設定 AI 保護

AI Protection 會監控模型、資料和 AI 相關基礎架構,協助您保護 AI 資產和工作流程。本指南說明如何設定 AI 保護功能。

事前準備

  1. 取得機構 ID。
  2. 如要建立及授予角色,請確認您具備必要權限,例如 Identity and Access Management (IAM) 角色管理員 (roles/iam.roleAdmin) 和組織管理員 (roles/resourcemanager.organizationAdmin) 角色。詳情請參閱「IAM 角色和權限索引」。

必要的角色

完成「事前準備」一節中的步驟後,請按照下列其中一節的步驟,設定 AI 保護功能存取權的必要角色:

自訂角色

為遵守最小權限原則,您可以建立自訂 IAM 角色,只授予檢視者或管理員存取權的必要權限。

本文說明如何建立及授予 AI 保護功能自訂角色。

設定檢視者存取權

檢視者存取權可讓使用者查看 AI 保護資訊主頁和資料。如要設定檢視者存取權,請建立自訂 AIP Viewer 角色,然後將該角色授予使用者。

建立 AIP 檢視者自訂角色

建立自訂角色,其中包含 AI 保護功能唯讀存取權所需的所有權限。

控制台

  1. 前往 Google Cloud 控制台的「Roles」(角色) 頁面。

前往「Roles」(角色)

  1. 按一下「建立角色」
  2. 在「Title」(名稱)欄位中,輸入 AIP Viewer
  3. 系統會自動填入「ID」欄位。你也可以選擇變更為「aip.viewer」。
  4. 在「Description」(說明) 欄位輸入 Grants permissions required to view AIP dashboard and data
  5. 將「角色推出階段」設為「正式發布」
  6. 按一下「Add permissions」。

  7. 篩選並選取下列各項權限:

    • cloudasset.assets.exportResource
    • cloudasset.assets.searchAllIamPolicies
    • cloudasset.assets.searchAllResources
    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • cloudsecuritycompliance.controlComplianceSummaries.list
    • cloudsecuritycompliance.frameworkComplianceReports.get
    • dspm.locations.computeAggregation
    • dspm.locations.fetchLineageConnections
    • monitoring.timeSeries.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.issues.get
    • securitycenter.issues.group
    • securitycenter.issues.list
    • securitycenter.issues.listFilterValues
    • securitycenter.simulations.get
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. 按一下「新增」。

  9. 點選「建立」

gcloud

  1. 在終端機中執行下列 gcloud 指令,建立角色:
gcloud iam roles create aip.viewer \
    --organization=ORGANIZATION_ID \
    --title="AIP Viewer" \
    --description="Grants permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.exportResource,cloudasset.assets.searchAllIamPolicies,cloudasset.assets.searchAllResources,cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,cloudsecuritycompliance.controlComplianceSummaries.list,cloudsecuritycompliance.frameworkComplianceReports.get,dspm.locations.computeAggregation,dspm.locations.fetchLineageConnections,monitoring.timeSeries.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.issues.get,securitycenter.issues.group,securitycenter.issues.list,securitycenter.issues.listFilterValues,securitycenter.simulations.get,securitycenter.sources.get,securitycenter.sources.list,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

請將 ORGANIZATION_ID 替換成組織 ID。

將檢視權限授予使用者

建立 AIP Viewer 自訂角色後,請將該角色授予需要檢視者存取權的使用者。

控制台

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

前往「IAM」(身分與存取權管理) 頁面

  1. 點選「授予存取權」。
  2. 在「New principals」(新增主體) 欄位中,輸入使用者的電子郵件地址。
  3. 在「Select a role」(請選擇角色) 下拉式選單中,搜尋並選取「AIP Viewer」(AIP 檢視者) 自訂角色。
  4. 按一下 [儲存]

gcloud

  1. 在終端機中執行下列 gcloud 指令:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.viewer"

更改下列內容:

  • ORGANIZATION_ID: 您的機構 ID。
  • USER_EMAIL:使用者的電子郵件地址。

設定管理員存取權

管理員存取權可讓使用者管理 AI 防護功能。 如要設定管理員存取權,請先建立AIP Essentials自訂角色。然後將該角色和必要的預先定義角色授予使用者。

建立 AIP Essentials 自訂角色

建立自訂角色,並加入 AI 保護功能所需的必要支援權限。

控制台

  1. 前往 Google Cloud 控制台的「Roles」(角色) 頁面。

前往「Roles」(角色)

