Mengonfigurasi Perlindungan AI

AI Protection membantu Anda mengamankan aset dan alur kerja AI dengan memantau model, data, dan infrastruktur terkait AI. Panduan ini menjelaskan cara mengonfigurasi Perlindungan AI.

Sebelum memulai

  1. Dapatkan ID organisasi Anda.
  2. Untuk membuat dan memberikan peran, pastikan Anda memiliki izin yang diperlukan, seperti peran Administrator Peran Identity and Access Management (IAM) (roles/iam.roleAdmin) dan Administrator Organisasi (roles/resourcemanager.organizationAdmin). Untuk mengetahui informasi selengkapnya, lihat indeks peran dan izin IAM.

Peran yang diperlukan

Setelah Anda menyelesaikan langkah-langkah di Sebelum memulai, ikuti langkah-langkah di salah satu bagian berikut untuk menyiapkan peran yang diperlukan untuk akses Perlindungan AI:

Peran khusus

Untuk mematuhi prinsip hak istimewa terendah, Anda dapat membuat peran IAM kustom yang hanya memberikan izin yang diperlukan untuk akses pelihat atau administrator.

Dokumen ini menunjukkan cara membuat dan memberikan peran khusus untuk Perlindungan AI.

Mengonfigurasi akses pelihat

Akses pelihat memungkinkan pengguna melihat dasbor dan data Perlindungan AI. Untuk mengonfigurasi akses pelihat, Anda membuat peran AIP Viewer kustom, lalu memberikan peran tersebut kepada pengguna.

Membuat peran khusus Pelihat AIP

Buat peran khusus yang berisi semua izin yang diperlukan untuk akses hanya baca ke AI Protection.

Konsol

  1. Di konsol Google Cloud , buka halaman Roles.

Buka Peran

  1. Klik Buat peran.
  2. Di kolom Title, masukkan AIP Viewer.
  3. Kolom ID akan terisi otomatis. Anda dapat mengubahnya secara opsional menjadi aip.viewer.
  4. Di kolom Description, masukkan Grants permissions required to view AIP dashboard and data.
  5. Tetapkan Role launch stage ke General Availability.
  6. Klik Add permissions.

  7. Filter dan pilih setiap izin berikut:

    • cloudasset.assets.exportResource
    • cloudasset.assets.searchAllIamPolicies
    • cloudasset.assets.searchAllResources
    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • cloudsecuritycompliance.controlComplianceSummaries.list
    • cloudsecuritycompliance.frameworkComplianceReports.get
    • dspm.locations.computeAggregation
    • dspm.locations.fetchLineageConnections
    • monitoring.timeSeries.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.issues.get
    • securitycenter.issues.group
    • securitycenter.issues.list
    • securitycenter.issues.listFilterValues
    • securitycenter.simulations.get
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Klik Tambahkan.

  9. Klik Create.

gcloud

  1. Di terminal, jalankan perintah gcloud berikut untuk membuat peran:
gcloud iam roles create aip.viewer \
    --organization=ORGANIZATION_ID \
    --title="AIP Viewer" \
    --description="Grants permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.exportResource,cloudasset.assets.searchAllIamPolicies,cloudasset.assets.searchAllResources,cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,cloudsecuritycompliance.controlComplianceSummaries.list,cloudsecuritycompliance.frameworkComplianceReports.get,dspm.locations.computeAggregation,dspm.locations.fetchLineageConnections,monitoring.timeSeries.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.issues.get,securitycenter.issues.group,securitycenter.issues.list,securitycenter.issues.listFilterValues,securitycenter.simulations.get,securitycenter.sources.get,securitycenter.sources.list,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Memberikan akses pelihat kepada pengguna

Setelah Anda membuat peran khusus AIP Viewer, berikan peran tersebut kepada pengguna yang memerlukan akses pelihat.

