPolicies
    • cloudasset.assets.searchAllResources
    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • cloudsecuritycompliance.controlComplianceSummaries.list
    • cloudsecuritycompliance.frameworkComplianceReports.get
    • dspm.locations.computeAggregation
    • dspm.locations.fetchLineageConnections
    • monitoring.timeSeries.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.issues.get
    • securitycenter.issues.group
    • securitycenter.issues.list
    • securitycenter.issues.listFilterValues
    • securitycenter.simulations.get
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Haz clic en Agregar.

  9. Haz clic en Crear.

gcloud

  1. En una terminal, ejecuta el siguiente comando gcloud para crear el rol:
gcloud iam roles create aip.viewer \
    --organization=ORGANIZATION_ID \
    --title="AIP Viewer" \
    --description="Grants permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.exportResource,cloudasset.assets.searchAllIamPolicies,cloudasset.assets.searchAllResources,cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,cloudsecuritycompliance.controlComplianceSummaries.list,cloudsecuritycompliance.frameworkComplianceReports.get,dspm.locations.computeAggregation,dspm.locations.fetchLineageConnections,monitoring.timeSeries.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.issues.get,securitycenter.issues.group,securitycenter.issues.list,securitycenter.issues.listFilterValues,securitycenter.simulations.get,securitycenter.sources.get,securitycenter.sources.list,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Reemplaza ORGANIZATION_ID por el ID de tu organización.

Cómo otorgar acceso de lectura a un usuario

Después de crear el rol personalizado AIP Viewer, otórgale acceso a los usuarios que necesiten acceso de visualizador.

Console

  1. En la consola de Google Cloud , dirígete a la página IAM.

Ir a IAM

  1. Haz clic en Otorgar acceso.
  2. En el campo Nuevos principales, ingresa la dirección de correo electrónico del usuario.
  3. En el menú desplegable Seleccionar un rol, busca y selecciona el rol personalizado Visualizador de AIP.
  4. Haz clic en Guardar.

gcloud

  1. En una terminal, ejecuta el siguiente comando gcloud:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.viewer"

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de tu organización.
  • USER_EMAIL: La dirección de correo electrónico del usuario.

Configura el acceso de administrador

El acceso de administrador permite que un usuario administre las funciones de Protección contra IA. Para configurar el acceso de administrador, primero debes crear el rol personalizado AIP Essentials. Luego, le otorgas ese rol y los roles predefinidos necesarios a un usuario.

Crea el rol personalizado de Nociones básicas sobre la AIP

Crea un rol personalizado que contenga los permisos de asistencia esenciales necesarios para la Protección contra IA.

Console

  1. En la consola de Google Cloud , ve a la página Roles.

Ir a Funciones

  1. Haz clic en Crear rol.
  2. En el campo Title, ingresa AIP Essentials.
  3. El campo ID se completa automáticamente. De forma opcional, puedes cambiarlo a aip.essentials.
  4. En el campo Descripción, ingresa Grants supporting permissions required to view AIP dashboard and data.
  5. Establece Role launch stage en General Availability.
  6. Haz clic en Agregar permisos.

  7. Filtra y selecciona cada uno de los siguientes permisos:

    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.simulations.get
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Haz clic en Agregar.

  9. Haz clic en Crear.

gcloud

  1. En una terminal, ejecuta el siguiente comando gcloud para crear el rol:
gcloud iam roles create aip.essentials \
    --organization=ORGANIZATION_ID \
    --title="AIP Essentials" \
    --description="Grants supporting permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.simulations.get,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Reemplaza ORGANIZATION_ID por el ID de tu organización.

Cómo otorgar acceso de administrador a un usuario

Después de crear el rol personalizado AIP Essentials, otórgale a los usuarios que necesiten acceso de administrador los roles predefinidos requeridos.

