针对生成式 AI 应用场景的 IAM 控制措施

本文档包含在 Google Cloud上运行生成式 AI 工作负载时,Identity and Access Management (IAM) 的最佳实践和指南。将 IAM 与 Vertex AI 搭配使用,可控制谁可以对生成式工作负载资源执行特定操作,例如创建、修改或删除这些资源。

必需的 IAM 控制措施

使用 IAM 时,强烈建议采用以下控制措施。

停用默认服务账号的自动 Identity and Access Management (IAM) 授权

Google 控制 ID IAM-CO-4.1
类别 必需
说明

当 Google Cloud 服务自动创建具有过于宽松角色的默认服务账号时,请使用 automaticIamGrantsForDefaultServiceAccounts 布尔值限制条件来停用自动角色授予功能。例如,如果您不强制执行此限制条件,并且创建了默认服务账号,则系统会自动向该服务账号授予项目的 Editor 角色 (roles/editor)。
适用的产品
  • IAM
  • 组织政策服务
路径 constraints/iam.automaticIamGrantsForDefaultServiceAccounts
运算符 Is
  • False
类型 布尔值
相关 NIST-800-53 控制措施
  • AC-3
  • AC-17
  • AC-20
相关 CRI 配置文件控制
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

禁止创建外部服务账号密钥

Google 控制 ID IAM-CO-4.2
类别 必需
说明

使用 iam.disableServiceAccountKeyCreation 布尔值限制条件来禁止创建外部服务账号密钥。此限制条件可让您控制服务账号的非托管式长期凭据的使用。设置此限制条件后,您便无法为受该限制条件影响的项目中的服务账号创建用户管理的凭据。
适用的产品
  • 组织政策服务
  • IAM
路径 constraints/iam.disableServiceAccountKeyCreation
运算符 Is
  • True
类型 布尔值
相关 NIST-800-53 控制措施
  • AC-3
  • AC-17
  • AC-20
相关 CRI 配置文件控制
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

禁止上传服务账号密钥

Google 控制 ID IAM-CO-4.3
类别 必需
说明

使用 iam.disableServiceAccountKeyUpload 布尔值限制条件来停用将外部公钥上传到服务账号。设置此限制条件后,用户无法将公钥上传到受限制条件影响的项目中的服务账号。
适用的产品
  • 组织政策服务
  • IAM
路径 constraints/iam.disableServiceAccountKeyUpload
运算符 Is
  • True
类型 布尔值
相关 NIST-800-53 控制措施
  • AC-3
  • AC-17
  • AC-20
相关 CRI 配置文件控制
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

根据您在生成式 AI 方面的使用情形,您可能需要额外的 IAM 控制措施。

实施标记,以便高效分配 Identity and Access Management (IAM) 政策和组织政策

Google 控制 ID IAM-CO-6.1
类别 推荐
说明

标记提供了一种为资源创建注解的方法,在某些情况下,可以根据资源是否有特定标记,有条件地允许或拒绝政策。使用标记并视情况执行政策,以便在资源层次结构内进行精细控制。
适用的产品
  • Resource Manager
相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-5
相关 CRI 配置文件控制
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
相关信息

审核对 Identity and Access Management (IAM) 的高风险更改

Google 控制 ID IAM-CO-7.1
类别 推荐
说明

使用 Cloud Audit Logs 监控高风险活动,例如向账号授予组织管理员和超级用户等高风险角色。针对此类活动设置提醒。
适用的产品
  • Cloud Audit Logs
相关 NIST-800-53 控制措施
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相关 CRI 配置文件控制
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相关信息

可选的通用控件

您可以根据组织的要求,选择性地实现以下控制措施。

为 Google 控制台配置情境感知访问权限

Google 控制 ID IAM-CO-8.2
类别 可选
说明

使用情境感知访问权限功能,您可以根据用户身份、位置、设备安全状态和 IP 地址等属性,针对应用创建精细的访问权限控制安全政策。我们建议您使用情境感知访问权限来限制对 Google Cloud 控制台 (https://console.cloud.google.com/) 和 Google 管理控制台 (https://admin.cloud.google.com) 的访问权限。
适用的产品
  • Cloud Identity
  • 情境感知访问权限
相关 NIST-800-53 控制措施
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

后续步骤