設定 AI 保護

AI Protection 會監控模型、資料和 AI 相關基礎架構,協助您保護 AI 資產和工作流程。本指南說明如何設定 AI 保護功能。

事前準備

  1. 取得機構 ID。
  2. 如要建立及授予角色,請確認您具備必要權限,例如 Identity and Access Management (IAM) 角色管理員 (roles/iam.roleAdmin) 和組織管理員 (roles/resourcemanager.organizationAdmin) 角色。詳情請參閱「IAM 角色和權限索引」。

必要的角色

完成「事前準備」一節中的步驟後,請按照下列其中一節的步驟,設定 AI Protection 功能存取權的必要角色:

自訂角色

為遵守最小權限原則,您可以建立自訂 IAM 角色,只授予檢視者或管理員存取權的必要權限。

本文說明如何建立及授予 AI Protection 自訂角色。

設定檢視者存取權

檢視者存取權可讓使用者查看 AI Protection 資訊主頁和資料。如要設定檢視者存取權,請建立自訂 AIP Viewer 角色,然後將該角色授予使用者。

建立 AIP 檢視者自訂角色

建立自訂角色,其中包含 AI Protection 功能唯讀存取權所需的所有權限。

控制台

  1. 前往 Google Cloud 控制台的「Roles」(角色) 頁面。

前往「Roles」(角色)

  1. 按一下「建立角色」
  2. 在「Title」(名稱)欄位中,輸入 AIP Viewer
  3. 系統會自動填入「ID」欄位。你也可以選擇變更為「aip.viewer」。
  4. 在「Description」(說明) 欄位輸入 Grants permissions required to view AIP dashboard and data
  5. 將「角色推出階段」設為「正式發布」
  6. 按一下「Add permissions」。

  7. 篩選並選取下列各項權限:

    • cloudasset.assets.exportResource
    • cloudasset.assets.searchAllIamPolicies
    • cloudasset.assets.searchAllResources
    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • cloudsecuritycompliance.controlComplianceSummaries.list
    • cloudsecuritycompliance.frameworkComplianceReports.get
    • dspm.locations.computeAggregation
    • dspm.locations.fetchLineageConnections
    • monitoring.timeSeries.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.issues.get
    • securitycenter.issues.group
    • securitycenter.issues.list
    • securitycenter.issues.listFilterValues
    • securitycenter.simulations.get
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. 按一下「新增」。

  9. 點選「建立」

gcloud

  1. 在終端機中執行下列 gcloud 指令,建立角色:
gcloud iam roles create aip.viewer \
    --organization=ORGANIZATION_ID \
    --title="AIP Viewer" \
    --description="Grants permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.exportResource,cloudasset.assets.searchAllIamPolicies,cloudasset.assets.searchAllResources,cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,cloudsecuritycompliance.controlComplianceSummaries.list,cloudsecuritycompliance.frameworkComplianceReports.get,dspm.locations.computeAggregation,dspm.locations.fetchLineageConnections,monitoring.timeSeries.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.issues.get,securitycenter.issues.group,securitycenter.issues.list,securitycenter.issues.listFilterValues,securitycenter.simulations.get,securitycenter.sources.get,securitycenter.sources.list,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

請將 ORGANIZATION_ID 替換成組織 ID。

授予使用者檢視權限

建立 AIP Viewer 自訂角色後,請將該角色授予需要檢視者存取權的使用者。

控制台

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

前往「IAM」(身分與存取權管理) 頁面

  1. 點選「授予存取權」。
  2. 在「New principals」(新增主體) 欄位中,輸入使用者的電子郵件地址。
  3. 在「Select a role」(請選擇角色) 下拉式選單中,搜尋並選取「AIP Viewer」(AIP 檢視者) 自訂角色。
  4. 按一下 [儲存]

gcloud

  1. 在終端機中執行下列 gcloud 指令:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.viewer"

更改下列內容:

  • ORGANIZATION_ID: 您的機構 ID。
  • USER_EMAIL:使用者的電子郵件地址。

設定管理員存取權

管理員存取權可讓使用者管理 AI 防護功能。如要設定管理員存取權,請先建立AIP Essentials自訂角色。然後將該角色和必要的預先定義角色授予使用者。

建立 AIP Essentials 自訂角色

建立自訂角色,並加入 AI Protection 功能所需的必要支援權限。

控制台

  1. 前往 Google Cloud 控制台的「Roles」(角色) 頁面。

前往「Roles」(角色)

  1. 按一下「建立角色」
  2. 在「Title」(名稱)欄位中,輸入 AIP Essentials
  3. 系統會自動填入「ID」欄位。你也可以選擇變更為「aip.essentials」。
  4. 在「Description」(說明) 欄位輸入 Grants supporting permissions required to view AIP dashboard and data
  5. 將「角色推出階段」設為「正式發布」
  6. 按一下「Add permissions」。

  7. 篩選並選取下列各項權限:

    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.simulations.get
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. 按一下「新增」。

