Configurar a proteção de IA

A proteção para IA ajuda a proteger seus recursos e fluxos de trabalho de IA monitorando modelos, dados e infraestrutura relacionada à IA. Neste guia, descrevemos como configurar a proteção para IA.

Antes de começar

  1. Consiga o ID da organização.
  2. Para criar e conceder papéis, verifique se você tem as permissões necessárias, como administrador de papéis do Identity and Access Management (IAM) (roles/iam.roleAdmin) e Administrador da organização (roles/resourcemanager.organizationAdmin). Para mais informações, consulte o índice de papéis e permissões do IAM.

Funções exigidas

Depois de concluir as etapas em Antes de começar, siga as etapas em uma das seções a seguir para configurar as funções necessárias para acesso à proteção para IA:

Papéis personalizados

Para aderir ao princípio de privilégio mínimo, crie papéis personalizados do IAM que concedam apenas as permissões necessárias para acesso de leitores ou administradores.

Este documento mostra como criar e conceder papéis personalizados para a proteção para IA.

Configurar o acesso de leitor

Com o acesso de leitor, um usuário pode ver o painel e os dados da proteção para IA. Para configurar o acesso de visualização, crie uma função personalizada AIP Viewer e conceda essa função a um usuário.

Criar a função personalizada AIP Viewer

Crie uma função personalizada que contenha todas as permissões necessárias para acesso somente leitura à proteção para IA.

Console

  1. No Google Cloud console, acesse a página Papéis.

Acessar "Papéis"

  1. Clique em Criar papel.
  2. No campo Título, insira AIP Viewer.
  3. O campo ID é preenchido automaticamente. Se quiser, mude para aip.viewer.
  4. No campo Descrição, use Grants permissions required to view AIP dashboard and data.
  5. Defina o Estágio de lançamento do papel como Disponibilidade geral.
  6. Clique em Adicionar permissões

  7. Filtre e selecione cada uma das seguintes permissões:

    • cloudasset.assets.exportResource
    • cloudasset.assets.searchAllIamPolicies
    • cloudasset.assets.searchAllResources
    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • cloudsecuritycompliance.controlComplianceSummaries.list
    • cloudsecuritycompliance.frameworkComplianceReports.get
    • dspm.locations.computeAggregation
    • dspm.locations.fetchLineageConnections
    • monitoring.timeSeries.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.issues.get
    • securitycenter.issues.group
    • securitycenter.issues.list
    • securitycenter.issues.listFilterValues
    • securitycenter.simulations.get
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Clique em Adicionar.

  9. Clique em Criar.

gcloud

  1. Em um terminal, execute o seguinte comando gcloud para criar a função:
gcloud iam roles create aip.viewer \
    --organization=ORGANIZATION_ID \
    --title="AIP Viewer" \
    --description="Grants permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.exportResource,cloudasset.assets.searchAllIamPolicies,cloudasset.assets.searchAllResources,cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,cloudsecuritycompliance.controlComplianceSummaries.list,cloudsecuritycompliance.frameworkComplianceReports.get,dspm.locations.computeAggregation,dspm.locations.fetchLineageConnections,monitoring.timeSeries.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.issues.get,securitycenter.issues.group,securitycenter.issues.list,securitycenter.issues.listFilterValues,securitycenter.simulations.get,securitycenter.sources.get,securitycenter.sources.list,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

SubstituaORGANIZATION_ID pelo ID da organização.

Conceder acesso de leitura a um usuário

Depois de criar a função personalizada AIP Viewer, conceda-a aos usuários que precisam de acesso de visualização.

Console

  1. No console do Google Cloud , acesse a página IAM.

Acessar IAM

  1. Clique em Permitir acesso.
  2. No campo Novos principais, insira o endereço de e-mail do usuário.
  3. No menu suspenso Selecionar um papel, pesquise e selecione a função personalizada Leitor da AIP.
  4. Clique em Salvar.

gcloud

  1. Em um terminal, execute o seguinte comando gcloud:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.viewer"

Substitua:

  • ORGANIZATION_ID: o ID da sua organização.
  • USER_EMAIL: o endereço de e-mail do usuário.

