Postura predefinida para IA segura, itens essenciais
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Nesta página, descrevemos as políticas preventivas e de detecção incluídas na
versão 1.0.0 da postura predefinida para IA segura, Essentials. Essa postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui políticas da organização aplicáveis a
cargas de trabalho da Vertex AI.
Um conjunto de políticas que inclui detectores personalizados do Security Health Analytics aplicáveis a
cargas de trabalho da Vertex AI.
É possível usar essa postura para configurar uma postura de segurança que ajuda a proteger os recursos do Gemini e da Vertex AI. É possível implantar essa postura predefinida sem fazer mudanças.
Política
Descrição
Padrões de compliance
ainotebooks.disableFileDownloads
Essa restrição impede a criação de instâncias do Vertex AI Workbench com a opção de download de arquivo ativada. Por padrão, essa opção pode ser ativada em qualquer instância do Vertex AI Workbench.
O valor é true para
desativar downloads de arquivos em novas instâncias do Vertex AI Workbench.
Controle NIST SP 800-53: AC-3(1)
ainotebooks.disableRootAccess
Essa restrição impede que
instâncias e notebooks do Vertex AI Workbench recém-criados e gerenciados pelos usuários
ativem o acesso raiz. Por padrão, as instâncias e os notebooks do Vertex AI Workbench gerenciados pelos usuários podem ter o acesso raiz ativado.
O valor é true para desativar o acesso raiz em novas instâncias e notebooks do Vertex AI Workbench gerenciados pelos usuários.
Controle NIST SP 800-53: AC-3 e AC-6(2)
ainotebooks.disableTerminal
Essa restrição impede a criação de instâncias do Vertex AI Workbench
com o terminal ativado. Por padrão, o terminal pode ser ativado nas instâncias do Vertex AI Workbench.
O valor é true para desativar o terminal em novas instâncias do Vertex AI Workbench.
Controle NIST SP 800-53: AC-3, AC-6 e CM-2
ainotebooks.requireAutoUpgradeSchedule
Essa restrição
exige que as instâncias e os notebooks gerenciados pelo usuário do Vertex AI Workbench recém-criados tenham uma programação de atualização automática definida.
O valor é true para exigir atualizações programadas automáticas em novos notebooks e instâncias do Vertex AI Workbench gerenciados pelo usuário.
Controle NIST SP 800-53: AU-9, CM-2 e CM-6
ainotebooks.restrictPublicIp
Essa restrição limita o acesso de IP público a notebooks e instâncias recém-criados do Vertex AI Workbench. Por padrão, os endereços IP públicos podem acessar notebooks e instâncias do Vertex AI Workbench.
O valor é true para restringir o acesso de IP público em
novos notebooks e instâncias do Vertex AI Workbench.
Controle NIST SP 800-53: AC-3, AC-4 e SC-7
Detectores do Security Health Analytics
A tabela a seguir descreve os módulos personalizados do Security Health Analytics incluídos na postura predefinida.
Para resolver esse problema, verifique se você criou a chave e
o keyring, configurou as permissões e forneceu a chave ao criar o
conjunto de dados. Para instruções, consulte Configurar a CMEK para seus recursos.
Controle NIST SP 800-53: SC-12 e SC-13
vertexAIModelCMEKDisabled
aiplatform.googleapis.com/Model
Esse detector verifica se um modelo não está criptografado usando uma CMEK.
Para resolver esse problema, verifique se você criou a chave e o keyring, configurou as permissões e forneceu a chave ao criar o modelo. Para instruções, consulte Configurar a CMEK para seus recursos.
Controle NIST SP 800-53: SC-12 e SC-13
vertexAIEndpointCMEKDisabled
aiplatform.googleapis.com/Endpoint
Esse detector verifica se um endpoint não está criptografado usando uma CMEK.
Para resolver esse problema, verifique se você criou a chave e o keyring, configurou as permissões e forneceu a chave ao criar o endpoint. Para instruções, consulte Configurar a CMEK para seus recursos.
Controle NIST SP 800-53: SC-12 e SC-13
vertexAITrainingPipelineCMEKDisabled
aiplatform.googleapis.com/TrainingPipeline
Esse detector verifica se um pipeline de treinamento não está criptografado usando uma CMEK.
