A Proteção de IA ajuda a proteger seus recursos e fluxos de trabalho de IA monitorando modelos, dados e infraestrutura relacionada à IA. Neste guia, descrevemos como configurar a Proteção de IA.
Antes de começar
- Consiga o ID da organização.
- Para criar e conceder papéis, verifique se você tem as permissões necessárias, como
administrador de papéis do Identity and Access Management (IAM) (
roles/iam.roleAdmin) e administrador da organização (roles/resourcemanager.organizationAdmin). Para mais informações, consulte o índice de papéis e permissões do IAM.
Funções exigidas
Depois de concluir as etapas em Antes de começar, siga as etapas em uma das seções a seguir para configurar as funções necessárias para acesso à Proteção de IA:
Papéis personalizados
Para aderir ao princípio do menor privilégio, crie papéis personalizados do IAM que concedam apenas as permissões necessárias para acesso de administrador ou leitor.
Neste documento, mostramos como criar e conceder papéis personalizados para a Proteção de IA.
Configurar o acesso de leitor
Com o acesso de leitor, um usuário pode ver o painel e os dados da Proteção de IA. Para configurar o acesso de leitor, crie uma função personalizada AIP Viewer e conceda essa função a um usuário.
Criar a função personalizada AIP Viewer
Crie um papel personalizado que contenha todas as permissões necessárias para acesso somente leitura à Proteção de IA.
Console
- No Google Cloud console, acesse a página Papéis.
- Clique em Criar papel.
- No campo Título, insira
AIP Viewer. - O campo ID é preenchido automaticamente. Se quiser, mude para
aip.viewer. - No campo Descrição, use
Grants permissions required to view AIP dashboard and data. - Defina o Estágio de lançamento do papel como Disponibilidade geral.
- Clique em Adicionar permissões
Filtre e selecione cada uma das seguintes permissões:
cloudasset.assets.exportResourcecloudasset.assets.searchAllIamPoliciescloudasset.assets.searchAllResourcescloudasset.assets.searchEnrichmentResourceOwnerscloudasset.othercloudconnections.getcloudasset.othercloudconnections.listcloudsecuritycompliance.controlComplianceSummaries.listcloudsecuritycompliance.frameworkComplianceReports.getdspm.locations.computeAggregationdspm.locations.fetchLineageConnectionsmonitoring.timeSeries.listresourcemanager.organizations.getresourcemanager.projects.getsecuritycentermanagement.securityCommandCenter.getsecuritycenter.assets.groupsecuritycenter.assets.listsecuritycenter.attackpaths.listsecuritycenter.complianceReports.aggregatesecuritycenter.findings.groupsecuritycenter.findings.listsecuritycenter.issues.getsecuritycenter.issues.groupsecuritycenter.issues.listsecuritycenter.issues.listFilterValuessecuritycenter.simulations.getsecuritycenter.sources.getsecuritycenter.sources.listsecuritycenter.userinterfacemetadata.getsecuritycenter.valuedresources.list
Clique em Adicionar.
Clique em Criar.
gcloud
- Em um terminal, execute o seguinte comando
gcloudpara criar a função:
gcloud iam roles create aip.viewer \
--organization=ORGANIZATION_ID \
--title="AIP Viewer" \
--description="Grants permissions required to view AIP dashboard and data." \
--permissions="cloudasset.assets.exportResource,cloudasset.assets.searchAllIamPolicies,cloudasset.assets.searchAllResources,cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,cloudsecuritycompliance.controlComplianceSummaries.list,cloudsecuritycompliance.frameworkComplianceReports.get,dspm.locations.computeAggregation,dspm.locations.fetchLineageConnections,monitoring.timeSeries.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.issues.get,securitycenter.issues.group,securitycenter.issues.list,securitycenter.issues.listFilterValues,securitycenter.simulations.get,securitycenter.sources.get,securitycenter.sources.list,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \
SubstituaORGANIZATION_ID pelo ID da organização.
Conceder acesso de leitura a um usuário
Depois de criar a função personalizada AIP Viewer, conceda-a aos usuários que precisam de acesso de leitor.