Configurar o acesso de administrador

O acesso de administrador permite que um usuário gerencie os recursos de proteção para IA. Para configurar o acesso de administrador, primeiro crie a função personalizada AIP Essentials. Em seguida, conceda essa função e os papéis predefinidos necessários a um usuário.

Criar a função personalizada do AIP Essentials

Crie uma função personalizada que contenha as permissões de suporte essenciais necessárias para a proteção para IA.

Console

  1. No Google Cloud console, acesse a página Papéis.

Acessar "Papéis"

  1. Clique em Criar papel.
  2. No campo Título, insira AIP Essentials.
  3. O campo ID é preenchido automaticamente. Se quiser, mude para aip.essentials.
  4. No campo Descrição, use Grants supporting permissions required to view AIP dashboard and data.
  5. Defina o Estágio de lançamento do papel como Disponibilidade geral.
  6. Clique em Adicionar permissões

  7. Filtre e selecione cada uma das seguintes permissões:

    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.simulations.get
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Clique em Adicionar.

  9. Clique em Criar.

gcloud

  1. Em um terminal, execute o seguinte comando gcloud para criar a função:
gcloud iam roles create aip.essentials \
    --organization=ORGANIZATION_ID \
    --title="AIP Essentials" \
    --description="Grants supporting permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.simulations.get,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

SubstituaORGANIZATION_ID pelo ID da organização.

Conceder acesso de administrador a um usuário

Depois de criar a função personalizada AIP Essentials, conceda-a junto com os papéis predefinidos necessários aos usuários que precisam de acesso de administrador.

Console

  1. No console do Google Cloud , acesse a página IAM.

Acessar IAM

  1. Clique em Permitir acesso.
  2. No campo Novos principais, insira o endereço de e-mail do usuário.
  3. No menu suspenso Selecionar um papel, pesquise e adicione cada um dos seguintes papéis:
    • DSPM Admin (roles/dspm.admin)
    • Model Armor Admin (roles/modelarmor.admin)
    • Model Armor Floor Settings Admin (roles/modelarmor.floorSettingsAdmin)
    • Cloud Security Compliance Admin (roles/cloudsecuritycompliance.admin)
    • Security Center Findings Viewer (roles/securityCenter.findingsViewer)
    • Monitoring Viewer (roles/monitoring.viewer)
    • Cloud Asset Viewer (roles/cloudasset.viewer)
    • O papel personalizado do AIP Essentials que você criou.
  4. Clique em Salvar.

gcloud

  1. Em um terminal, execute os seguintes comandos, um para cada função:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/dspm.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.floorSettingsAdmin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudsecuritycompliance.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/securityCenter.findingsViewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/monitoring.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudasset.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.essentials"

Substitua:

  • ORGANIZATION_ID: o ID da sua organização.
  • USER_EMAIL: o endereço de e-mail do usuário.

Papéis predefinidos

Para ter as permissões necessárias para configurar a proteção para IA e acessar os dados do painel, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Os comandos da Google Cloud CLI a seguir podem ser usados para atribuir as funções anteriores a um usuário:

Atribuir papéis usando a CLI gcloud

  • Para conceder o papel de administrador da Central de segurança a um usuário, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • Para conceder o papel de Leitor administrativo da Central de segurança a um usuário, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    Substitua:

    • ORGANIZATION_ID: o ID numérico da organização
    • USER_EMAIL_ID: o endereço de e-mail do usuário que precisa de acesso.

Regiões compatíveis

Para conferir uma lista de regiões em que a proteção para IA está disponível, consulte Endpoints regionais.

Acesso para contas de serviço

Verifique se as políticas da organização não bloqueiam nenhuma conta de serviço mencionada nas seções a seguir.

