本页面介绍了预定义的安全 AI 姿态(基本)的 v1.0.0 版本中包含的预防性政策和检测性政策。此姿态包含两个政策集:
包含适用于 Vertex AI 工作负载的组织政策的政策集。
包含适用于 Vertex AI 工作负载的自定义 Security Health Analytics 检测器的政策集。
您可以使用此姿态配置有助于保护 Gemini 和 Vertex AI 资源的安全姿态。您可以部署此预定义姿势,而无需进行任何更改。
| 政策 | 说明 | 合规性标准 |
|---|---|---|
ainotebooks.disableFileDownloads |
此限制条件会阻止创建已启用文件下载选项的 Vertex AI Workbench 实例。默认情况下,文件下载选项可在任何 Vertex AI Workbench 实例上启用。 值为 |
NIST SP 800-53 控制措施:AC-3(1) |
ainotebooks.disableRootAccess |
此限制条件会阻止新创建的 Vertex AI Workbench 用户管理的笔记本和实例启用根访问权限。默认情况下,Vertex AI Workbench 用户管理的笔记本和实例可以启用根访问权限。 值为 |
NIST SP 800-53 控制措施:AC-3 和 AC-6(2) |
ainotebooks.disableTerminal |
此限制条件会阻止在终端启用的情况下创建 Vertex AI Workbench 实例。默认情况下,终端可在 Vertex AI Workbench 实例上启用。 值为 |
NIST SP 800-53 控制措施:AC-3、AC-6 和 CM-2 |
ainotebooks.requireAutoUpgradeSchedule |
此限制条件要求新创建的 Vertex AI Workbench 用户管理的笔记本和实例设置自动升级计划。 值为 |
NIST SP 800-53 控制措施:AU-9、CM-2 和 CM-6 |
ainotebooks.restrictPublicIp |
此限制条件会限制公共 IP 对新创建的 Vertex AI Workbench 笔记本和实例的访问权限。默认情况下,公共 IP 地址可以访问 Vertex AI Workbench 笔记本和实例。 值为 |
NIST SP 800-53 控制措施:AC-3、AC-4 和 SC-7 |
Security Health Analytics 检测器
下表介绍了预定义状况中包含的 Security Health Analytics 自定义模块。
| 检测器名称 | 适用的资源 | 说明 | 合规性标准 |
|---|---|---|---|
| vertexAIDataSetCMEKDisabled | aiplatform.googleapis.com/Dataset |
此检测器会检查是否有任何数据集未使用客户管理的加密密钥 (CMEK) 进行加密。 如需解决此问题,请验证您是否已创建密钥和密钥环、设置权限,并在创建数据集时提供了密钥。如需了解相关说明,请参阅为您的资源配置 CMEK |
NIST SP 800-53 控制:SC-12 和 SC-13 |
| vertexAIModelCMEKDisabled | aiplatform.googleapis.com/Model |
此检测器会检查模型是否未使用 CMEK 进行加密。 如需解决此问题,请验证您是否已创建密钥和密钥环、设置权限,以及在创建模型时提供了密钥。如需了解相关说明,请参阅为资源配置 CMEK。 |
NIST SP 800-53 控制:SC-12 和 SC-13 |
| vertexAIEndpointCMEKDisabled | aiplatform.googleapis.com/Endpoint |
此检测器会检查端点是否未使用 CMEK 进行加密。 如需解决此问题,请验证您是否已创建密钥和密钥环、设置权限,以及在创建端点时提供了密钥。如需了解相关说明,请参阅为资源配置 CMEK。 |
NIST SP 800-53 控制:SC-12 和 SC-13 |
| vertexAITrainingPipelineCMEKDisabled | aiplatform.googleapis.com/TrainingPipeline |
此检测器会检查训练流水线是否未使用 CMEK 进行加密。 如需解决此问题,请验证您是否已创建密钥和密钥环、设置权限,并在创建训练流水线时提供了密钥。如需了解相关说明,请参阅为资源配置 CMEK。 |
NIST SP 800-53 控制:SC-12 和 SC-13 |
| vertexAICustomJobCMEKDisabled | aiplatform.googleapis.com/CustomJob |
此检测器会检查运行自定义工作负载的作业是否未使用 CMEK 进行加密。 如需解决此发现结果,请验证您是否已创建密钥和密钥环、设置权限,以及在创建自定义作业时提供了密钥。如需了解相关说明,请参阅为资源配置 CMEK。 |
NIST SP 800-53 控制:SC-12 和 SC-13 |
| vertexAIDataLabelingJobHyperparameterTuningJobCMEKDisabled | aiplatform.googleapis.com/HyperparameterTuningJob |
此检测器会检查超参数调优作业是否未使用 CMEK 加密。 如需解决此发现结果,请验证您是否已创建密钥和密钥环、设置权限,并在创建超参数调节作业时提供了密钥。如需了解相关说明,请参阅为资源配置 CMEK。 |
NIST SP 800-53 控制:SC-12 和 SC-13 |
查看姿态模板
如需查看“安全 AI,基本功能”的安全状况模板,请执行以下操作:
gcloud
在使用下面的命令数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
执行 gcloud scc posture-templates
describe 命令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential
响应包含姿势模板。
REST
在使用任何请求数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
HTTP 方法和网址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential
如需发送您的请求,请展开以下选项之一:
响应包含姿势模板。