Console
- No console do Google Cloud , acesse a página IAM.
- Clique em Permitir acesso.
- No campo Novos principais, digite o endereço de e-mail do usuário.
- No menu suspenso Selecionar um papel, pesquise e selecione a função personalizada Leitor da AIP.
- Clique em Salvar.
gcloud
- Em um terminal, execute o seguinte comando
gcloud:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:USER_EMAIL" \
--role="organizations/ORGANIZATION_ID/roles/aip.viewer"
Substitua:
ORGANIZATION_ID: o ID da sua organização.USER_EMAIL: o endereço de e-mail do usuário.
Configurar o acesso de administrador
O acesso de administrador permite que um usuário gerencie os recursos da Proteção com IA.
Para configurar o acesso de administrador, primeiro crie a função personalizada AIP Essentials. Em seguida, conceda essa função e as funções predefinidas necessárias a um usuário.
Criar a função personalizada do AIP Essentials
Crie um papel personalizado que contenha as permissões de suporte essenciais necessárias para a Proteção com IA.
Console
- No Google Cloud console, acesse a página Papéis.
- Clique em Criar papel.
- No campo Título, insira
AIP Essentials. - O campo ID é preenchido automaticamente. Se quiser, mude para
aip.essentials. - No campo Descrição, use
Grants supporting permissions required to view AIP dashboard and data. - Defina o Estágio de lançamento do papel como Disponibilidade geral.
- Clique em Adicionar permissões
Filtre e selecione cada uma das seguintes permissões:
cloudasset.assets.searchEnrichmentResourceOwnerscloudasset.othercloudconnections.getcloudasset.othercloudconnections.listresourcemanager.organizations.getresourcemanager.projects.getsecuritycentermanagement.securityCommandCenter.getsecuritycenter.assets.groupsecuritycenter.assets.listsecuritycenter.attackpaths.listsecuritycenter.complianceReports.aggregatesecuritycenter.findings.groupsecuritycenter.findings.listsecuritycenter.simulations.getsecuritycenter.userinterfacemetadata.getsecuritycenter.valuedresources.list
Clique em Adicionar.
Clique em Criar.
gcloud
- Em um terminal, execute o seguinte comando
gcloudpara criar a função:
gcloud iam roles create aip.essentials \
--organization=ORGANIZATION_ID \
--title="AIP Essentials" \
--description="Grants supporting permissions required to view AIP dashboard and data." \
--permissions="cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.simulations.get,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \
SubstituaORGANIZATION_ID pelo ID da organização.
Conceder acesso de administrador a um usuário
Depois de criar a função personalizada AIP Essentials, conceda-a junto com as funções predefinidas necessárias aos usuários que precisam de acesso de administrador.
Console
- No console do Google Cloud , acesse a página IAM.
- Clique em Permitir acesso.
- No campo Novos principais, digite o endereço de e-mail do usuário.
- No menu suspenso Selecionar um papel, pesquise e adicione cada um dos seguintes papéis:
DSPM Admin(roles/dspm.admin)Model Armor Admin(roles/modelarmor.admin)Model Armor Floor Settings Admin(roles/modelarmor.floorSettingsAdmin)Cloud Security Compliance Admin(roles/cloudsecuritycompliance.admin)Security Center Findings Viewer(roles/securityCenter.findingsViewer)Monitoring Viewer(roles/monitoring.viewer)Cloud Asset Viewer(roles/cloudasset.viewer)- A função personalizada AIP Essentials que você criou.
- Clique em Salvar.
gcloud
- Em um terminal, execute os seguintes comandos, um para cada função:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:USER_EMAIL" \
--role="roles/dspm.admin"
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:USER_EMAIL" \
--role="roles/modelarmor.admin"
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:USER_EMAIL" \
--role="roles/modelarmor.floorSettingsAdmin"
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:USER_EMAIL" \
--role="roles/cloudsecuritycompliance.admin"
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:USER_EMAIL" \
--role="roles/securityCenter.findingsViewer"
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:USER_EMAIL" \
--role="roles/monitoring.viewer"
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:USER_EMAIL" \
--role="roles/cloudasset.viewer"
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:USER_EMAIL" \
--role="organizations/ORGANIZATION_ID/roles/aip.essentials"
Substitua:
ORGANIZATION_ID: o ID da sua organização.USER_EMAIL: o endereço de e-mail do usuário.