Configurar a proteção por IA

Faça o seguinte para ativar a proteção para IA no nível da organização:

Premium

  1. Se você não ativou o Security Command Center na sua organização, clique em Ativar o Security Command Center Premium.
  2. Depois de ativar o nível de serviço Premium do Security Command Center, configure a proteção para IA acessando Configurações > Gerenciar configurações no card "Proteção com IA".

    Acesse as configurações da proteção para IA

  3. Ative a descoberta dos recursos que você quer proteger com a proteção para IA.
  4. Acesse o painel de segurança de IA em Visão geral de risco > Segurança de IA.

Enterprise

  1. Se você ainda não ativou o Security Command Center na sua organização, clique em Ativar o Security Command Center Enterprise.
  2. Depois de ativar a camada de serviço Enterprise do Security Command Center, configure a proteção para IA usando as orientações no Guia de configuração do SCC.

    Acessar o Guia de configuração

    1. Abra o painel de resumo Revisar recursos de segurança.
    2. No painel Proteção de IA, clique em Configurar.
    3. Siga as instruções para verificar se os serviços necessários e dependentes da proteção para IA estão configurados. Para entender o que é ativado automaticamente e o que exige configuração adicional, consulte Ativar e configurar serviços do Google Cloud.
  3. Ative a descoberta dos recursos que você quer proteger com a proteção para IA.

Configurar Google Cloud serviços para a proteção para IA

Depois de ativar os níveis de serviço Premium e Enterprise, configure outros serviços doGoogle Cloud para usar todos os recursos da proteção para IA.

Os seguintes serviços são ativados automaticamente para os dois níveis, a menos que indicado de outra forma:

  • Detecção de ameaças do Agent Platform (pré-lançamento)
  • Serviço de descoberta de IA
  • Simulações de caminho de ataque
  • Registros de auditoria do Cloud
  • Cloud Monitoring
  • Compliance Manager
  • Event Threat Detection
  • Gerenciamento da postura de segurança de dados
  • Notebook Security Scanner (prévia), ativado automaticamente para o nível de serviço Enterprise.
  • Proteção de Dados Sensíveis
  • Avaliação de vulnerabilidades da Agent Platform (prévia), ativada automaticamente para novas ativações da proteção para IA.

Os seguintes serviços são necessários para a proteção para IA:

Alguns desses serviços exigem configuração adicional, conforme descrito nas seções a seguir.

Configurar o serviço de descoberta de IA

O serviço AI Discovery é ativado automaticamente como parte da integração do Security Command Center Enterprise. O papel do IAM de leitor do Monitoring (roles/monitoring.viewer) é fornecido, mas verifique se ele está aplicado à conta de serviço da organização do Security Command Center Enterprise.

  1. No console do Google Cloud , acesse a página IAM.

    Acessar IAM

  2. Clique em Permitir acesso.

  3. No campo Novos principais, insira a conta de serviço da organização do Security Command Center Enterprise. A conta de serviço usa o formato service-org-ORG_ID@security-center-api.gserviceaccount.com Substitua ORG_ID pelo ID da sua organização.

  4. No campo Selecionar um papel, escolha Leitor do Monitoring.

  5. Clique em Salvar.

Configurar controles avançados de nuvem do DSPM

Configure o DSPM com controles avançados de nuvem para acesso, fluxo e proteção de dados. Para mais informações, consulte Implantar controles avançados de segurança de dados na nuvem.

Ao criar um framework personalizado para cargas de trabalho de IA, inclua estes controles de nuvem:

  • Governança de acesso a dados: restringe o acesso a dados sensíveis a principais específicos, como usuários ou grupos. Você especifica principais permitidos usando a sintaxe do identificador principal do IAM v2. Por exemplo, crie uma política para permitir que apenas membros de gdpr-processing-team@example.com acessem recursos específicos.
  • Governança de fluxo de dados: restrinja o fluxo de dados a regiões específicas. Por exemplo, você pode criar uma política para permitir que os dados sejam acessados apenas dos EUA ou da UE. Você especifica os códigos de país permitidos usando o Common Locale Data Repository (CLDR) do Unicode.
  • Proteção de dados (com CMEK): identifique recursos criados sem chaves de criptografia gerenciadas pelo cliente (CMEK) e receba recomendações. Por exemplo, é possível criar uma política para detectar recursos criados sem CMEK para storage.googleapis.com e bigquery.googleapis.com. Essa política detecta recursos não criptografados, mas não impede que eles sejam criados.