  9. 點選「建立」

gcloud

  1. 在終端機中執行下列 gcloud 指令,建立角色:
gcloud iam roles create aip.essentials \
    --organization=ORGANIZATION_ID \
    --title="AIP Essentials" \
    --description="Grants supporting permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.simulations.get,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

請將 ORGANIZATION_ID 替換成組織 ID。

將管理員存取權授予使用者

建立AIP Essentials自訂角色後,請將該角色和必要的預先定義角色授予需要管理員存取權的使用者。

控制台

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

前往「IAM」(身分與存取權管理) 頁面

  1. 點選「授予存取權」。
  2. 在「New principals」(新增主體) 欄位中,輸入使用者的電子郵件地址。
  3. 在「Select a role」(選取角色) 下拉式選單中,搜尋並新增下列每個角色:
    • DSPM Admin (roles/dspm.admin)
    • Model Armor Admin (roles/modelarmor.admin)
    • Model Armor Floor Settings Admin (roles/modelarmor.floorSettingsAdmin)
    • Cloud Security Compliance Admin (roles/cloudsecuritycompliance.admin)
    • Security Center Findings Viewer (roles/securityCenter.findingsViewer)
    • Monitoring Viewer (roles/monitoring.viewer)
    • Cloud Asset Viewer (roles/cloudasset.viewer)
    • 您建立的自訂 AIP Essentials 角色。
  4. 按一下 [儲存]

gcloud

  1. 在終端機中,針對每個角色執行下列指令:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/dspm.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.floorSettingsAdmin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudsecuritycompliance.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/securityCenter.findingsViewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/monitoring.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudasset.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.essentials"

更改下列內容:

  • ORGANIZATION_ID: 您的機構 ID。
  • USER_EMAIL:使用者的電子郵件地址。

預先定義的角色

如要取得設定 AI Protection 功能及查看資訊主頁資料所需的權限,請要求管理員授予您組織的下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

您可以使用下列 Google Cloud CLI 指令,將上述角色指派給使用者:

使用 gcloud CLI 指派角色

  • 如要將安全中心管理員角色授予使用者,請執行下列指令:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • 如要將安全中心管理員檢視者角色授予使用者,請執行下列指令:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    更改下列內容:

    • ORGANIZATION_ID:組織的數字 ID
    • USER_EMAIL_ID:需要存取權的使用者電子郵件地址

支援的地區

如要查看支援 AI Protection 的區域清單,請參閱「區域端點」。

服務帳戶的存取權

請確認組織政策不會封鎖下列章節中提及的任何服務帳戶。

設定 AI Protection

如要在機構層級啟用 AI Protection,請完成下列步驟:

Premium

  1. 如果貴機構尚未啟用 Security Command Center,請啟用 Security Command Center Premium
  2. 啟用 Security Command Center Premium 服務層級後,請前往「設定」>「管理設定」,在 AI Protection 資訊卡上設定 AI Protection。

    前往 AI 保護設定

  3. 啟用探索功能,找出要透過 AI Protection 保護的資源。
  4. 如要查看 AI 安全性資訊主頁,請依序前往「風險總覽」>「AI 安全性」
Google Cloud

企業版

  1. 如果尚未在貴機構啟用 Security Command Center,請啟用 Security Command Center Enterprise
  2. 啟用 Security Command Center Enterprise 服務層級後,請按照 SCC 設定指南中的指引設定 AI Protection 功能。

    前往設定指南

    1. 展開「查看安全功能」摘要面板。
    2. 在「AI 保護」面板中,按一下「設定」
    3. 按照指示檢查是否已設定 AI Protection 功能所需的依附服務。如要瞭解系統自動啟用的服務,以及需要額外設定的服務,請參閱「啟用及設定 Google Cloud服務」。
  3. 啟用探索功能,找出要透過 AI Protection 保護的資源。

設定 AI 保護服務 Google Cloud

啟用 Premium 和 Enterprise 服務層級後,請設定其他Google Cloud 服務,充分運用 AI Protection 的功能。

除非另有說明,否則系統會自動為這兩個層級啟用下列服務:

  • Agent Platform Threat Detection (預先發布版)
  • AI 探索服務
  • 攻擊路徑模擬
  • Cloud 稽核記錄
  • Cloud Monitoring
  • Compliance Manager
  • Event Threat Detection
  • Data Security Posture Management
  • Notebook Security Scanner (預覽版),適用於 Enterprise 服務層級,且會自動啟用。
  • Sensitive Data Protection
  • Agent Platform 安全漏洞評估 (預先發布版):啟用 AI Protection 功能時,系統會自動啟用這項評估。

AI Protection 需要下列服務:

部分服務需要額外設定,詳情請參閱下列各節。

設定 AI 探索服務

系統會在您開始使用 Security Command Center Enterprise 時,自動啟用 AI Discovery 服務。系統會提供「Monitoring 檢視者」(roles/monitoring.viewer) IAM 角色,但請確認該角色已套用至 Security Command Center Enterprise 組織服務帳戶。