Papéis predefinidos
Para ter as permissões necessárias para configurar a Proteção com IA e acessar os dados do painel, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:
-
Configurar a Proteção com IA e ver dados do painel:
Administrador da Central de segurança (
roles/securitycenter.admin) -
Acessar apenas os dados do painel:
Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Os comandos da Google Cloud CLI a seguir podem ser usados para atribuir as funções anteriores a um usuário:
Atribuir papéis usando a CLI gcloud
Para conceder o papel de administrador do Security Center a um usuário, execute o seguinte comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID --member=user:USER_EMAIL_ID --role=roles/securitycenter.adminPara conceder o papel de Leitor administrativo da Central de segurança a um usuário, execute o seguinte comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID --member=user:USER_EMAIL_ID --role=roles/securitycenter.adminViewerSubstitua:
- ORGANIZATION_ID: o ID numérico da organização
- USER_EMAIL_ID: o endereço de e-mail do usuário que precisa de acesso
Regiões compatíveis
Para conferir uma lista de regiões em que a Proteção de IA está disponível, consulte Endpoints regionais.
Acesso para contas de serviço
Verifique se as políticas da organização não bloqueiam nenhuma conta de serviço mencionada nas seções a seguir.
Configurar a proteção por IA
Faça o seguinte para ativar a Proteção de IA no nível da organização:
Premium
- Se você não ativou o Security Command Center na sua organização, clique em Ativar o Security Command Center Premium.
- Depois de ativar o nível de serviço Premium do Security Command Center, configure a Proteção de IA acessando Configurações > Gerenciar configurações no card "Proteção de IA".
- Ative a descoberta dos recursos que você quer proteger com a Proteção para IA.
- Acesse o painel de segurança de IA em Visão geral de risco > Segurança de IA.
Enterprise
- Se você ainda não ativou o Security Command Center na sua organização, clique em Ativar o Security Command Center Enterprise.
- Depois de ativar a camada de serviço Enterprise do Security Command Center, configure
a Proteção de IA usando as orientações no Guia de configuração do SCC.
Acessar o Guia de configuração
- Abra o painel de resumo Revisar recursos de segurança.
- No painel Proteção de IA, clique em Configurar.
- Siga as instruções para verificar se os serviços necessários e dependentes da Proteção de IA estão configurados. Para entender o que é ativado automaticamente e o que exige configuração adicional, consulte Ativar e configurar serviços do Google Cloud.
- Ative a descoberta dos recursos que você quer proteger com a Proteção para IA.
Ativar e configurar Google Cloud serviços
Depois de ativar o Security Command Center Premium ou Enterprise, ative e configure outros serviços doGoogle Cloud para usar todos os recursos da Proteção com IA.
Os seguintes serviços são ativados automaticamente:
- Agent Engine Threat Detection (prévia)
- Serviço de descoberta de IA
- Simulações de caminho de ataque
- Registros de auditoria do Cloud
- Cloud Monitoring
- Compliance Manager
- Event Threat Detection
- Gerenciamento da postura de segurança de dados
- Notebook Security Scanner
- Proteção de dados sensíveis
Os seguintes serviços são necessários para a Proteção com IA:
Alguns desses serviços exigem configuração adicional, conforme descrito nas seções a seguir.
Configurar o serviço de descoberta de IA
O serviço AI Discovery é ativado automaticamente como parte da
integração do Security Command Center Enterprise. O papel do IAM de leitor do Monitoring (roles/monitoring.viewer) é fornecido, mas verifique se ele está aplicado à conta de serviço da organização do Security Command Center Enterprise.
No console do Google Cloud , acesse a página IAM.
Clique em Permitir acesso.
No campo Novos principais, insira a conta de serviço da organização do Security Command Center Enterprise. A conta de serviço usa o formato
service-org-ORG_ID@security-center-api.gserviceaccount.comSubstitua ORG_ID pelo ID da sua organização.No campo Selecionar um papel, escolha Leitor do Monitoring.
