KI-Schutz konfigurieren

Mit AI Protection können Sie Ihre KI-Assets und ‑Workflows schützen, indem Sie Ihre Modelle, Daten und KI-bezogene Infrastruktur überwachen. In diesem Leitfaden wird beschrieben, wie Sie AI Protection konfigurieren.

Hinweise

  1. Ermitteln Sie Ihre Organisations-ID.
  2. Damit Sie Rollen erstellen und zuweisen können, benötigen Sie die erforderlichen Berechtigungen, z. B. die Rollen „IAM-Rollenadministrator“ (roles/iam.roleAdmin) und „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin). Weitere Informationen finden Sie im Index für IAM-Rollen und -Berechtigungen.

Erforderliche Rollen

Nachdem Sie die Schritte unter Vorbereitung ausgeführt haben, folgen Sie der Anleitung in einem der folgenden Abschnitte, um die erforderlichen Rollen für den Zugriff auf AI Protection einzurichten:

Benutzerdefinierte Rollen

Um das Prinzip der geringsten Berechtigung einzuhalten, können Sie benutzerdefinierte IAM-Rollen erstellen, die nur die erforderlichen Berechtigungen für den Betrachter- oder Administratorzugriff gewähren.

In diesem Dokument wird beschrieben, wie Sie benutzerdefinierte Rollen für AI Protection erstellen und zuweisen.

Betrachterzugriff konfigurieren

Mit dem Zugriff als Betrachter kann ein Nutzer das AI Protection-Dashboard und die Daten ansehen. Um den Zuschauerzugriff zu konfigurieren, erstellen Sie eine benutzerdefinierte AIP Viewer-Rolle und weisen sie dann einem Nutzer zu.

Benutzerdefinierte Rolle „AIP Viewer“ erstellen

Erstellen Sie eine benutzerdefinierte Rolle, die alle Berechtigungen enthält, die für den schreibgeschützten Zugriff auf AI Protection erforderlich sind.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Rollen auf.

Zu Rollen

  1. Klicken Sie auf Rolle erstellen.
  2. Geben Sie im Feld Titel AIP Viewer ein.
  3. Das Feld ID wird automatisch ausgefüllt. Optional können Sie sie in aip.viewer ändern.
  4. Geben Sie im Feld Beschreibung den Text Grants permissions required to view AIP dashboard and data ein.
  5. Legen Sie die Rollenstartphase auf Allgemeine Verfügbarkeit fest.
  6. Klicken Sie auf Berechtigungen hinzufügen.

  7. Filtern Sie nach den folgenden Berechtigungen und wählen Sie sie aus:

    • cloudasset.assets.exportResource
    • cloudasset.assets.searchAllIamPolicies
    • cloudasset.assets.searchAllResources
    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • cloudsecuritycompliance.controlComplianceSummaries.list
    • cloudsecuritycompliance.frameworkComplianceReports.get
    • dspm.locations.computeAggregation
    • dspm.locations.fetchLineageConnections
    • monitoring.timeSeries.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.issues.get
    • securitycenter.issues.group
    • securitycenter.issues.list
    • securitycenter.issues.listFilterValues
    • securitycenter.simulations.get
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Klicken Sie auf Hinzufügen.

  9. Klicken Sie auf Erstellen.

gcloud

  1. Führen Sie in einem Terminal den folgenden gcloud-Befehl aus, um die Rolle zu erstellen:
gcloud iam roles create aip.viewer \
    --organization=ORGANIZATION_ID \
    --title="AIP Viewer" \
    --description="Grants permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.exportResource,cloudasset.assets.searchAllIamPolicies,cloudasset.assets.searchAllResources,cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,cloudsecuritycompliance.controlComplianceSummaries.list,cloudsecuritycompliance.frameworkComplianceReports.get,dspm.locations.computeAggregation,dspm.locations.fetchLineageConnections,monitoring.timeSeries.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.issues.get,securitycenter.issues.group,securitycenter.issues.list,securitycenter.issues.listFilterValues,securitycenter.simulations.get,securitycenter.sources.get,securitycenter.sources.list,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

Nutzer Lesezugriff gewähren

Nachdem Sie die benutzerdefinierte Rolle AIP Viewer erstellt haben, weisen Sie sie Nutzern zu, die Zugriff als Betrachter benötigen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

