Halaman ini diterjemahkan oleh Cloud Translation API.

Postur yang telah ditentukan sebelumnya untuk AI yang aman, diperluas

Halaman ini menjelaskan kebijakan pencegahan dan deteksi yang disertakan dalam versi 1.0 postur bawaan untuk AI yang aman, diperluas. Postur ini mencakup dua set kebijakan:

Kumpulan kebijakan yang mencakup kebijakan organisasi yang berlaku untuk beban kerja Vertex AI.
Kumpulan kebijakan yang mencakup detektor Security Health Analytics kustom yang berlaku untuk beban kerja Vertex AI.

Anda dapat menggunakan postur yang telah ditentukan sebelumnya ini untuk mengonfigurasi postur keamanan yang membantu melindungi resource Gemini dan Vertex AI. Jika ingin men-deploy postur keamanan yang telah ditentukan sebelumnya ini, Anda harus menyesuaikan beberapa kebijakan agar berlaku untuk lingkungan Anda.

Batasan kebijakan organisasi

Tabel berikut menjelaskan kebijakan organisasi yang disertakan dalam postur ini.

Kebijakan	Deskripsi	Standar kepatuhan
`ainotebooks.accessMode`	Batasan ini menentukan mode akses yang diizinkan ke notebook dan instance Vertex AI Workbench. Anda harus mengonfigurasi nilai ini saat menerapkan postur yang telah ditentukan sebelumnya ini.	Kontrol NIST SP 800-53: AC-3(3) dan AC-6(1)
`ainotebooks.disableFileDownloads`	Batasan ini mencegah pembuatan instance Vertex AI Workbench dengan opsi download file diaktifkan. Secara default, opsi download file dapat diaktifkan di instance Vertex AI Workbench mana pun. Nilainya adalah `true` untuk menonaktifkan download file di instance Vertex AI Workbench baru.	Kontrol NIST SP 800-53: AC-3(1)
`ainotebooks.disableRootAccess`	Batasan ini mencegah notebook dan instance Vertex AI Workbench yang dikelola pengguna yang baru dibuat mengaktifkan akses root. Secara default, notebook dan instance yang dikelola pengguna Vertex AI Workbench dapat mengaktifkan akses root. Nilainya adalah `true` untuk menonaktifkan akses root di notebook dan instance Vertex AI Workbench yang dikelola pengguna yang baru.	Kontrol NIST SP 800-53: AC-3 dan AC-6(2)
`ainotebooks.disableTerminal`	Batasan ini mencegah pembuatan instance Vertex AI Workbench dengan terminal yang diaktifkan. Secara default, terminal dapat diaktifkan di instance Vertex AI Workbench. Nilainya adalah `true` untuk menonaktifkan terminal di instance Vertex AI Workbench baru.	Kontrol NIST SP 800-53: AC-3, AC-6, dan CM-2
`ainotebooks.environmentOptions`	Batasan ini menentukan opsi VM dan image container yang dapat dipilih pengguna saat membuat notebook dan instance Vertex AI Workbench baru yang menerapkan batasan ini. Opsi yang diizinkan atau ditolak harus dicantumkan secara eksplisit. Nilainya adalah sebagai berikut: policy_rules: - values: allowed_values: - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-1-15-cpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-2-1-cpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-1-15-gpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-2-1-gpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/caffe1-latest-cpu-experimental - is:ainotebooks-vm/deeplearning-platform-release/image-name/r-3-6-cpu-experimental-20200617 - is:ainotebooks-vm/deeplearning-platform-release/image-name/tf2-ent-2-1-cpu-20200613 - is:ainotebooks-vm/deeplearning-platform-release/image-name/tf2-2-2-cu101-20200616 - is:ainotebooks-vm/deeplearning-platform-release/image-name/tf-1-15-cu100-20200615 - is:ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615 - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15 - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-cpu.1-15:latest - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-cpu.1-15:m48 - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-cpu.1-15:m46 - is:ainotebooks-container/custom-container:latest	Kontrol NIST SP 800-53: AC-3, AC-6, dan CM-2
`ainotebooks.requireAutoUpgradeSchedule`	Batasan ini mewajibkan instance dan notebook yang dikelola pengguna Vertex AI Workbench yang baru dibuat memiliki jadwal upgrade otomatis yang ditetapkan. Nilainya adalah `true` untuk mewajibkan upgrade terjadwal otomatis pada notebook dan instance Vertex AI Workbench yang dikelola pengguna baru.	Kontrol NIST SP 800-53: AU-9, CM-2, dan CM-6
`ainotebooks.restrictPublicIp`	Batasan ini membatasi akses IP publik ke notebook dan instance Vertex AI Workbench yang baru dibuat. Secara default, IP publik dapat mengakses notebook dan instance Vertex AI Workbench. Nilainya adalah `true` untuk membatasi akses IP publik di notebook dan instance Vertex AI Workbench baru.	Kontrol NIST SP 800-53: AC-3, AC-4, dan SC-7
`ainotebooks.restrictVpcNetworks`	Daftar ini menentukan jaringan VPC yang dapat dipilih pengguna saat membuat instance Vertex AI Workbench baru tempat batasan ini diterapkan. Anda harus mengonfigurasi nilai ini saat mengadopsi postur yang telah ditentukan ini.	Kontrol NIST SP 800-53: AC-3, AC-4, dan CM-2