Clique em Salvar.
Configurar controles avançados de nuvem do DSPM
Configure o DSPM com controles avançados de nuvem para acesso, fluxo e proteção de dados. Para mais informações, consulte Implantar controles avançados de segurança de dados na nuvem.
Ao criar um framework personalizado para cargas de trabalho de IA, inclua estes controles de nuvem:
- Governança de acesso a dados: restringe o acesso a dados sensíveis a principais específicos, como usuários ou grupos. Você especifica
principais permitidos usando a sintaxe do identificador principal do IAM v2. Por exemplo, crie uma política
para permitir que apenas membros de
gdpr-processing-team@example.comacessem recursos específicos. - Governança de fluxo de dados: restrinja o fluxo de dados a regiões específicas. Por exemplo, você pode criar uma política para permitir que os dados sejam acessados apenas dos EUA ou da UE. Você especifica os códigos de país permitidos usando o Common Locale Data Repository (CLDR) do Unicode.
- Proteção de dados (com CMEK): identifique recursos criados sem chaves de criptografia gerenciadas pelo cliente (CMEK) e receba recomendações. Por exemplo, é possível criar uma política para detectar recursos
criados sem CMEK para
storage.googleapis.comebigquery.googleapis.com. Essa política detecta recursos não criptografados, mas não impede que eles sejam criados.
Configurar o Model Armor
- Ative o serviço
modelarmor.googleapis.compara cada projeto que usa atividade de IA generativa. Para mais informações, consulte Começar a usar o Model Armor. - Configure as seguintes opções para definir as configurações de segurança para comandos e respostas de modelos de linguagem grandes (LLMs):
- Model Armor templates: crie um modelo do Model Armor. Esses modelos definem os tipos de riscos a serem detectados, como dados sensíveis, injeções de comandos e detecção de jailbreak. Eles também definem os limites mínimos para esses filtros.
- Filtros: o Model Armor usa vários filtros para identificar riscos, incluindo detecção de URLs maliciosos, detecção de jailbreak e injeção de comandos e proteção de dados sensíveis.
- Configurações mínimas: configure as configurações mínimas no nível do projeto para estabelecer a proteção padrão para todos os modelos do Gemini.
Configurar o Notebook Security Scanner
- Ative o serviço Notebook Security Scanner para sua organização. Para mais informações, consulte Ativar o Notebook Security Scanner.
- Conceda o papel de Leitor do Dataform (
roles/dataform.viewer) anotebook-security-scanner-prod@system.gserviceaccount.comem todos os projetos que contêm notebooks.
Configurar a proteção de dados sensíveis
Ative a API dlp.googleapis.com para seu projeto e configure a Proteção de Dados Sensíveis para verificar dados sensíveis.
-
Enable the Data Loss Prevention API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. Conceda os papéis
DLP ReadereDLP Data Profiles Adminaos usuários da Proteção de IA.Configure a Proteção de Dados Sensíveis para verificar se há dados sensíveis.
Opcional: configurar outros recursos de alto valor
Para criar uma configuração de valor de recurso, siga as etapas em Criar uma configuração de valor de recurso.
Quando a próxima simulação de caminho de ataque for executada, ela vai abranger o conjunto de recursos de alto valor e gerar caminhos de ataque.
Limitações
A Proteção de IA para o nível Premium do Security Command Center tem as seguintes limitações em ambientes ativados para residência de dados:
- A Proteção para IA precisa ser ativada manualmente. A Proteção com IA não verifica ameaças nem oferece proteção contra elas nesses ambientes até ser ativada.
- Não é possível acessar o painel de segurança de IA nem a página "Recursos de IA". Ambos estão desativados para esses ambientes.
Para mais informações sobre residência de dados, consulte Planejar a residência de dados.
A seguir
- Visão geral da Proteção de IA
- Gerenciamento da postura de segurança de dados
- Configurar o Model Armor
- Saiba mais sobre a Detecção de ameaças do mecanismo de agente