  1. 按一下「建立角色」
  2. 在「Title」(名稱)欄位中,輸入 AIP Essentials
  3. 系統會自動填入「ID」欄位。你也可以選擇變更為「aip.essentials」。
  4. 在「Description」(說明) 欄位輸入 Grants supporting permissions required to view AIP dashboard and data
  5. 將「角色推出階段」設為「正式發布」
  6. 按一下「Add permissions」。

  7. 篩選並選取下列各項權限:

    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.simulations.get
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. 按一下「新增」。

  9. 點選「建立」

gcloud

  1. 在終端機中執行下列 gcloud 指令,建立角色:
gcloud iam roles create aip.essentials \
    --organization=ORGANIZATION_ID \
    --title="AIP Essentials" \
    --description="Grants supporting permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.simulations.get,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

請將 ORGANIZATION_ID 替換成組織 ID。

將管理員存取權授予使用者

建立AIP Essentials自訂角色後,請將該角色和必要的預先定義角色授予需要管理員存取權的使用者。

控制台

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

前往「IAM」(身分與存取權管理) 頁面

  1. 點選「授予存取權」。
  2. 在「New principals」(新增主體) 欄位中,輸入使用者的電子郵件地址。
  3. 在「Select a role」(選取角色) 下拉式選單中,搜尋並新增下列每個角色:
    • DSPM Admin (roles/dspm.admin)
    • Model Armor Admin (roles/modelarmor.admin)
    • Model Armor Floor Settings Admin (roles/modelarmor.floorSettingsAdmin)
    • Cloud Security Compliance Admin (roles/cloudsecuritycompliance.admin)
    • Security Center Findings Viewer (roles/securityCenter.findingsViewer)
    • Monitoring Viewer (roles/monitoring.viewer)
    • Cloud Asset Viewer (roles/cloudasset.viewer)
    • 您建立的自訂 AIP Essentials 角色。
  4. 按一下 [儲存]

gcloud

  1. 在終端機中,針對每個角色執行下列指令:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/dspm.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.floorSettingsAdmin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudsecuritycompliance.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/securityCenter.findingsViewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/monitoring.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudasset.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.essentials"

更改下列內容:

  • ORGANIZATION_ID: 您的機構 ID。
  • USER_EMAIL:使用者的電子郵件地址。

預先定義的角色

如要取得設定 AI 保護功能及查看資訊主頁資料所需的權限,請要求管理員在貴機構中授予下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

您可以使用下列 Google Cloud CLI 指令,將上述角色指派給使用者:

使用 gcloud CLI 指派角色

  • 如要將安全中心管理員角色授予使用者,請執行下列指令:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • 如要將安全中心管理員檢視者角色授予使用者,請執行下列指令:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    更改下列內容:

    • ORGANIZATION_ID:組織的數字 ID
    • USER_EMAIL_ID:需要存取權的使用者電子郵件地址

支援的地區

如要查看支援 AI 保護機制的區域清單,請參閱「區域端點」。

服務帳戶的存取權

請確認機構政策不會封鎖下列章節中提及的任何服務帳戶。

設定 AI Protection

如要在機構層級啟用 AI Protection,請完成下列步驟:

Premium

  1. 如果貴機構尚未啟用 Security Command Center,請啟用 Security Command Center Premium
  2. 啟用 Security Command Center Premium 服務層級後,請前往「設定」>「管理設定」,在 AI Protection 卡片上設定 AI Protection。

    前往 AI 保護設定

  3. 啟用探索功能,找出要透過 AI Protection 保護的資源。
  4. 如要查看 AI 安全性資訊主頁,請依序前往「風險總覽」>「AI 安全性」

企業版

  1. 如果尚未在貴機構啟用 Security Command Center,請啟用 Security Command Center Enterprise
  2. 啟用 Security Command Center Enterprise 服務層級後,請按照 SCC 設定指南中的指引設定 AI 保護功能。

    前往設定指南

    1. 展開「查看安全功能」摘要面板。
    2. 在「AI 保護」面板中,按一下「設定」
    3. 按照指示檢查是否已設定 AI 保護功能所需的依附服務。如要瞭解系統自動啟用的服務,以及需要額外設定的服務,請參閱「啟用及設定 Google Cloud服務」。
  3. 啟用探索功能,找出要透過 AI Protection 保護的資源。

啟用及設定 Google Cloud 服務

啟用 Security Command Center Premium 或 Enterprise 之後,請啟用及設定其他Google Cloud 服務,充分運用 AI Protection 的功能。

系統會自動啟用下列服務:

  • Agent Engine Threat Detection (預先發布版)
  • AI 探索服務
  • 攻擊路徑模擬
  • Cloud 稽核記錄
  • Cloud Monitoring
  • Compliance Manager
  • Event Threat Detection
  • Data Security Posture Management
  • Notebook Security Scanner
  • Sensitive Data Protection

AI Protection 需要下列服務:

部分服務需要額外設定,詳情請參閱下列各節。

設定 AI 探索服務

系統會在您開始使用 Security Command Center Enterprise 時,自動啟用 AI Discovery 服務。系統會提供「監控檢視者」(roles/monitoring.viewer) IAM 角色,但請確認該角色已套用至 Security Command Center Enterprise 組織服務帳戶。

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」(身分與存取權管理) 頁面

  2. 點選「授予存取權」。

  3. 在「新增主體」欄位中,輸入 Security Command Center Enterprise 機構服務帳戶。服務帳戶的格式為 service-org-ORG_ID@security-center-api.gserviceaccount.com 請將 ORG_ID 替換為您的組織 ID。

  4. 在「Select a role」(選取角色) 欄位中,選取「Monitoring Viewer」(監控檢視者)

  5. 按一下 [儲存]

設定進階 DSPM 雲端控管機制

透過進階雲端控制項設定 DSPM,控管資料存取權、流程和保護措施。詳情請參閱「部署進階資料安全雲端控制項」。

建立適用於 AI 工作負載的自訂架構時,請加入下列雲端控管機制:

  • 資料存取控管:限制特定主體 (例如使用者或群組) 存取機密資料。您可以使用 IAM v2 主體 ID 語法指定允許的主體。舉例來說,您可以建立政策,只允許 gdpr-processing-team@example.com 的成員存取特定資源。
  • 資料流控管:將資料流限制在特定區域。舉例來說,您可以建立政策,只允許從美國或歐盟存取資料。您可以使用 Unicode Common Locale Data Repository (CLDR) 指定允許的國家/地區代碼。
  • 資料保護 (使用 CMEK):找出未採用客戶自行管理的加密金鑰 (CMEK) 建立的資源,並接收相關建議。舉例來說,您可以建立政策,偵測在沒有 storage.googleapis.combigquery.googleapis.com 的 CMEK 情況下建立的資源。這項政策會偵測未加密的資產,但不會禁止建立這類資產。

設定 Model Armor

  1. 為使用生成式 AI 活動的每個專案啟用 modelarmor.googleapis.com 服務。詳情請參閱「開始使用 Model Armor」。
  2. 設定下列選項,定義大型語言模型 (LLM) 提示和回覆的安全設定:
    • Model Armor 範本:建立 Model Armor 範本。這些範本會定義要偵測的風險類型,例如敏感資料、提示注入和越獄偵測。並為這些篩選條件定義最低門檻。
    • 篩選器:Model Armor 會使用各種篩選器來識別風險,包括偵測惡意網址、提示詞注入和越獄,以及保護私密/機密資料。
    • 底限設定:設定專案層級的底限設定,為所有 Gemini 模型建立預設保護措施。

設定 Notebook Security Scanner

  1. 為貴機構啟用 Notebook Security Scanner 服務。詳情請參閱「啟用 Notebook Security Scanner」。
  2. 在包含 Notebook 的所有專案中,將 Dataform 檢視者角色 (roles/dataform.viewer) 授予 notebook-security-scanner-prod@system.gserviceaccount.com

設定 Sensitive Data Protection

為專案啟用 dlp.googleapis.com API,並設定 Sensitive Data Protection 掃描機密資料。

  1. Enable the Data Loss Prevention API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  2. DLP ReaderDLP Data Profiles Admin 角色授予 AI 保護功能使用者。

  3. 設定 Sensitive Data Protection 掃描機密資料。

選用:設定其他高價值資源

如要建立資源值設定,請按照「建立資源值設定」一文中的步驟操作。

下次執行攻擊路徑模擬時,系統會涵蓋高價值資源集,並產生攻擊路徑。

限制

如果環境已啟用資料落地功能,Security Command Center Premium 級的 AI 保護功能會有下列限制:

  • AI 保護功能需要手動啟用。啟用前,AI 保護功能不會掃描這些環境中的威脅,也不會提供威脅防護。
  • 您無法存取 AI 安全性資訊主頁或 AI 資產頁面。這兩種功能在這些環境中都會停用。

如要進一步瞭解資料落地,請參閱「規劃資料落地」。

後續步驟