IAM aufrufen

  1. Klicken Sie auf Zugriff gewähren.
  2. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers ein.
  3. Suchen Sie im Drop-down-Menü Rolle auswählen nach der benutzerdefinierten Rolle AIP-Betrachter und wählen Sie sie aus.
  4. Klicken Sie auf Speichern.

gcloud

  1. Führen Sie in einem Terminal den folgenden gcloud-Befehl aus:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.viewer"

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Ihre Organisations-ID.
  • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

Administratorzugriff konfigurieren

Mit Administratorzugriff kann ein Nutzer KI-Schutzfunktionen verwalten. Um den Administratorzugriff zu konfigurieren, erstellen Sie zuerst die benutzerdefinierte Rolle AIP Essentials. Weisen Sie einem Nutzer dann diese Rolle und die erforderlichen vordefinierten Rollen zu.

Benutzerdefinierte Rolle für AIP Essentials erstellen

Erstellen Sie eine benutzerdefinierte Rolle, die die erforderlichen Berechtigungen für AI Protection enthält.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Rollen auf.

Zu Rollen

  1. Klicken Sie auf Rolle erstellen.
  2. Geben Sie im Feld Titel AIP Essentials ein.
  3. Das Feld ID wird automatisch ausgefüllt. Optional können Sie sie in aip.essentials ändern.
  4. Geben Sie im Feld Beschreibung den Text Grants supporting permissions required to view AIP dashboard and data ein.
  5. Legen Sie die Rollenstartphase auf Allgemeine Verfügbarkeit fest.
  6. Klicken Sie auf Berechtigungen hinzufügen.

  7. Filtern Sie nach den folgenden Berechtigungen und wählen Sie sie aus:

    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.simulations.get
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Klicken Sie auf Hinzufügen.

  9. Klicken Sie auf Erstellen.

gcloud

  1. Führen Sie in einem Terminal den folgenden gcloud-Befehl aus, um die Rolle zu erstellen:
gcloud iam roles create aip.essentials \
    --organization=ORGANIZATION_ID \
    --title="AIP Essentials" \
    --description="Grants supporting permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.simulations.get,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

Einem Nutzer Administratorzugriff gewähren

Nachdem Sie die benutzerdefinierte Rolle AIP Essentials erstellt haben, weisen Sie sie zusammen mit den erforderlichen vordefinierten Rollen Nutzern zu, die Administratorzugriff benötigen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

IAM aufrufen

  1. Klicken Sie auf Zugriff gewähren.
  2. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers ein.
  3. Suchen Sie im Drop-down-Menü Rolle auswählen nach den folgenden Rollen und fügen Sie sie hinzu:
    • DSPM Admin (roles/dspm.admin)
    • Model Armor Admin (roles/modelarmor.admin)
    • Model Armor Floor Settings Admin (roles/modelarmor.floorSettingsAdmin)
    • Cloud Security Compliance Admin (roles/cloudsecuritycompliance.admin)
    • Security Center Findings Viewer (roles/securityCenter.findingsViewer)
    • Monitoring Viewer (roles/monitoring.viewer)
    • Cloud Asset Viewer (roles/cloudasset.viewer)
    • Die benutzerdefinierte Rolle AIP Essentials, die Sie erstellt haben.
  4. Klicken Sie auf Speichern.

gcloud

  1. Führen Sie in einem Terminal die folgenden Befehle für jede Rolle aus:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/dspm.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.floorSettingsAdmin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudsecuritycompliance.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/securityCenter.findingsViewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/monitoring.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudasset.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.essentials"

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Ihre Organisations-ID.
  • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

Vordefinierte Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von AI Protection und zum Aufrufen von Dashboarddaten benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Mit den folgenden Google Cloud CLI-Befehlen können Sie einem Nutzer die oben genannten Rollen zuweisen:

Rollen mit der gcloud CLI zuweisen

  • Führen Sie den folgenden Befehl aus, um einem Nutzer die Rolle „Security Center-Administrator“ zuzuweisen:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • Führen Sie den folgenden Befehl aus, um einem Nutzer die Rolle „Security Center Admin Viewer“ zuzuweisen:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: die numerische Organisations-ID
    • USER_EMAIL_ID: die E-Mail-Adresse des Nutzers, der Zugriff benötigt

Unterstützte Regionen

Eine Liste der Regionen, in denen AI Protection unterstützt wird, finden Sie unter Regionale Endpunkte.