Konsol

  1. Di konsol Google Cloud , buka halaman IAM.

Buka IAM

  1. Klik Grant Access.
  2. Di kolom Akun utama baru, masukkan alamat email pengguna.
  3. Di drop-down Pilih peran, telusuri dan pilih peran khusus AIP Viewer.
  4. Klik Simpan.

gcloud

  1. Di terminal, jalankan perintah gcloud berikut:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.viewer"

Ganti kode berikut:

  • ORGANIZATION_ID: ID organisasi Anda.
  • USER_EMAIL: alamat email pengguna.

Mengonfigurasi akses administrator

Akses administrator memungkinkan pengguna mengelola fitur Perlindungan AI. Untuk mengonfigurasi akses administrator, Anda harus membuat peran kustom AIP Essentialsterlebih dahulu. Kemudian, Anda memberikan peran tersebut dan peran bawaan yang diperlukan kepada pengguna.

Membuat peran khusus AIP Essentials

Buat peran khusus yang berisi izin pendukung penting yang diperlukan untuk Perlindungan AI.

Konsol

  1. Di konsol Google Cloud , buka halaman Roles.

Buka Peran

  1. Klik Buat peran.
  2. Di kolom Title, masukkan AIP Essentials.
  3. Kolom ID akan terisi otomatis. Anda dapat mengubahnya secara opsional menjadi aip.essentials.
  4. Di kolom Description, masukkan Grants supporting permissions required to view AIP dashboard and data.
  5. Tetapkan Role launch stage ke General Availability.
  6. Klik Add permissions.

  7. Filter dan pilih setiap izin berikut:

    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.simulations.get
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Klik Tambahkan.

  9. Klik Create.

gcloud

  1. Di terminal, jalankan perintah gcloud berikut untuk membuat peran:
gcloud iam roles create aip.essentials \
    --organization=ORGANIZATION_ID \
    --title="AIP Essentials" \
    --description="Grants supporting permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.simulations.get,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Memberikan akses administrator kepada pengguna

Setelah membuat peran khusus AIP Essentials, berikan peran tersebut bersama dengan peran bawaan yang diperlukan kepada pengguna yang memerlukan akses administrator.

Konsol

  1. Di konsol Google Cloud , buka halaman IAM.

Buka IAM

  1. Klik Grant Access.
  2. Di kolom Akun utama baru, masukkan alamat email pengguna.
  3. Di drop-down Pilih peran, telusuri dan tambahkan setiap peran berikut:
    • DSPM Admin (roles/dspm.admin)
    • Model Armor Admin (roles/modelarmor.admin)
    • Model Armor Floor Settings Admin (roles/modelarmor.floorSettingsAdmin)
    • Cloud Security Compliance Admin (roles/cloudsecuritycompliance.admin)
    • Security Center Findings Viewer (roles/securityCenter.findingsViewer)
    • Monitoring Viewer (roles/monitoring.viewer)
    • Cloud Asset Viewer (roles/cloudasset.viewer)
    • Peran AIP Essentials kustom yang Anda buat.
  4. Klik Simpan.

gcloud

  1. Di terminal, jalankan perintah berikut, satu untuk setiap peran:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/dspm.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.floorSettingsAdmin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudsecuritycompliance.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/securityCenter.findingsViewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/monitoring.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudasset.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.essentials"

Ganti kode berikut:

  • ORGANIZATION_ID: ID organisasi Anda.
  • USER_EMAIL: alamat email pengguna.

Peran yang telah ditetapkan

Untuk mendapatkan izin yang diperlukan untuk mengonfigurasi AI Protection dan melihat data dasbor, minta administrator untuk memberi Anda peran IAM berikut di organisasi Anda:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Perintah Google Cloud CLI berikut dapat digunakan untuk menetapkan peran di atas kepada pengguna:

Menetapkan peran menggunakan gcloud CLI

  • Untuk memberikan peran Admin Security Center kepada pengguna, jalankan perintah berikut:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • Untuk memberikan peran Pelihat Admin Security Center kepada pengguna, jalankan perintah berikut:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi numerik
    • USER_EMAIL_ID: alamat email pengguna yang memerlukan akses

Region yang didukung

Untuk mengetahui daftar wilayah yang mendukung Perlindungan AI, lihat Endpoint regional.

