生成式 AI 用途的 IAM 控制項

本文提供 Identity and Access Management (IAM) 最佳做法和指南,適用於在 Google Cloud上執行生成式 AI 工作負載的情況。您可以搭配 IAM 使用 Vertex AI,控管哪些使用者可以對生成式工作負載資源執行特定動作,例如建立、編輯或刪除資源。

必要的 IAM 控制項

使用 IAM 時,強烈建議您採用下列控制項。

停用預設服務帳戶的自動 Identity and Access Management (IAM) 授予功能

Google 控制項 ID IAM-CO-4.1
類別 必要
說明

如果 Google Cloud 服務自動建立具有過於寬鬆角色的預設服務帳戶,請使用 automaticIamGrantsForDefaultServiceAccounts 布林值限制停用自動角色授予功能。舉例來說,如果您未強制執行這項限制,當您建立預設服務帳戶時,系統會自動將專案的編輯者角色 (roles/editor) 授予該服務帳戶。
適用產品
  • IAM
  • 組織政策服務
路徑 constraints/iam.automaticIamGrantsForDefaultServiceAccounts
運算子 Is
  • False
類型 布林值
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

禁止建立外部服務帳戶金鑰

Google 控制項 ID IAM-CO-4.2
類別 必要
說明

使用 iam.disableServiceAccountKeyCreation 布林限制,禁止建立外部服務帳戶金鑰。這項限制可讓您控管服務帳戶的非代管長期憑證。設定此限制後,即無法為受限專案的服務帳戶建立使用者自行管理的憑證。
適用產品
  • 組織政策服務
  • IAM
路徑 constraints/iam.disableServiceAccountKeyCreation
運算子 Is
  • True
類型 布林值
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

禁止上傳服務帳戶金鑰

Google 控制項 ID IAM-CO-4.3
類別 必要
說明

使用 iam.disableServiceAccountKeyUpload 布林限制,禁止將外部公開金鑰上傳至服務帳戶。設定此限制後,使用者就無法將公開金鑰上傳至受限專案的服務帳戶。
適用產品
  • 組織政策服務
  • IAM
路徑 constraints/iam.disableServiceAccountKeyUpload
運算子 Is
  • True
類型 布林值
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

視生成式 AI 的用途而定,您可能需要採取額外的 IAM 控管措施。

導入標記以便有效指派 Identity and Access Management (IAM) 政策和組織政策

Google 控制項 ID IAM-CO-6.1
類別 建議
說明

標記可用於建立資源的註解,在某些情況下,還可將資源是否具備特定標記設為條件,並按照這項條件允許或拒絕政策。只要使用標記並依據條件強制執行政策,即可精細控管資源階層結構。
適用產品
  • Resource Manager
相關的 NIST-800-53 控制項
  • AC-2
  • AC-3
  • AC-5
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
相關資訊

稽核 Identity and Access Management (IAM) 的高風險變更

Google 控制項 ID IAM-CO-7.1
類別 建議
說明

使用 Cloud 稽核記錄監控高風險活動,例如帳戶獲派組織管理員和超級管理員等高風險角色。設定這類活動的快訊。
適用產品
  • Cloud 稽核記錄
相關的 NIST-800-53 控制項
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相關的 CRI 設定檔控制項
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相關資訊

選用的通用控制項

您可以視貴組織需求,選擇導入下列控制項。

為 Google 控制台設定情境感知存取權

Google 控制項 ID IAM-CO-8.2
類別 選用
說明

透過情境感知存取權功能,您可以根據使用者身分、位置、裝置安全性狀態和 IP 位址等屬性,為應用程式建立精細的存取控管安全性政策。建議您使用情境感知存取權,限制對 Google Cloud 控制台 (https://console.cloud.google.com/) 和 Google 管理控制台 (https://admin.cloud.google.com) 的存取權。
適用產品
  • Cloud Identity
  • 情境感知存取權
相關的 NIST-800-53 控制項
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

後續步驟