Zugriff für Dienstkonten

Achten Sie darauf, dass Organisationsrichtlinien keine Dienstkonten blockieren, die in den folgenden Abschnitten erwähnt werden.

KI-Schutz einrichten

So aktivieren Sie den KI-Schutz auf Organisationsebene:

Premium

  1. Wenn Sie Security Command Center in Ihrer Organisation noch nicht aktiviert haben, aktivieren Sie Security Command Center Premium.
  2. Nachdem Sie die Premium-Stufe von Security Command Center aktiviert haben, richten Sie AI Protection ein, indem Sie auf der Karte „AI Protection“ zu Einstellungen > Einstellungen verwalten gehen.

    Zu den Einstellungen für AI Protection

  3. Aktivieren Sie die Erkennung der Ressourcen, die Sie mit AI Protection schützen möchten.
  4. Rufen Sie das Dashboard für KI-Sicherheit auf, indem Sie zu Risikoübersicht > KI-Sicherheit gehen.

Unternehmen

  1. Wenn Sie Security Command Center in Ihrer Organisation noch nicht aktiviert haben, aktivieren Sie Security Command Center Enterprise.
  2. Nachdem Sie die Enterprise-Dienststufe von Security Command Center aktiviert haben, richten Sie AI Protection anhand der Anleitung im SCC-Einrichtungsleitfaden ein.

    Zum Einrichtungsleitfaden

    1. Maximieren Sie den Zusammenfassungsbereich Sicherheitsfunktionen prüfen.
    2. Klicken Sie im Bereich KI-Schutz auf Einrichten.
    3. Folgen Sie der Anleitung, um zu prüfen, ob die erforderlichen und abhängigen Dienste für AI Protection konfiguriert sind. Informationen dazu, was automatisch aktiviert wird und was eine zusätzliche Konfiguration erfordert, finden Sie unter Dienste aktivieren und konfigurieren. Google Cloud
  3. Aktivieren Sie die Erkennung der Ressourcen, die Sie mit AI Protection schützen möchten.

Google Cloud Dienste aktivieren und konfigurieren

Nachdem Sie Security Command Center Premium oder Enterprise aktiviert haben, aktivieren und konfigurieren Sie zusätzlicheGoogle Cloud -Dienste, um die vollständigen Funktionen von AI Protection zu nutzen.

Die folgenden Dienste werden automatisch aktiviert:

  • Agent Engine Threat Detection (Vorschau)
  • AI Discovery-Dienst
  • Angriffspfadsimulationen
  • Cloud-Audit-Logs
  • Cloud Monitoring
  • Compliance-Manager
  • Event Threat Detection
  • Verwaltung des Datensicherheitsstatus
  • Notebook Security Scanner
  • Sensitive Data Protection

Für AI Protection sind die folgenden Dienste erforderlich:

Für einige dieser Dienste ist eine zusätzliche Konfiguration erforderlich, wie in den folgenden Abschnitten beschrieben.

AI Discovery-Dienst konfigurieren

Der AI Discovery-Dienst wird automatisch im Rahmen der Einrichtung von Security Command Center Enterprise aktiviert. Die IAM-Rolle „Monitoring-Betrachter“ (roles/monitoring.viewer) ist vorhanden. Prüfen Sie jedoch, ob sie auf das Dienstkonto der Security Command Center Enterprise-Organisation angewendet wird.

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf Zugriff gewähren.

  3. Geben Sie im Feld Neue Hauptkonten das Dienstkonto der Security Command Center Enterprise-Organisation ein. Das Dienstkonto hat das Format service-org-ORG_ID@security-center-api.gserviceaccount.com. Ersetzen Sie ORG_ID durch Ihre Organisations-ID.

  4. Wählen Sie im Feld Rolle auswählen die Option Monitoring-Betrachter aus.

  5. Klicken Sie auf Speichern.

Erweiterte Cloud-Kontrollen für die Datensicherheitsstatus-Verwaltung konfigurieren

Konfigurieren Sie die Verwaltung des Datensicherheitsstatus mit erweiterten Cloud-Kontrollen für Datenzugriff, ‑fluss und ‑schutz. Weitere Informationen finden Sie unter Erweiterte Cloud-Sicherheitsfunktionen für Daten bereitstellen.

