本文件說明 Gemini Code Assist Standard 和 Enterprise 的安全性控制項。這些控制項還可協助您遵守適用於貴商家的隱私權和法規規定。
Google Cloud 服務的安全性、隱私權和法規遵循是共同的責任。舉例來說,Google 會保護 Google Cloud 服務執行的基礎架構,並提供存取權控管等工具,讓您管理服務和資源的存取權。如要進一步瞭解我們如何保護基礎架構,請參閱 Google 基礎架構安全性設計總覽。
Gemini Code Assist Standard 和 Enterprise 架構
下圖顯示 Gemini Code Assist Standard 和 Enterprise 架構的元件。
這些元件包括:
- 在內部部署環境中,應用程式開發人員會安裝 Visual Studio 或 JetBrains 的 Gemini Code Assist 擴充功能。開發人員可以使用這個擴充功能與 Gemini Code Assist Standard 和 Enterprise 互動。
- 根據預設,擴充功能會透過網際網路使用加密的 TLS 連線,從內部部署環境連線至Google Cloud。如要在內部部署環境和 Google Cloud之間建立專屬安全連線,您可以設定 Cloud VPN 或 Cloud Interconnect。
- 您可以在 Google Cloud 環境中設定 VPC Service Controls 服務範圍。您可以使用 VPC Service Controls 定義安全性政策,禁止存取受信任範圍外的 Google 代管服務、禁止透過不受信任的位置存取資料,以及降低資料竊取的風險。
- 您 Google Cloud 啟用 Gemini Code Assist Standard 和 Enterprise 服務的專案。Gemini Code Assist Standard 版和 Enterprise 版會使用 Gemini for Google Cloud API 處理對話。Gemini for Google Cloud API 無法存取專案中的任何其他 API 或資源。
或者,如果貴機構使用 Cloud Workstations,開發人員可以在工作站中與 Gemini Code Assist Standard 和 Enterprise 互動。詳情請參閱「使用 Gemini Code Assist 編寫程式碼」。
與大多數 Google Cloud API 不同,Gemini for Google Cloud API 是專為 Google 提供的用戶端開發的 API。這個 API 可讓這些用戶端存取 Gemini Code Assist Standard 和 Enterprise 所需的無狀態 LLM。所有啟用 Gemini for Google Cloud API Standard 和 Enterprise 的 Google 客戶,都會共用這些 LLM 例項。
部署安全控管
本節將說明 Google Cloud中 Gemini Code Assist Standard 和 Enterprise 的部分安全控制項。
驗證
Gemini Code Assist Standard 和 Enterprise 要求應用程式開發人員進行驗證, Google Cloud 以驗證其身分和存取權限。您必須為每位開發人員設定由 Cloud Identity、Google Workspace 或您已與 Cloud Identity 或 Google Workspace 建立聯盟關係的識別資訊提供者管理的使用者帳戶。詳情請參閱「身分與存取權管理總覽」。
建立帳戶後,請考慮採用下列安全性最佳做法:
- 使用外部識別資訊提供者進行驗證時,請啟用單一登入功能。
- 使用兩步驟驗證功能,協助保護使用者免於密碼遭竊。
- 強制執行及監控使用者的密碼規定。
存取權控管
您可以使用身分與存取權管理 (IAM) 來控管應用程式開發人員對 Gemini Code Assist Standard 或 Enterprise 的存取權。如要大規模管理 IAM 角色,建議您為應用程式開發人員建立群組,並將 Gemini Code Assist Standard 和 Enterprise 所需的 IAM 角色或權限授予該群組。我們不建議將 IAM 角色授予個別使用者,因為個別指派作業可能會增加管理和稽核角色的複雜度。
為應用程式開發人員群組指派角色時,請務必遵守最小權限原則和其他 IAM 安全性最佳做法。
使用現有身分識別提供者的程序建立群組和成員資格。如要進一步瞭解如何設定 IAM,請參閱IAM 總覽。
如要進一步瞭解 Gemini Code Assist Standard 和 Enterprise 所需的 IAM 角色,請參閱「為專案設定 Gemini Code Assist」。如要進一步瞭解應用程式開發人員所需的最低權限,請參閱「進階設定工作」。
如要稽核管理和存取活動,請參閱「Gemini forGoogle Cloud」。
網路安全
根據預設,Google 會為所有Google Cloud 服務 (包括 Gemini Code Assist Standard 和 Enterprise) 的傳輸中資料套用保護措施。
主要連線是應用程式開發人員工作站與 Google Front End (GFE) 之間的連線。GFE 是全球分散式系統,可在 Google 網路和外部世界之間路由流量。Gemini Code Assist Standard 和 Enterprise 會使用這個連線接收開發人員提示並做出回應。根據預設,這個連線會使用 TLS 進行保護。如要進一步瞭解預設網路防護措施,請參閱「傳輸加密」。
如果貴機構有此需求,您可以設定額外的安全控管措施,進一步保護 Google Cloud 網路上的流量,以及 Google Cloud 網路與貴機構網路之間的流量。
請考量下列事項:
- 使用 Cloud VPN 或 Cloud Interconnect,盡可能提高公司網路與 Google Cloud之間連線的安全性和可靠性。詳情請參閱「選擇網路連線產品」。
使用 VPC Service Controls。您可以使用 VPC Service Controls 控管 Google 服務中的資料移動,並設定以內容為依據的範圍安全性。如要進一步瞭解如何設定 VPC Service Controls,請參閱「為 Gemini 設定 VPC Service Controls」。
在 Google Cloud中,建議您使用共用虛擬私有雲做為網路拓撲。共用虛擬私有雲可提供集中式網路設定管理,同時維持環境分隔。如要進一步瞭解網路拓撲,請參閱「決定 Google Cloud 目標網域的網路設計」一文。
如要進一步瞭解網路安全性最佳做法,請參閱「保護網路安全」和「決定 Google Cloud 目標區的網路設計」。
Gemini Code Assist Standard 版與 Enterprise 版的資料保護和隱私權
本節說明 Gemini Code Assist Standard 和 Enterprise 以及擴充功能如何保護您的資料和隱私權。
客戶資料
如需客戶資料的定義,請參閱《Google Cloud 服務條款》。如要瞭解我們如何處理及保護客戶資料,請參閱《Cloud 資料處理附加條款 (客戶)》。
舉例來說,Gemini Code Assist Standard 和 Enterprise 以及擴充功能會傳輸下列客戶資料:
- 提示資料,包括開發人員查詢
- Gemini Code Assist Standard 和 Enterprise 的回應資料
- 其他背景資訊,例如目前的對話記錄、IDE 中開啟的檔案片段、儲存在開啟檔案旁邊的檔案片段,以及目前檔案中的游標位置
由於 Gemini Code Assist Standard 和 Enterprise 是無狀態Google Cloud 服務,因此不會在Google Cloud中儲存提示和回覆。如有需要,您可以設定 Gemini Code Assist Standard 和 Enterprise,將使用者輸入內容和回應儲存在 Cloud Logging 值區中。詳情請參閱「查看 Gemini 記錄」。如要監控 Gemini Code Assist Standard 和 Enterprise 的用量,請參閱「監控 Gemini 的 Google Cloud 用量」。
如要瞭解 Google Cloud 如何加密靜態資料,請參閱「預設靜態資料加密」。
Gemini Code Assist Standard 和 Enterprise 的服務資料
Gemini Code Assist Standard 和 Enterprise 的服務資料定義請參閱《Google Cloud 隱私權聲明》。
Gemini Code Assist Standard 和 Enterprise 收集的服務資料範例包括:
- 使用者分析資料 (關於開發人員操作的資料)
- 遙測資料
- Google 意見回饋
遙測資料包含描述產品技術運作的資料。遙測資料的範例包括:
- 事件:表示已提出要求 (但不包含要求內容)
- 事件:指出已收到回應 (但不包含回應內容)
- 使用者對回應的反應 (例如使用者是否接受或拒絕回應)
- 已接受建議的字元數長度
- 使用者與各種 UI 元素的互動
Gemini Code Assist Standard 和 Enterprise 的工程師可存取遙測資料,以便持續改善產品。
您可以自訂 Google 意見回饋表單中要納入的資訊 (包括選擇分享或隱藏特定記錄)。如要查看意見回饋記錄,請參閱意見回饋報表。
資料處理位置
Gemini Code Assist Standard 和 Enterprise 會使用全球 Google Edge Network 接收要處理的資料。一般來說,處理作業會在最接近要求地理來源點的資料中心進行,但不保證區域性。
資料隱私權
為協助保護資料隱私,Gemini Code Assist Standard 和 Enterprise 會使用生成式 AI 技術,遵守 Google 的隱私權承諾。這項承諾包括以下項目:
- Google 不會未經同意,就使用您的資料訓練模型。
- 我們在開發 Gemini Code Assist Standard 和 Enterprise 時,會納入隱私權原則,例如「通用隱私權原則」中所述。
如要進一步瞭解我們的 AI 開發原則,請參閱 Google AI 開發原則。
Gemini Code Assist Standard 和 Enterprise 會處理所有客戶資料,例如在個人化體驗和推薦內容時,排解問題並維護服務。Google 也擔任資料控管者的角色,負責處理帳單和帳戶管理等資訊,以及偵測濫用行為。詳情請參閱 Google Cloud 隱私權聲明。
認證
Gemini Code Assist Standard 和 Enterprise 已取得下列認證:
如要進一步瞭解 Google Cloud 遵循不同法規架構和認證的相關資訊,請前往法規遵循資源中心。
安全使用 Gemini Code Assist Standard 和 Enterprise
一般來說,無論您是否使用 AI 程式碼輔助功能,Google 都建議您使用安全的軟體開發生命週期 (SDLC) 來開發應用程式。如要進一步瞭解 SDLC 最佳做法,請參閱「什麼是 DevOps?Research and Solutions 和 SLSA。
Gemini Code Assist Standard 和 Enterprise 是生成式 AI 賠償服務。如果您在使用 Gemini Code Assist Standard 和 Enterprise 生成的內容後,有人以著作權為由對您提出質疑,我們將承擔相關潛在法律風險的責任。如需賠償責任的完整詳細資料,請參閱我們的《服務專屬條款》或參閱這項問題的網誌文章。
後續步驟
瞭解生成式 AI、隱私權和 Google Cloud (PDF)。