Console

  1. En la consola de Google Cloud , dirígete a la página IAM.

Ir a IAM

  1. Haz clic en Otorgar acceso.
  2. En el campo Nuevos principales, ingresa la dirección de correo electrónico del usuario.
  3. En el menú desplegable Seleccionar un rol, busca y agrega cada uno de los siguientes roles:
    • DSPM Admin (roles/dspm.admin)
    • Model Armor Admin (roles/modelarmor.admin)
    • Model Armor Floor Settings Admin (roles/modelarmor.floorSettingsAdmin)
    • Cloud Security Compliance Admin (roles/cloudsecuritycompliance.admin)
    • Security Center Findings Viewer (roles/securityCenter.findingsViewer)
    • Monitoring Viewer (roles/monitoring.viewer)
    • Cloud Asset Viewer (roles/cloudasset.viewer)
    • El rol personalizado de Nociones básicas de la AIP que creaste.
  4. Haz clic en Guardar.

gcloud

  1. En una terminal, ejecuta los siguientes comandos, uno para cada rol:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/dspm.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.floorSettingsAdmin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudsecuritycompliance.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/securityCenter.findingsViewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/monitoring.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudasset.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.essentials"

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de tu organización.
  • USER_EMAIL: La dirección de correo electrónico del usuario.

Funciones predefinidas

Para obtener los permisos que necesitas para configurar la Protección basada en IA y ver los datos del panel, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Se pueden usar los siguientes comandos de Google Cloud CLI para asignar los roles anteriores a un usuario:

Asigna roles con gcloud CLI

  • Para otorgar el rol de administrador del Centro de seguridad a un usuario, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • Para otorgar el rol de visualizador administrador del Centro de seguridad a un usuario, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: el ID numérico de la organización
    • USER_EMAIL_ID: La dirección de correo electrónico del usuario que requiere acceso

Regiones admitidas

Para obtener una lista de las regiones en las que se admite la Protección contra IA, consulta Extremos regionales.

Acceso para cuentas de servicio

Asegúrate de que las políticas de la organización no bloqueen ninguna de las cuentas de servicio mencionadas en las siguientes secciones.

Configura AI Protection

Para habilitar AI Protection a nivel de la organización, completa los siguientes pasos:

Premium

  1. Si no activaste Security Command Center en tu organización, haz clic en Activar Security Command Center Premium.
  2. Después de activar el nivel de servicio Premium de Security Command Center, configura AI Protection. Para ello, ve a Configuración > Administrar configuración en la tarjeta de AI Protection.

    Ir a la configuración de Protección con IA

  3. Habilita el descubrimiento de los recursos que deseas proteger con AI Protection.
  4. Para consultar tu panel de seguridad de IA, ve a Resumen de riesgos > Seguridad de IA.

Para empresas

  1. Si no activaste Security Command Center en tu organización, haz clic en Activar Security Command Center Enterprise.
  2. Después de activar el nivel de servicio Enterprise de Security Command Center, configura AI Protection siguiendo las instrucciones de la Guía de configuración de SCC.

    Ir a la Guía de configuración

    1. Expande el panel de resumen Revisa las funciones de seguridad.
    2. En el panel Protección con IA, haz clic en Configurar.
    3. Sigue las instrucciones para verificar si los servicios obligatorios y dependientes de Protección contra IA están configurados. Para comprender qué se habilita automáticamente y qué requiere configuración adicional, consulta Activa y configura servicios Google Cloud.
  3. Habilita el descubrimiento de los recursos que deseas proteger con AI Protection.

Activa y configura Google Cloud servicios

Después de activar Security Command Center Premium o Enterprise, activa y configura serviciosGoogle Cloud adicionales para usar todas las capacidades de AI Protection.

Los siguientes servicios se activan automáticamente:

  • Detección de amenazas de Agent Engine (vista previa)
  • Servicio de AI Discovery
  • Simulaciones de rutas de ataque
  • Registros de auditoría de Cloud
  • Cloud Monitoring
  • Compliance Manager
  • Event Threat Detection
  • Administración de la postura de seguridad de los datos
  • Notebook Security Scanner
  • Protección de datos sensibles

Los siguientes servicios son necesarios para la Protección contra IA:

Algunos de estos servicios requieren configuración adicional, como se describe en las siguientes secciones.

Configura el servicio de AI Discovery

El servicio de AI Discovery se activa automáticamente como parte de la integración de Security Command Center Enterprise. Se proporciona el rol de IAM de visualizador de Monitoring (roles/monitoring.viewer), pero verifica que se aplique a la cuenta de servicio de la organización de Security Command Center Enterprise.