Wenn Sie ein benutzerdefiniertes Framework für KI-Arbeitslasten erstellen, sollten Sie die folgenden Cloud-Kontrollen einbeziehen:

  • Data Access Governance: Beschränken Sie den Zugriff auf sensible Daten auf bestimmte Hauptkonten wie Nutzer oder Gruppen. Sie geben zulässige Hauptkonten mit der IAM v2-Hauptkonto-ID-Syntax an. Sie können beispielsweise eine Richtlinie erstellen, die nur Mitgliedern von gdpr-processing-team@example.com den Zugriff auf bestimmte Ressourcen erlaubt.
  • Data Flow Governance: Beschränken Sie den Datenfluss auf bestimmte Regionen. Sie können beispielsweise eine Richtlinie erstellen, die den Zugriff auf Daten nur aus den USA oder der EU zulässt. Sie geben die zulässigen Ländercodes mit dem Unicode Common Locale Data Repository (CLDR) an.
  • Datenschutz (mit CMEK): Ressourcen, die ohne kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) erstellt wurden, identifizieren und Empfehlungen erhalten. Sie können beispielsweise eine Richtlinie erstellen, um Ressourcen zu erkennen, die ohne CMEK für storage.googleapis.com und bigquery.googleapis.com erstellt wurden. Mit dieser Richtlinie werden unverschlüsselte Assets erkannt, aber ihre Erstellung wird nicht verhindert.

Model Armor konfigurieren

  1. Aktivieren Sie den Dienst modelarmor.googleapis.com für jedes Projekt, in dem generative KI verwendet wird. Weitere Informationen finden Sie unter Erste Schritte mit Model Armor.
  2. Konfigurieren Sie die folgenden Einstellungen, um Sicherheits- und Schutzmaßnahmen für Prompts und Antworten von Large Language Models (LLMs) festzulegen:
    • Model Armor-Vorlagen: Erstellen Sie eine Model Armor-Vorlage. In diesen Vorlagen wird festgelegt, welche Arten von Risiken erkannt werden sollen, z. B. sensible Daten, Prompt-Injections und Jailbreak-Erkennung. Außerdem werden die Mindestschwellenwerte für diese Filter definiert.
    • Filter: Model Armor verwendet verschiedene Filter, um Risiken zu erkennen, darunter die Erkennung schädlicher URLs, die Erkennung von Prompt Injection und Jailbreaking sowie die Erkennung sensibler Daten.
    • Mindesteinstellungen: Konfigurieren Sie die Mindesteinstellungen auf Projektebene, um den Standardschutz für alle Gemini-Modelle festzulegen.

Notebook Security Scanner konfigurieren

  1. Aktivieren Sie den Notebook Security Scanner-Dienst für Ihre Organisation. Weitere Informationen finden Sie unter Notebook Security Scanner aktivieren.
  2. Weisen Sie notebook-security-scanner-prod@system.gserviceaccount.com in allen Projekten, die Notebooks enthalten, die Rolle „Dataform-Betrachter“ (roles/dataform.viewer) zu.

Schutz sensibler Daten konfigurieren

Aktivieren Sie die dlp.googleapis.com API für Ihr Projekt und konfigurieren Sie Sensitive Data Protection, um nach sensiblen Daten zu suchen.

  1. Enable the Data Loss Prevention API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  2. Weisen Sie AI Protection-Nutzern die Rollen DLP Reader und DLP Data Profiles Admin zu.

  3. Sensitive Data Protection konfigurieren, um nach sensiblen Daten zu suchen.

Optional: Zusätzliche wertvolle Ressourcen konfigurieren

Konfiguration für den Wert von Ressourcen erstellen

Bei der nächsten Angriffspfadsimulation wird die Gruppe hochwertiger Ressourcen abgedeckt und es werden Angriffspfade generiert.

Beschränkungen

Für Umgebungen, für die der Datenstandort aktiviert ist, gelten für AI Protection für die Premium-Stufe von Security Command Center die folgenden Einschränkungen:

  • Der KI-Schutz muss manuell aktiviert werden. AI Protection scannt diese Umgebungen erst nach der Aktivierung auf Bedrohungen und bietet erst dann Schutz vor Bedrohungen.
  • Sie können nicht auf das AI Security-Dashboard oder die Seite „AI Assets“ zugreifen. Beide sind für diese Umgebungen deaktiviert.

Weitere Informationen zum Datenstandort finden Sie unter Datenstandort planen.

Nächste Schritte