Gemini Enterprise 安全概览

Google 可帮助组织保护云环境、保护数据以及遵守行业法规。如需大致了解 Google Cloud的所有方面的安全性，请参阅Google Cloud 安全概览。

最终用户安全配置

在 Gemini Enterprise 中管理 Identity and Access Management (IAM) 设置对于安全性至关重要。 本部分列出的资源可帮助您了解 Gemini Enterprise 中的权限和访问权限控制：

• 身份和权限
• 设置外部身份
• 向 Gemini Enterprise API 进行身份验证
• 使用 IAM 进行访问权限控制

支持以下身份验证框架：

• 员工身份联合

• Google 身份

• 工作负载身份联合

Gemini Enterprise 数据安全

保护您的数据免遭威胁、泄露和身份盗用至关重要。Gemini Enterprise 采取以下安全措施：

• Gemini Enterprise 已与 VPC Service Controls 集成。

• 使用客户管理的加密密钥 (CMEK) 进行默认数据加密。

  Gemini Enterprise 还支持外部密钥管理器 (EKM) 或硬件安全模块 (HSM)。如需了解适用于 CMEK 和 EKM 的限制，请参阅 Gemini Enterprise 中 Cloud Key Management Service 的限制。

Gemini Enterprise 合规性

数据合规性是指在处理个人信息和敏感信息时，满足法律和法规要求。它可管理数据收集、存储、使用和安全性，以确保隐私和保护。

本部分列出的资源提供了相关信息，可帮助您保持数据透明度和合规性：

• 启用 Access Transparency
• 审核日志记录
• Gemini Enterprise 位置
• 合规性和安全控制
• Gemini Enterprise 会在 60 天内删除用户请求的数据。如需了解详情，请参阅 Google Cloud上的数据删除。

此外，Gemini Enterprise 符合 FedRAMP 高风险级别要求。

员工身份联合和身份池管理员

如果您使用员工身份联合对用户进行身份验证，则需要向部分管理员授予 IAM Workforce Identity Pool Admin (roles/iam.workforcePoolAdmin) 和 IAM Workforce Pool Editor (roles/iam.workforcePoolEditor) IAM 角色。这些角色具有强大的权限，可用于冒充其他用户来获取文档访问权限并执行未经授权的操作。

因此，我们建议您执行以下操作：

• 仅向绝对需要这些员工池角色的受信任管理员授予这些角色。

• 使用 Privileged Access Manager 为这些角色设置权限并审核其使用情况。

必需的 Google Cloud API

如需开始使用 Gemini Enterprise，您必须启用以下 API：

• Vertex AI API
• Gemini Enterprise (Discovery Engine) API
• Cloud Storage API
• Identity and Access Management API

如需详细了解如何开始使用 Gemini Enterprise，请参阅准备工作部分。

如需停用 Gemini Enterprise (Discovery Engine) API，请参阅关闭 Gemini Enterprise。

第三方连接器和公共端点

第三方连接器可与 Google 网络之外的公共端点进行交互；例如，用于轮询数据的第三方 API 的端点或用于实时同步的 webhook 网址。由于 VPC Service Controls 旨在管控 Google Cloud 服务，因此它们本身不会阻止或保护流向这些外部非 Google 端点的流量。

为缓解此风险，Gemini Enterprise 会确保您的出站流量受到精细 VPC 防火墙规则的保护，这些规则会将出站连接仅限于您提供的外部服务的完全限定域名 (FQDN)。