生成 AI ユースケースの IAM コントロール

このドキュメントでは、 Google Cloudで生成 AI ワークロードを実行する際の Identity and Access Management(IAM)のベスト プラクティスとガイドラインについて説明します。Vertex AI で IAM を使用して、生成ワークロード リソースに対して特定の操作(作成、編集、削除など)を実行できるユーザーを制御します。

必要な IAM コントロール

IAM を使用する場合は、次のコントロールを実装することを強くおすすめします。

デフォルトのサービス アカウントに対する Identity and Access Management(IAM)の自動付与を無効にする

Google コントロール ID IAM-CO-4.1
カテゴリ 必須
説明

Google Cloud サービスが制限の緩すぎるロールを持つデフォルトのサービス アカウントを自動的に作成する場合、automaticIamGrantsForDefaultServiceAccounts ブール型制約を使用して自動的なロール付与を無効にします。たとえば、この制約を適用せずにデフォルトのサービス アカウントを作成すると、そのサービス アカウントにはプロジェクトの編集者ロール(roles/editor)が自動的に付与されます。
対象プロダクト
  • IAM
  • 組織ポリシー サービス
パス constraints/iam.automaticIamGrantsForDefaultServiceAccounts
演算子 Is
  • False
ブール値
関連する NIST-800-53 コントロール
  • AC-3
  • AC-17
  • AC-20
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
関連情報

外部サービス アカウント キーの作成をブロックする

Google コントロール ID IAM-CO-4.2
カテゴリ 必須
説明

iam.disableServiceAccountKeyCreation ブール値制約を使用して、外部サービス アカウント キーの作成を無効にします。この制約を使用すると、サービス アカウントに関する、管理されない長期認証情報の使用を制御できます。この制約を設定すると、制約の影響を受けるプロジェクト内のサービス アカウントにユーザー管理の認証情報を作成できなくなります。
対象プロダクト
  • 組織ポリシー サービス
  • IAM
パス constraints/iam.disableServiceAccountKeyCreation
演算子 Is
  • True
ブール値
関連する NIST-800-53 コントロール
  • AC-3
  • AC-17
  • AC-20
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
関連情報

サービス アカウント キーのアップロードをブロックする

Google コントロール ID IAM-CO-4.3
カテゴリ 必須
説明

iam.disableServiceAccountKeyUpload ブール型制約を使用して、サービス アカウントに外部公開鍵をアップロードできないようにします。この制約を設定すると、ユーザーは制約の影響を受けるプロジェクト内のサービス アカウントに公開鍵をアップロードできなくなります。
対象プロダクト
  • 組織ポリシー サービス
  • IAM
パス constraints/iam.disableServiceAccountKeyUpload
演算子 Is
  • True
ブール値
関連する NIST-800-53 コントロール
  • AC-3
  • AC-17
  • AC-20
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
関連情報

生成 AI に関するユースケースによっては、追加の IAM コントロールが必要になる場合があります。

タグを実装して、Identity and Access Management(IAM)ポリシーと組織のポリシーを効率的に割り当てる

Google コントロール ID IAM-CO-6.1
カテゴリ 推奨
説明

タグを使用すると、リソースのアノテーションを作成できます。場合によっては、リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーの許可や拒否を行うことができます。タグと条件付きポリシー適用を使用して、リソース階層全体にわたり、きめ細かい制御を行います。
対象プロダクト
  • Resource Manager
関連する NIST-800-53 コントロール
  • AC-2
  • AC-3
  • AC-5
関連する CRI プロファイル コントロール
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
関連情報

Identity and Access Management(IAM)に対するリスクの高い変更を監査する

Google コントロール ID IAM-CO-7.1
カテゴリ 推奨
説明

Cloud Audit Logs を使用して、組織管理者や特権管理者などのリスクの高いロールがアカウントに付与されるなど、リスクの高いアクティビティをモニタリングします。このタイプのアクティビティに関するアラートを設定します。
対象プロダクト
  • Cloud Audit Logs
関連する NIST-800-53 コントロール
  • AU-2
  • AU-3
  • AU-8
  • AU-9
関連する CRI プロファイル コントロール
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
関連情報

オプションの共通コントロール

組織の要件に基づいて、次のコントロールを実装することもできます。

Google コンソールのコンテキストアウェア アクセスを構成する

Google コントロール ID IAM-CO-8.2
カテゴリ オプション
説明

コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリケーションに対する詳細なアクセス制御セキュリティ ポリシーを設定できます。コンテキストアウェア アクセスを使用して、 Google Cloud コンソール(https://console.cloud.google.com/)と Google 管理コンソール(https://admin.cloud.google.com)へのアクセスを制限することをおすすめします。
対象プロダクト
  • Cloud Identity
  • コンテキストアウェア アクセス
関連する NIST-800-53 コントロール
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
関連情報

次のステップ