Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Stratégie de sécurité prédéfinie pour l'IA, étendue

Cette page décrit les règles préventives et de détection incluses dans la version 1.0 de la stratégie prédéfinie pour l'IA sécurisée, étendue. Cette stratégie inclut deux ensembles de règles :

Ensemble de règles incluant des règles d'administration qui s'appliquent aux charges de travail Gemini Enterprise Agent Platform.
Ensemble de règles incluant des détecteurs Security Health Analytics personnalisés qui s'appliquent aux charges de travail Gemini Enterprise Agent Platform.

Vous pouvez utiliser cette stratégie prédéfinie pour configurer une "security posture" qui vous aidera à protéger les ressources Gemini et Gemini Enterprise Agent Platform. Si vous souhaitez déployer cette stratégie prédéfinie, vous devez personnaliser certaines des règles pour qu'elles s'appliquent à votre environnement.

Contraintes liées aux règles d'administration

Le tableau suivant décrit les règles d'administration incluses dans cette stratégie.

Règle	Description	Norme de conformité
`ainotebooks.accessMode`	Cette contrainte définit les modes d'accès autorisés aux notebooks et instances Vertex AI Workbench. Vous devez configurer cette valeur lorsque vous adoptez cette stratégie prédéfinie.	Contrôle NIST SP 800-53 : AC-3(3) et AC-6(1)
`ainotebooks.disableFileDownloads`	Cette contrainte empêche la création d'instances Vertex AI Workbench avec l'option de téléchargement de fichiers activée. Par défaut, l'option de téléchargement de fichiers peut être activée sur n'importe quelle instance Vertex AI Workbench. La valeur est `true` pour désactiver les téléchargements de fichiers sur les nouvelles instances Vertex AI Workbench.	Contrôle NIST SP 800-53 : AC-3(1)
`ainotebooks.disableRootAccess`	Cette contrainte empêche les notebooks et instances Vertex AI Workbench gérés par l'utilisateur nouvellement créés d'activer l'accès root. L'accès root peut être activé par défaut sur les notebooks et instances Vertex AI Workbench gérés par l'utilisateur. La valeur est `true` pour désactiver l'accès root sur les nouveaux notebooks et instances Vertex AI Workbench gérés par l'utilisateur.	Contrôle NIST SP 800-53 : AC-3 et AC-6(2)
`ainotebooks.disableTerminal`	Cette contrainte empêche la création d'instances Vertex AI Workbench avec le terminal activé. Par défaut, le terminal peut être activé sur les instances Vertex AI Workbench. La valeur est `true` pour désactiver le terminal sur les nouvelles instances Vertex AI Workbench.	Contrôle NIST SP 800-53 : AC-3, AC-6 et CM-2
`ainotebooks.environmentOptions`	Cette contrainte définit les options d'image de conteneur et de VM qu'un utilisateur peut sélectionner en créant des notebooks et des instances Vertex AI Workbench où cette contrainte est appliquée. Les options autorisées ou refusées doivent être explicitement répertoriées. Les valeurs sont les suivantes : policy_rules: - values: allowed_values: - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-1-15-cpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-2-1-cpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-1-15-gpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-2-1-gpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/caffe1-latest-cpu-experimental - is:ainotebooks-vm/deeplearning-platform-release/image-name/r-3-6-cpu-experimental-20200617 - is:ainotebooks-vm/deeplearning-platform-release/image-name/tf2-ent-2-1-cpu-20200613 - is:ainotebooks-vm/deeplearning-platform-release/image-name/tf2-2-2-cu101-20200616 - is:ainotebooks-vm/deeplearning-platform-release/image-name/tf-1-15-cu100-20200615 - is:ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615 - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15 - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-cpu.1-15:latest - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-cpu.1-15:m48 - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-cpu.1-15:m46 - is:ainotebooks-container/custom-container:latest	Contrôle NIST SP 800-53 : AC-3, AC-6 et CM-2
`ainotebooks.requireAutoUpgradeSchedule`	Cette contrainte impose aux notebooks et instances Vertex AI Workbench gérés par l'utilisateur nouvellement créés de définir une programmation des mises à niveau automatiques. La valeur est `true` pour exiger des mises à jour automatiques planifiées sur les nouveaux notebooks et instances Vertex AI Workbench gérés par l'utilisateur.	Contrôle NIST SP 800-53 : AU-9, CM-2 et CM-6
`ainotebooks.restrictPublicIp`	Cette contrainte limite l'accès depuis des adresses IP publiques aux instances et notebooks Vertex AI Workbench nouvellement créés. Par défaut, les adresses IP publiques peuvent accéder aux instances et notebooks Vertex AI Workbench. La valeur est `true` pour limiter l'accès des adresses IP publiques sur les nouveaux notebooks et instances Vertex AI Workbench.	Contrôle NIST SP 800-53 : AC-3, AC-4 et SC-7
`ainotebooks.restrictVpcNetworks`	Cette liste définit les réseaux VPC qu'un utilisateur peut sélectionner lorsqu'il crée des instances Vertex AI Workbench là où cette contrainte est appliquée. Vous devez configurer cette valeur lorsque vous adoptez cette stratégie prédéfinie.	Contrôle NIST SP 800-53 : AC-3, AC-4 et CM-2

Détecteurs Security Health Analytics

Le tableau suivant décrit les modules personnalisés pour Security Health Analytics inclus dans la stratégie prédéfinie.