  1. En la consola de Google Cloud , dirígete a la página IAM.

    Ir a IAM

  2. Haz clic en Otorgar acceso.

  3. En el campo Principales nuevas, ingresa la cuenta de servicio de la organización de Security Command Center Enterprise. La cuenta de servicio usa el formato service-org-ORG_ID@security-center-api.gserviceaccount.com. Reemplaza ORG_ID por el ID de tu organización.

  4. En el campo Selecciona un rol, selecciona Visualizador de Monitoring.

  5. Haz clic en Guardar.

Configura los controles avanzados de DSPM en la nube

Configura DSPM con controles avanzados en la nube para el acceso, el flujo y la protección de datos. Para obtener más información, consulta Implementa controles avanzados de seguridad de los datos en la nube.

Cuando crees un framework personalizado que se aplique a las cargas de trabajo de IA, incluye estos controles de la nube:

  • Gobernanza del acceso a los datos: Restringe el acceso a datos sensibles a principales específicos, como usuarios o grupos. Especificas los principales permitidos con la sintaxis del identificador principal de IAM v2. Por ejemplo, puedes crear una política para permitir que solo los miembros de gdpr-processing-team@example.com accedan a recursos específicos.
  • Gobernanza del flujo de datos: Restringe el flujo de datos a regiones específicas. Por ejemplo, puedes crear una política para permitir que se acceda a los datos solo desde EE.UU. o la UE. Especifica los códigos de país permitidos con el repositorio de datos de configuración regional común (CLDR) de Unicode.
  • Protección de datos (con CMEK): Identifica los recursos creados sin claves de encriptación administradas por el cliente (CMEK) y recibe recomendaciones. Por ejemplo, puedes crear una política para detectar recursos creados sin CMEK para storage.googleapis.com y bigquery.googleapis.com. Esta política detecta los recursos sin encriptar, pero no impide que se creen.

Configura Model Armor

  1. Habilita el servicio modelarmor.googleapis.com para cada proyecto que use actividad de IA generativa. Para obtener más información, consulta Primeros pasos con Model Armor.
  2. Configura los siguientes parámetros para definir la configuración de seguridad de las instrucciones y respuestas de los modelos de lenguaje grandes (LLM):
    • Plantillas de Model Armor: Crea una plantilla de Model Armor. Estas plantillas definen los tipos de riesgos que se deben detectar, como datos sensibles, inyecciones de instrucciones y detección de jailbreak. También definen los umbrales mínimos para esos filtros.
    • Filtros: Model Armor usa varios filtros para identificar riesgos, como la detección de URLs maliciosas, la detección de inyección de instrucciones y jailbreak, y la protección de datos sensibles.
    • Configuración de límites: Configura los parámetros de límites a nivel del proyecto para establecer la protección predeterminada de todos los modelos de Gemini.

Configura Notebook Security Scanner

  1. Habilita el servicio Notebook Security Scanner para tu organización. Para obtener más información, consulta Cómo habilitar Notebook Security Scanner.
  2. Otorga el rol de visualizador de Dataform (roles/dataform.viewer) a notebook-security-scanner-prod@system.gserviceaccount.com en todos los proyectos que contengan notebooks.

Configurar la protección de datos sensibles

Habilita la API de dlp.googleapis.com para tu proyecto y configura Sensitive Data Protection para que analice los datos sensibles.

  1. Enable the Data Loss Prevention API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  2. Otorga los roles DLP Reader y DLP Data Profiles Admin a los usuarios de Protección contra IA.

  3. Configura Sensitive Data Protection para analizar en busca de datos sensibles.

Opcional: Configura recursos adicionales de alto valor

Para crear una configuración del valor de recurso, sigue los pasos que se indican en Crear una configuración del valor de recurso.

Cuando se ejecute la próxima simulación de ruta de ataque, se abarcará el conjunto de recursos de alto valor y se generarán rutas de ataque.

Limitaciones

La Protección basada en IA para el nivel Premium de Security Command Center tiene las siguientes limitaciones para los entornos habilitados para la residencia de datos:

  • AI Protection requiere activación manual. La Protección contra IA no analiza las amenazas ni brinda protección contra ellas en estos entornos hasta que se activa.
  • No puedes acceder al panel de IA Security ni a la página AI Assets. Ambas opciones están inhabilitadas para estos entornos.

Para obtener más información sobre la residencia de datos, consulta Planificación de la residencia de datos.

¿Qué sigue?