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」(身分與存取權管理) 頁面

  2. 點選「授予存取權」。

  3. 在「新增主體」欄位中,輸入 Security Command Center Enterprise 機構服務帳戶。服務帳戶的格式為 service-org-ORG_ID@security-center-api.gserviceaccount.com 請將 ORG_ID 替換為您的組織 ID。

  4. 在「Select a role」(選取角色) 欄位中,選取「Monitoring Viewer」(監控檢視者)

  5. 按一下 [儲存]

設定進階 DSPM 雲端控管機制

透過進階雲端控制項設定 DSPM,控管資料存取、流程和保護機制。詳情請參閱「部署進階資料安全性雲端控制項」。

建立適用於 AI 工作負載的自訂架構時,請加入下列雲端控管機制:

  • 資料存取權管理:限制特定主體 (例如使用者或群組) 存取機密資料。您可以使用 IAM v2 主體 ID 語法指定允許的主體。舉例來說,您可以建立政策,只允許 gdpr-processing-team@example.com 的成員存取特定資源。
  • 資料流程控管:將資料流程限制在特定區域。舉例來說,您可以建立政策,只允許從美國或歐盟存取資料。您可以使用 Unicode Common Locale Data Repository (CLDR) 指定允許的國家/地區代碼。
  • 資料保護 (使用 CMEK):找出未採用客戶自行管理的加密金鑰 (CMEK) 建立的資源,並接收相關建議。舉例來說,您可以建立政策,偵測在沒有 storage.googleapis.combigquery.googleapis.com 的 CMEK 情況下建立的資源。這項政策會偵測未加密的資產,但不會禁止建立這類資產。

設定 Model Armor

  1. 為使用生成式 AI 活動的每個專案啟用 modelarmor.googleapis.com 服務。詳情請參閱「開始使用 Model Armor」。
  2. 設定下列選項,定義大型語言模型 (LLM) 提示和回覆的安全設定:
    • Model Armor 範本:建立 Model Armor 範本。這些範本會定義要偵測的風險類型,例如敏感資料、提示注入和越獄偵測。並為這些篩選條件定義最低門檻。
    • 篩選器:Model Armor 會使用各種篩選器來識別風險,包括偵測惡意網址、提示詞注入和越獄,以及保護私密/機密資料。
    • 底限設定:設定專案層級的底限設定,為所有 Gemini 模型建立預設保護措施。

設定 Notebook Security Scanner

  1. Premium 服務層級:為貴機構啟用 Notebook Security Scanner 服務。詳情請參閱「啟用 Notebook Security Scanner」。
  2. 在包含 Notebooks 的所有專案中,將 Dataform 檢視者角色 (roles/dataform.viewer) 授予 notebook-security-scanner-prod@system.gserviceaccount.com

設定 Sensitive Data Protection

為專案啟用 dlp.googleapis.com API,並設定 Sensitive Data Protection 掃描機密資料。

  1. 啟用 Data Loss Prevention API。

    啟用 API 時所需的角色

    如要啟用 API,您需要服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin),其中包含 serviceusage.services.enable 權限。瞭解如何授予角色

    啟用 API

  2. DLP ReaderDLP Data Profiles Admin 角色授予 AI Protection 使用者。

  3. 設定 Sensitive Data Protection 掃描私密/機密資料。

設定 Agent Platform 安全漏洞評估

Agent Platform 安全漏洞評估會找出使用 Gemini Enterprise Agent Platform 部署的代理工作負載中的軟體安全漏洞 (CVE)。啟用 AI Protection 時,系統預設會啟用 Agent Platform 安全漏洞評估。

如果是現有客戶,您可以在「AI Protection 設定」頁面啟用掃描器,但只有在機構層級檢視畫面中才能使用。

  1. 在 Google Cloud 控制台中,依序前往「設定」>「AI 保護」資訊卡上的「管理設定」

    前往 AI 保護設定

  2. 在「代理程式平台安全漏洞評估」部分,按一下「管理設定」

  3. 為貴機構啟用這項服務。

設定 App Hub 中的 MCP 伺服器廣告空間

如要在 AI Security 資訊主頁中查看 Model Context Protocol (MCP) 伺服器,請務必在每個代管 MCP 伺服器的專案中啟用 {app_hub_api} (apphub.googleapis.com)。

詳情請參閱「設定 App Hub」。

選用:設定其他高價值資源

如要建立資源值設定,請按照「建立資源值設定」一文中的步驟操作。

限定範圍的代理功能資源

如要將資源值設定範圍限定為代理資源 (例如代理或 Model Context Protocol (MCP) 伺服器),請從「Select resource type」(選取資源類型) 選單中選取代理資源類型 (例如 aiplatform.googleapis.com/ReasoningEngine),或指定可識別貴機構代理資源的標籤。

下次執行攻擊路徑模擬時,系統會涵蓋高價值資源集,並產生攻擊路徑。

後續步驟