Nom du détecteur	Ressource applicable	Description	Normes de conformité
vertexAIDataSetCMEKDisabled	`aiplatform.googleapis.com/Dataset`	Ce détecteur vérifie si un ensemble de données n'est pas chiffré à l'aide d'une clé de chiffrement gérée par le client (CMEK). Pour résoudre ce résultat, vérifiez que vous avez créé la clé et le trousseau de clés, configuré les autorisations et fourni la clé lors de la création de votre ensemble de données. Pour obtenir des instructions, consultez Configurer les CMEK pour vos ressources.	Contrôle NIST SP 800-53 : SC-12 et SC-13
vertexAIModelCMEKDisabled	`aiplatform.googleapis.com/Model`	Ce détecteur vérifie si un modèle n'est pas chiffré à l'aide d'une CMEK. Pour résoudre ce problème, vérifiez que vous avez créé la clé et le trousseau de clés, configuré les autorisations et fourni la clé lors de la création de votre modèle. Pour obtenir des instructions, consultez Configurer les CMEK pour vos ressources.	Contrôle NIST SP 800-53 : SC-12 et SC-13
vertexAIEndpointCMEKDisabled	`aiplatform.googleapis.com/Endpoint`	Ce détecteur vérifie si un point de terminaison n'est pas chiffré à l'aide d'une CMEK. Pour résoudre ce résultat, vérifiez que vous avez créé la clé et le trousseau de clés, configuré les autorisations et fourni la clé lors de la création de votre point de terminaison. Pour obtenir des instructions, consultez Configurer les CMEK pour vos ressources.	Contrôle NIST SP 800-53 : SC-12 et SC-13
vertexAITrainingPipelineCMEKDisabled	`aiplatform.googleapis.com/TrainingPipeline`	Ce détecteur vérifie si un pipeline d'entraînement n'est pas chiffré à l'aide d'une CMEK. Pour résoudre ce résultat, vérifiez que vous avez créé la clé et le trousseau de clés, configuré les autorisations et fourni la clé lors de la création de votre pipeline d'entraînement. Pour obtenir des instructions, consultez Configurer les CMEK pour vos ressources.	Contrôle NIST SP 800-53 : SC-12 et SC-13
vertexAICustomJobCMEKDisabled	`aiplatform.googleapis.com/CustomJob`	Ce détecteur vérifie si une tâche qui exécute une charge de travail personnalisée n'est pas chiffrée à l'aide d'une CMEK. Pour résoudre ce résultat, vérifiez que vous avez créé la clé et le trousseau de clés, configuré les autorisations et fourni la clé lors de la création de votre tâche personnalisée. Pour obtenir des instructions, consultez Configurer les CMEK pour vos ressources.	Contrôle NIST SP 800-53 : SC-12 et SC-13
vertexAIDataLabelingJobHyperparameterTuningJobCMEKDisabled	`aiplatform.googleapis.com/HyperparameterTuningJob`	Ce détecteur vérifie si une tâche de réglage d'hyperparamètres n'est pas chiffrée à l'aide d'une CMEK. Pour résoudre ce résultat, vérifiez que vous avez créé la clé et le trousseau de clés, configuré les autorisations et fourni la clé lors de la création de votre tâche de réglage d'hyperparamètres. Pour obtenir des instructions, consultez Configurer les CMEK pour vos ressources.	Contrôle NIST SP 800-53 : SC-12 et SC-13

Afficher le modèle de stratégie

Pour afficher le modèle de stratégie étendue de l'IA sécurisée, procédez comme suit :

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID : ID numérique de l'organisation.

Exécutez la gcloud scc posture-templates describe commande :

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

La réponse contient le modèle de stratégie.

REST

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

ORGANIZATION_ID : ID numérique de l'organisation.

Méthode HTTP et URL :

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended" | Select-Object -Expand Content

La réponse contient le modèle de stratégie.

Étape suivante

Créez une "security posture" à l'aide de cette stratégie prédéfinie.

Stratégie de sécurité prédéfinie pour l'IA, étendue Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Contraintes liées aux règles d'administration

Détecteurs Security Health Analytics

Afficher le modèle de stratégie

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Étape suivante

Stratégie de sécurité prédéfinie pour l'IA, étendue