Configurar o Model Armor

  1. Ative o serviço modelarmor.googleapis.com para cada projeto que usa atividade de IA generativa. Para mais informações, consulte Começar a usar o Model Armor.
  2. Configure as seguintes opções para definir as configurações de segurança para comandos e respostas de modelos de linguagem grandes (LLMs):
    • Model Armor templates: crie um modelo do Model Armor. Esses modelos definem os tipos de riscos a serem detectados, como dados sensíveis, injeções de comandos e detecção de jailbreak. Eles também definem os limites mínimos para esses filtros.
    • Filtros: o Model Armor usa vários filtros para identificar riscos, incluindo detecção de URLs maliciosos, detecção de jailbreak e injeção de comandos e proteção de dados sensíveis.
    • Configurações mínimas: defina as configurações mínimas no nível do projeto para estabelecer a proteção padrão de todos os modelos do Gemini.

Configurar o Notebook Security Scanner

  1. Nível de serviço Premium: ative o serviço Notebook Security Scanner para sua organização. Para mais informações, consulte Ativar o Notebook Security Scanner.
  2. Conceda o papel de Leitor do Dataform (roles/dataform.viewer) a notebook-security-scanner-prod@system.gserviceaccount.com em todos os projetos que contêm Notebooks.

Configurar a proteção de dados sensíveis

Ative a API dlp.googleapis.com para seu projeto e configure a Proteção de Dados Sensíveis para verificar dados sensíveis.

  1. Ative a API Data Loss Prevention.

    Funções necessárias para ativar APIs

    Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.

    Ativar a API

  2. Conceda os papéis DLP Reader e DLP Data Profiles Admin aos usuários da proteção para IA.

  3. Configure a Proteção de Dados Sensíveis para verificar se há dados sensíveis.

Configurar a avaliação de vulnerabilidades da Agent Platform

A avaliação de vulnerabilidades da Agent Platform identifica vulnerabilidades de software (CVEs) em cargas de trabalho agênticas implantadas com a plataforma de agentes do Gemini Enterprise. Para novas ativações da proteção para IA, a Avaliação de Vulnerabilidades da Agent Platform é ativada por padrão.

Se você já é cliente, ative o scanner na página Configurações da proteção para IA, disponível apenas na visualização no nível da organização.

  1. No console do Google Cloud , acesse Configurações > Gerenciar configurações no card "proteção para IA".

    Acesse as configurações da proteção para IA

  2. Na seção Avaliação de vulnerabilidades para plataforma de agente, clique em Gerenciar configurações.

  3. Ative o serviço para sua organização.

Configurar o App Hub para inventário de servidores MCP

Para ver os servidores do Protocolo de Contexto de Modelo (MCP) no painel de AI Security, você precisa ativar a {app_hub_api} (apphub.googleapis.com) em cada projeto que hospeda servidores do MCP.

Para mais informações, consulte Configurar o App Hub.

Opcional: configurar outros recursos de alto valor

Para criar uma configuração de valor de recurso, siga as etapas em Criar uma configuração de valor de recurso.

Recursos de agente de escopo

Para definir o escopo da configuração de valor de recurso para recursos agênticos, como agentes ou servidores do Protocolo de Contexto de Modelo (MCP), selecione um tipo de recurso agêntico no menu Selecionar tipo de recurso (por exemplo, aiplatform.googleapis.com/ReasoningEngine) ou especifique rótulos ou tags que identifiquem recursos agênticos na sua organização.

Quando a próxima simulação de caminho de ataque for executada, ela vai abranger o conjunto de recursos de alto valor e gerar caminhos de ataque.

A seguir