本文档介绍了支持 Gemini Code Assist Standard 和 Enterprise 安全性的控件。这些控件还可以帮助您满足适用于您业务的隐私权和监管要求。
Google Cloud 服务的安全性、隐私性和合规性是共同的责任。例如,Google 会确保 Google Cloud 服务运行的基础架构安全无虞,并为您提供访问权限控制等工具,以便您管理哪些人可以访问您的服务和资源。如需详细了解我们如何保护基础架构,请参阅 Google 基础架构安全设计概览。
Gemini Code Assist Standard 和 Enterprise 架构
下图显示了 Gemini Code Assist Standard 和 Enterprise 架构的组成部分。
这些组件包括:
- 在本地环境中,应用开发者会为 Visual Studio 或 JetBrains 安装 Gemini Code Assist 扩展程序。开发者可以使用此扩展程序与 Gemini Code Assist Standard 和 Enterprise 进行交互。
- 默认情况下,该扩展程序会通过互联网使用加密的 TLS 连接,从您的本地环境连接到Google Cloud。如需在本地环境和 Google Cloud之间创建专用的安全连接,您可以配置 Cloud VPN 或 Cloud Interconnect。
- 在您的 Google Cloud 环境中,您可以设置 VPC Service Controls 服务边界。借助 VPC Service Controls,您可以定义安全政策,以阻止对受信任边界外的 Google 管理的服务的访问、阻止从不可信位置访问数据,以及降低数据渗漏风险。
- 您已启用 Gemini Code Assist Standard 和 Enterprise 服务的 Google Cloud 项目。Gemini Code Assist Standard 和 Enterprise 使用 Gemini for Google Cloud API 来处理对话。Gemini for Google Cloud API 不会访问您项目中的任何其他 API 或资源。
或者,如果贵组织使用 Cloud Workstations,开发者可以在工作站中与 Gemini Code Assist Standard 和 Enterprise 进行交互。如需了解详情,请参阅使用 Gemini Code Assist 编写代码。
与大多数 Google Cloud API 不同,Gemini for Google Cloud API 是一种仅针对 Google 提供的客户端开发的 API。此 API 可让这些客户端访问为 Gemini Code Assist Standard 和 Enterprise 提供支持的无状态 LLM。启用了 Gemini for Google Cloud API Standard 和 Enterprise 的所有 Google 客户都会共享这些 LLM 实例。
部署安全控制
本部分介绍了 Gemini Code Assist Standard 和 Enterprise on Google Cloud的一些安全控件。
身份验证
Gemini Code Assist Standard 和 Enterprise 要求您的应用开发者向 Google Cloud 进行身份验证,以验证其身份和访问权限。您必须为每位开发者设置一个由 Cloud Identity、Google Workspace 或您已与之建立联合身份的身份提供商管理的用户账号。如需了解详情,请参阅身份和访问权限管理概览。
创建账号后,请考虑采用以下安全最佳实践:
- 使用外部身份提供方进行身份验证时,启用单点登录。
- 使用两步验证,帮助用户防止密码被盗。
- 强制执行和监控密码要求。
访问权限控制
您可以使用 Identity and Access Management (IAM) 来控制应用开发者对 Gemini Code Assist Standard 或 Enterprise 的访问权限。如需大规模管理 IAM 角色,我们建议您为应用开发者创建一个群组,并向该群组授予 Gemini Code Assist Standard 和 Enterprise 所需的 IAM 角色或权限。我们不建议向个人用户授予 IAM 角色,因为单独分配会增加角色管理和审计的复杂性。
为应用开发者群组分配角色时,请确保遵循最小权限原则和其他 IAM 安全最佳实践。
按照现有身份提供方中的流程创建群组和授予成员资格。如需详细了解如何设置 IAM,请参阅 IAM 概览。
如需详细了解 Gemini Code Assist Standard 和 Enterprise 所需的 IAM 角色,请参阅为项目设置 Gemini Code Assist。如需了解应用开发者所需的最低权限,请参阅高级设置任务。
如需审核管理和访问活动,请参阅 Gemini forGoogle Cloud。
网络安全
默认情况下,Google 会对所有Google Cloud 服务(包括 Gemini Code Assist Standard 和 Enterprise)传输中的数据采取保护措施。
主要连接是应用开发者工作站与 Google Front End (GFE) 之间的连接。GFE 是我们全球分布式系统,用于在 Google 网络和外部世界之间路由流量。Gemini Code Assist Standard 和 Enterprise 使用此连接来接收并回答开发者提示。默认情况下,此连接使用 TLS 进行保护。如需详细了解默认网络保护功能,请参阅传输中加密。
如果贵组织有此要求,您可以配置额外的安全控件,以进一步保护 Google Cloud 网络上的流量以及 Google Cloud 网络与贵组织网络之间的流量。
请考虑以下事项:
- 使用 Cloud VPN 或 Cloud Interconnect 可最大限度地提高公司网络与 Google Cloud之间的连接的安全性和可靠性。如需了解详情,请参阅选择 Network Connectivity 产品。
使用 VPC Service Controls。借助 VPC Service Controls,您可以控制 Google 服务中数据的移动,并设置基于上下文的边界安全性。如需详细了解如何设置 VPC Service Controls,请参阅为 Gemini 配置 VPC Service Controls。
在 Google Cloud中,请考虑将共享 VPC 作为您的网络拓扑。共享 VPC 提供集中式网络配置管理,同时使环境保持分离。如需详细了解网络拓扑,请参阅确定 Google Cloud 着陆区的网络设计。
如需详细了解网络安全最佳做法,请参阅保护网络安全和确定 Google Cloud 着陆区的网络设计。
Gemini Code Assist Standard 和 Enterprise 的数据保护和隐私保护
本部分介绍了 Gemini Code Assist Standard 和 Enterprise 以及相关扩展程序如何保护您的数据和隐私。
客户数据
“客户数据”在Google Cloud 服务条款中进行了定义。如需了解我们如何处理和保护客户数据,请参阅云端数据处理附录(客户)。
例如,Gemini Code Assist Standard 和 Enterprise 以及相关扩展程序会传输以下客户数据:
- 提示数据,其中包含开发者查询
- Gemini Code Assist Standard 和 Enterprise 的回答数据
- 其他上下文,例如当前对话记录、IDE 中打开的文件的代码段、存储在打开的文件旁边的文件的代码段以及当前文件中的光标位置
由于 Gemini Code Assist Standard 和 Enterprise 是无状态Google Cloud 服务,Google Cloud中存储提示和回答。如果需要,您可以设置 Gemini Code Assist Standard 和 Enterprise,以便在 Cloud Logging 存储桶中存储用户输入和回答。如需了解详情,请参阅查看 Gemini 日志。如需监控 Gemini Code Assist Standard 和 Enterprise 的使用情况,请参阅监控 Gemini 的 Google Cloud 使用情况。
如需了解 Google Cloud 如何对静态数据进行加密,请参阅默认静态加密。
Gemini Code Assist Standard 和 Enterprise 的服务数据
Gemini Code Assist Standard 和 Enterprise 的服务数据在Google Cloud 隐私权声明中定义。
Gemini Code Assist Standard 和 Enterprise 收集的服务数据示例包括:
- 用户分析(与开发者操作相关的数据)
- 遥测数据
- Google 反馈
遥测数据包含描述产品技术操作的数据。遥测数据的示例包括:
- 表示已发出请求(但不包括请求内容)的事件
- 指示已收到回答(但不包括回答内容)的事件
- 用户对回答的反应(例如,用户接受或拒绝回答)
- 已接受的建议的字符数长度
- 用户与各种界面元素的互动
Gemini Code Assist Standard 和 Enterprise 工程师可以访问遥测数据,以帮助不断改进产品。
您可以自定义选择在 Google 反馈表单中添加的信息(包括是否共享特定日志)。如需查看反馈历史记录,请参阅您的反馈报告。
数据的处理地点
Gemini Code Assist Standard 和 Enterprise 使用全球 Google Edge Network 接收数据以进行处理。通常,系统会在最接近请求源地的数据中心进行处理,但无法保证处理一定发生在该区域。
数据隐私
为了帮助保护您的数据隐私,Gemini Code Assist Standard 和 Enterprise 借助生成式 AI 技术遵守 Google 的隐私保护承诺。此承诺包括以下内容:
- Google 不会在未经您许可的情况下使用您的数据来训练模型。
- 我们在开发 Gemini Code Assist Standard 和 Enterprise 时会遵循隐私保护原则,例如通用隐私权原则中所述的原则。
如需详细了解我们的 AI 原则,请参阅 Google AI 原则。
Gemini Code Assist Standard 和 Enterprise 是所有客户数据(例如在个性化体验和推荐、问题排查以及服务维护等方面)的数据处理方。Google 还充当数据控制方,负责处理结算、账号管理和滥用检测等信息。如需了解详情,请参阅Google Cloud 隐私权声明。
认证
Gemini Code Assist Standard 和 Enterprise 已获得以下认证:
如需详细了解 Google Cloud 如何遵守不同的监管框架和认证,请访问合规性资源中心。
安全地使用 Gemini Code Assist Standard 和 Enterprise
一般来说,无论您是否使用 AI 编码辅助功能,Google 都建议您使用安全的软件开发生命周期 (SDLC) 来开发应用。如需详细了解 SDLC 最佳实践,请参阅什么是 DevOps?研究与解决方案和 SLSA。
Gemini Code Assist Standard 和 Enterprise 属于一项受赔偿保障的生成式 AI 服务。如果您在使用 Gemini Code Assist Standard 和 Enterprise 生成的内容后因版权问题而受到质疑,我们将承担由此带来的潜在法律风险。如需详细了解赔偿条款,请参阅我们的服务专用条款或阅读我们就此问题发布的博文。
后续步骤
了解生成式 AI、隐私权和 Google Cloud (PDF)。