Detektor Security Health Analytics

Tabel berikut menjelaskan modul kustom untuk Security Health Analytics yang disertakan dalam postur yang telah ditentukan sebelumnya.

Nama pendeteksi	Resource yang berlaku	Deskripsi	Standar kepatuhan
vertexAIDataSetCMEKDisabled	`aiplatform.googleapis.com/Dataset`	Detektor ini memeriksa apakah ada set data yang tidak dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengatasi temuan ini, pastikan Anda telah membuat kunci dan key ring, menyiapkan izin, dan memberikan kunci saat membuat set data. Untuk mengetahui petunjuknya, lihat Mengonfigurasi CMEK untuk resource Anda.	Kontrol NIST SP 800-53: SC-12 dan SC-13
vertexAIModelCMEKDisabled	`aiplatform.googleapis.com/Model`	Detektor ini memeriksa apakah model tidak dienkripsi menggunakan CMEK. Untuk menyelesaikan temuan ini, pastikan Anda telah membuat kunci dan key ring, menyiapkan izin, dan memberikan kunci saat membuat model. Untuk mengetahui petunjuknya, lihat Mengonfigurasi CMEK untuk resource Anda.	Kontrol NIST SP 800-53: SC-12 dan SC-13
vertexAIEndpointCMEKDisabled	`aiplatform.googleapis.com/Endpoint`	Detektor ini memeriksa apakah endpoint tidak dienkripsi menggunakan CMEK. Untuk menyelesaikan temuan ini, pastikan Anda telah membuat kunci dan key ring, menyiapkan izin, dan memberikan kunci saat membuat endpoint. Untuk mengetahui petunjuknya, lihat Mengonfigurasi CMEK untuk resource Anda.	Kontrol NIST SP 800-53: SC-12 dan SC-13
vertexAITrainingPipelineCMEKDisabled	`aiplatform.googleapis.com/TrainingPipeline`	Detektor ini memeriksa apakah pipeline pelatihan tidak dienkripsi menggunakan CMEK. Untuk menyelesaikan temuan ini, pastikan Anda telah membuat kunci dan key ring, menyiapkan izin, dan memberikan kunci saat membuat pipeline pelatihan. Untuk mengetahui petunjuknya, lihat Mengonfigurasi CMEK untuk resource Anda.	Kontrol NIST SP 800-53: SC-12 dan SC-13
vertexAICustomJobCMEKDisabled	`aiplatform.googleapis.com/CustomJob`	Detektor ini memeriksa apakah tugas yang menjalankan workload kustom tidak dienkripsi menggunakan CMEK. Untuk menyelesaikan temuan ini, pastikan Anda telah membuat kunci dan key ring, menyiapkan izin, dan memberikan kunci saat membuat pekerjaan kustom. Untuk mengetahui petunjuknya, lihat Mengonfigurasi CMEK untuk resource Anda.	Kontrol NIST SP 800-53: SC-12 dan SC-13
vertexAIDataLabelingJobHyperparameterTuningJobCMEKDisabled	`aiplatform.googleapis.com/HyperparameterTuningJob`	Detektor ini memeriksa apakah tugas penyesuaian hyperparameter dienkripsi menggunakan CMEK. Untuk menyelesaikan temuan ini, pastikan Anda telah membuat kunci dan key ring, menyiapkan izin, dan memberikan kunci saat membuat tugas penyesuaian hyperparameter. Untuk mengetahui petunjuknya, lihat Mengonfigurasi CMEK untuk resource Anda.	Kontrol NIST SP 800-53: SC-12 dan SC-13

Melihat template postur

Untuk melihat template postur untuk AI yang aman, diperluas, lakukan tindakan berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended" | Select-Object -Expand Content

Respons berisi template postur.

Langkah berikutnya

Buat postur keamanan menggunakan postur standar ini.

Postur yang telah ditentukan sebelumnya untuk AI yang aman, diperluas Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Batasan kebijakan organisasi

Detektor Security Health Analytics

Melihat template postur

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

Langkah berikutnya

Postur yang telah ditentukan sebelumnya untuk AI yang aman, diperluas