Para resolver esse problema, verifique se você criou a chave e o keyring, configurou as permissões e forneceu a chave ao criar o pipeline de treinamento. Para instruções, consulte Configurar a CMEK para seus recursos.
Para resolver essa descoberta, verifique se você criou a chave e o
keyring, configurou as permissões e forneceu a chave ao criar seu
job personalizado. Para instruções, consulte Configurar a CMEK para seus recursos.
Para resolver essa descoberta, verifique se você criou a chave e
o keyring, configurou as permissões e forneceu a chave ao criar o
job de ajuste de hiperparâmetros. Para instruções, consulte Configurar a CMEK para seus recursos.
Controle NIST SP 800-53: SC-12 e SC-13
Ver o modelo de postura
Para conferir o modelo de postura para IA essencial e segura, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[],[],null,["# Predefined posture for secure AI, essentials\n\n| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers) (requires [organization-level activation](/security-command-center/docs/activate-scc-overview#overview_of_organization-level_activation))\n\nThis page describes the preventative and detective policies that are included in\nthe v1.0.0 version of the predefined posture for secure AI, essentials. This\nposture includes two policy sets:\n\n- A policy set that includes organization policies that apply to\n Vertex AI workloads.\n\n- A policy set that includes custom Security Health Analytics detectors that apply to\n Vertex AI workloads.\n\nYou can use this posture to configure a security posture that helps protect\nGemini and\nVertex AI resources. You can deploy this predefined posture without\nmaking any changes.\n\nSecurity Health Analytics detectors\n-----------------------------------\n\nThe following table describes the custom modules for Security Health Analytics that are\nincluded in the predefined posture.\n\nView the posture template\n-------------------------\n\n\nTo view the posture template for secure AI, essentials, do the following: \n\n### gcloud\n\n\nBefore using any of the command data below,\nmake the following replacements:\n\n- \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the numeric ID of the organization\n\n\nExecute the\n\n\n[`gcloud scc posture-templates\ndescribe`](/sdk/gcloud/reference/scc/posture-templates/describe)\n\n\ncommand:\n\n#### Linux, macOS, or Cloud Shell\n\n```bash\ngcloud scc posture-templates describe \\\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential\n```\n\n#### Windows (PowerShell)\n\n```bash\ngcloud scc posture-templates describe `\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential\n```\n\n#### Windows (cmd.exe)\n\n```bash\ngcloud scc posture-templates describe ^\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential\n```\n\nThe response contains the posture template.\n\n### REST\n\n\nBefore using any of the request data,\nmake the following replacements:\n\n- \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the numeric ID of the organization\n\n\nHTTP method and URL:\n\n```\nGET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential\n```\n\nTo send your request, expand one of these options:\n\n#### curl (Linux, macOS, or Cloud Shell)\n\n| **Note:** The following command assumes that you have logged in to the `gcloud` CLI with your user account by running [`gcloud init`](/sdk/gcloud/reference/init) or [`gcloud auth login`](/sdk/gcloud/reference/auth/login) , or by using [Cloud Shell](/shell/docs), which automatically logs you into the `gcloud` CLI . You can check the currently active account by running [`gcloud auth list`](/sdk/gcloud/reference/auth/list).\n\n\nExecute the following command:\n\n```\ncurl -X GET \\\n -H \"Authorization: Bearer $(gcloud auth print-access-token)\" \\\n \"https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential\"\n```\n\n#### PowerShell (Windows)\n\n| **Note:** The following command assumes that you have logged in to the `gcloud` CLI with your user account by running [`gcloud init`](/sdk/gcloud/reference/init) or [`gcloud auth login`](/sdk/gcloud/reference/auth/login) . You can check the currently active account by running [`gcloud auth list`](/sdk/gcloud/reference/auth/list).\n\n\nExecute the following command:\n\n```\n$cred = gcloud auth print-access-token\n$headers = @{ \"Authorization\" = \"Bearer $cred\" }\n\nInvoke-WebRequest `\n -Method GET `\n -Headers $headers `\n -Uri \"https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential\" | Select-Object -Expand Content\n```\n\nThe response contains the posture template.\n\nWhat's next\n-----------\n\n- [Create a security posture using this predefined posture](/security-command-center/docs/how-to-use-security-posture)."]]