Akses untuk akun layanan

Pastikan kebijakan organisasi tidak memblokir akun layanan apa pun yang disebutkan di bagian berikut.

Menyiapkan Perlindungan AI

Selesaikan langkah-langkah berikut untuk mengaktifkan AI Protection di tingkat organisasi:

Premium

  1. Jika Anda belum mengaktifkan Security Command Center di organisasi Anda, Aktifkan Security Command Center Premium.
  2. Setelah mengaktifkan paket layanan Premium Security Command Center, siapkan Perlindungan AI dengan membuka Setelan > Kelola Setelan di kartu Perlindungan AI.

    Buka setelan AI Protection

  3. Aktifkan penemuan resource yang ingin Anda lindungi dengan Perlindungan AI.
  4. Periksa dasbor keamanan AI Anda dengan membuka Ringkasan Risiko > Keamanan AI.

Enterprise

  1. Jika Anda belum mengaktifkan Security Command Center di organisasi Anda, Aktifkan Security Command Center Enterprise.
  2. Setelah mengaktifkan paket layanan Enterprise Security Command Center, siapkan Perlindungan AI menggunakan panduan di Panduan Penyiapan SCC.

    Buka Panduan penyiapan

    1. Luaskan panel ringkasan Tinjau kemampuan keamanan.
    2. Dari panel Perlindungan AI, klik Siapkan.
    3. Ikuti petunjuk untuk memeriksa apakah layanan yang diperlukan dan dependen untuk Perlindungan AI telah dikonfigurasi. Untuk memahami apa yang diaktifkan secara otomatis dan apa yang memerlukan konfigurasi tambahan, lihat Mengaktifkan dan mengonfigurasi layanan Google Cloud.
  3. Aktifkan penemuan resource yang ingin Anda lindungi dengan Perlindungan AI.

Mengaktifkan dan mengonfigurasi Google Cloud layanan

Setelah mengaktifkan Security Command Center Premium atau Enterprise, aktifkan dan konfigurasi layanan tambahan untuk menggunakan kemampuan penuh Perlindungan AI.Google Cloud

Layanan berikut diaktifkan secara otomatis:

  • Deteksi Ancaman Agent Engine (Pratinjau)
  • Layanan Penemuan AI
  • Simulasi Jalur Serangan
  • Cloud Audit Logs
  • Cloud Monitoring
  • Compliance Manager
  • Event Threat Detection
  • Pengelolaan Postur Keamanan Data
  • Notebook Security Scanner
  • Sensitive Data Protection

Layanan berikut diperlukan untuk Perlindungan AI:

Beberapa layanan ini memerlukan konfigurasi tambahan, seperti yang diuraikan di bagian berikut.

Mengonfigurasi layanan Penemuan AI

Layanan Penemuan AI diaktifkan secara otomatis sebagai bagian dari orientasi Security Command Center Enterprise. Peran IAM Monitoring Viewer (roles/monitoring.viewer) diberikan, tetapi pastikan peran tersebut diterapkan ke akun layanan organisasi Security Command Center Enterprise.

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM

  2. Klik Grant Access.

  3. Di kolom New principals, masukkan akun layanan organisasi Security Command Center Enterprise. Akun layanan menggunakan format service-org-ORG_ID@security-center-api.gserviceaccount.com Ganti ORG_ID dengan ID organisasi Anda.

  4. Di kolom Select a role, pilih Monitoring Viewer.

  5. Klik Simpan.

Mengonfigurasi kontrol cloud DSPM lanjutan

Konfigurasi DSPM dengan kontrol cloud lanjutan untuk akses, alur, dan perlindungan data. Untuk mengetahui informasi selengkapnya, lihat Men-deploy kontrol cloud keamanan data tingkat lanjut.

