Ferramentas e controles de inferência para casos de uso da IA generativa

Este documento inclui as práticas recomendadas e diretrizes para a plataforma de agentes do Gemini Enterprise ao executar cargas de trabalho de IA generativa no Google Cloud.

Definir o modo de acesso para notebooks e instâncias do Workbench da plataforma do agente

ID de controle do Google VAI-CO-4.1
Implementação Obrigatório
Descrição

Essa restrição de lista define os modos de acesso permitidos para notebooks e instâncias do Agent Platform Workbench. A lista de permissões ou bloqueios pode especificar vários usuários usando o modo service-account ou o acesso de usuário único usando o modo single-user.
Produtos aplicáveis
  • Workbench da plataforma de agentes do Gemini Enterprise
  • Serviço de política da organização
Caminho constraints/ainotebooks.accessMode
Operador Is
Valor
  • service-account
  • single-user
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Desativar downloads de arquivos em instâncias do Workbench da plataforma de agentes

ID de controle do Google VAI-CO-4.2
Implementação Obrigatório
Descrição

A restrição booleana ainotebooks.disableFileDownloads impede a criação de instâncias do Gemini Enterprise Agent Platform Workbench com a opção de download de arquivo ativada. Por padrão, é possível ativar a opção de download de arquivos em qualquer instância do Workbench da plataforma do agente.
Produtos aplicáveis
  • Serviço de política da organização
  • Workbench da plataforma de agentes
Caminho constraints/ainotebooks.disableFileDownloads
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Desativar o acesso raiz em instâncias e notebooks gerenciados pelo usuário do Agent Platform Workbench

ID de controle do Google VAI-CO-4.3
Implementação Obrigatório
Descrição

A restrição booleana ainotebooks.disableRootAccess impede que você crie notebooks e instâncias gerenciados pelo usuário do Workbench da plataforma de agentes do Gemini Enterprise com o acesso root ativado. Por padrão, as instâncias e os notebooks do Workbench da Agent Platform gerenciados pelos usuários podem ter o acesso raiz ativado.
Produtos aplicáveis
  • Serviço de política da organização
  • Workbench da plataforma de agentes
Caminho constraints/ainotebooks.disableRootAccess
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Desativar o terminal em instâncias do Workbench da plataforma de agentes

ID de controle do Google VAI-CO-4.4
Implementação Obrigatório
Descrição

A restrição booleana ainotebooks.disableTerminal impede a criação de instâncias do Workbench da plataforma de agentes do Gemini Enterprise com o terminal ativado. Por padrão, é possível ativar o terminal nas instâncias do Agent Platform Workbench.
Produtos aplicáveis
  • Serviço de política da organização
  • Workbench da plataforma de agentes
Caminho constraints/ainotebooks.disableTerminal
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Restringir opções de ambiente em notebooks e instâncias do Workbench da plataforma do agente

ID de controle do Google VAI-CO-4.5
Implementação Obrigatório
Descrição

A restrição de lista ainotebooks.environmentOptions define as opções de imagens de contêiner e VMs que você pode selecionar ao criar notebooks e instâncias do Gemini Enterprise Agent Platform Workbench. É necessário especificar explicitamente as opções que você quer permitir ou negar.

O formato esperado para instâncias de VM é: ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Substitua IMAGE_TYPE por image-family ou image-name

Exemplo:

ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615

O formato esperado para imagens de contêiner é: ainotebooks-container/CONTAINER_REPOSITORY:TAG

Exemplo:

ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48
Produtos aplicáveis
  • Serviço de política da organização
  • Workbench da plataforma de agentes
Caminho constraints/ainotebooks.environmentOptions
Operador Is
Tipo Lista
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Aplicar upgrades programados automáticos em notebooks e instâncias gerenciados pelo usuário do Workbench da Agent Platform

ID de controle do Google VAI-CO-4.6
Implementação Obrigatório
Descrição

A restrição booleana ainotebooks.requireAutoUpgradeSchedule impede que você crie instâncias e notebooks gerenciados pelo usuário do Gemini Enterprise Agent Platform Workbench sem uma programação de atualização automática.

Para definir uma programação cron para as atualizações automáticas, use a flag de metadados notebook-upgrade-schedule. Exemplo:

--metadata=notebook-upgrade-schedule="00 19 * * MON"
Produtos aplicáveis
  • Serviço de política da organização
  • Workbench da plataforma de agentes
Caminho constraints/ainotebooks.requireAutoUpgradeSchedule
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • MA-2
  • MA-3
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Restringir o acesso público em novas instâncias e notebooks do Workbench da plataforma do agente

ID de controle do Google VAI-CO-4.7
Implementação Obrigatório
Descrição

Essa restrição booleana limita o acesso de endereços IP públicos a notebooks e instâncias do Workbench da plataforma de agentes do Gemini Enterprise. Por padrão, os endereços IP públicos podem acessar notebooks e instâncias do Workbench da Agent Platform.
Produtos aplicáveis
  • Serviço de política da organização
  • Workbench da plataforma de agentes
Caminho constraints/ainotebooks.restrictPublicIp
Operador is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Restringir redes VPC em instâncias do Workbench da plataforma do agente

ID de controle do Google VAI-CO-4.8
Implementação Obrigatório
Descrição

A restrição de lista ainotebooks.restrictVpcNetworks define as redes VPC que um usuário pode selecionar ao criar instâncias do Gemini Enterprise Agent Platform Workbench. Por padrão, uma instância do Agent Platform Workbench pode ser criada em qualquer rede VPC.

Use um dos seguintes formatos para definir uma lista de redes permitidas ou negadas:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/networks/NETWORK_NAME
Produtos aplicáveis
  • Serviço de política da organização
  • Workbench da plataforma de agentes
Caminho constraints/ainotebooks.restrictVpcNetworks
Operador is
Tipo Lista
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

A seguir