Saat membuat framework kustom yang berlaku untuk workload AI, sertakan kontrol cloud berikut:

  • Tata Kelola Akses Data: Membatasi akses ke data sensitif untuk akun utama tertentu, seperti pengguna atau grup. Anda menentukan akun utama yang diizinkan menggunakan sintaksis ID utama IAM v2. Misalnya, Anda dapat membuat kebijakan untuk hanya mengizinkan anggota gdpr-processing-team@example.com mengakses resource tertentu.
  • Tata Kelola Aliran Data: Membatasi aliran data ke region tertentu. Misalnya, Anda dapat membuat kebijakan untuk mengizinkan data diakses hanya dari Amerika Serikat atau Uni Eropa. Anda menentukan kode negara yang diizinkan menggunakan Unicode Common Locale Data Repository (CLDR).
  • Perlindungan Data (dengan CMEK): Identifikasi resource yang dibuat tanpa kunci enkripsi yang dikelola pelanggan (CMEK) dan terima rekomendasi. Misalnya, Anda dapat membuat kebijakan untuk mendeteksi resource yang dibuat tanpa CMEK untuk storage.googleapis.com dan bigquery.googleapis.com. Kebijakan ini mendeteksi aset yang tidak dienkripsi, tetapi tidak mencegah aset tersebut dibuat.

Konfigurasi Model Armor

  1. Aktifkan layanan modelarmor.googleapis.com untuk setiap project yang menggunakan aktivitas AI generatif. Untuk mengetahui informasi selengkapnya, lihat Mulai menggunakan Model Armor.
  2. Konfigurasi setelan berikut untuk menentukan setelan keamanan dan keselamatan bagi perintah dan respons model bahasa besar (LLM):
    • Template Model Armor: Buat template Model Armor. Template ini menentukan jenis risiko yang akan dideteksi, seperti data sensitif, injeksi perintah, dan deteksi pelarian dari batasan. Mereka juga menentukan nilai minimum untuk filter tersebut.
    • Filter: Model Armor menggunakan berbagai filter untuk mengidentifikasi risiko, termasuk deteksi URL berbahaya, deteksi injeksi perintah dan jailbreak, serta perlindungan data sensitif.
    • Setelan minimum: Konfigurasi setelan minimum tingkat project untuk menetapkan perlindungan default bagi semua model Gemini.

Mengonfigurasi Notebook Security Scanner

  1. Aktifkan layanan Notebook Security Scanner untuk organisasi Anda. Untuk informasi selengkapnya, lihat Mengaktifkan Notebook Security Scanner.
  2. Berikan peran Dataform Viewer (roles/dataform.viewer) kepada notebook-security-scanner-prod@system.gserviceaccount.com di semua project yang berisi Notebook.

Mengonfigurasi Perlindungan Data Sensitif

Aktifkan dlp.googleapis.com API untuk project Anda dan konfigurasi Sensitive Data Protection untuk memindai data sensitif.

  1. Enable the Data Loss Prevention API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  2. Berikan peran DLP Reader dan DLP Data Profiles Admin kepada pengguna Perlindungan AI.

  3. Konfigurasi Sensitive Data Protection untuk memindai data sensitif.

Opsional: Mengonfigurasi resource bernilai tinggi tambahan

Untuk membuat konfigurasi nilai resource, ikuti langkah-langkah dalam Membuat konfigurasi nilai resource.

Saat simulasi jalur serangan berikutnya dijalankan, simulasi tersebut akan mencakup kumpulan resource bernilai tinggi dan membuat jalur serangan.

Batasan

Premium

Perlindungan AI untuk paket Premium Security Command Center memiliki batasan berikut untuk lingkungan yang diaktifkan untuk residensi data:

  • Perlindungan AI memerlukan aktivasi manual. Perlindungan AI tidak memindai ancaman atau memberikan perlindungan ancaman untuk lingkungan ini hingga diaktifkan.
  • Anda tidak dapat mengakses dasbor Keamanan AI atau halaman Aset AI. Keduanya dinonaktifkan untuk lingkungan ini.

Untuk mengetahui informasi selengkapnya tentang residensi data, lihat Merencanakan residensi data.

Langkah berikutnya