このドキュメントでは、 Google Cloudで生成 AI ワークロードを実行する際の Resource Manager のベスト プラクティスとガイドラインについて説明します。Vertex AI で Resource Manager を使用して、Vertex AI ワークロードの論理コンポーネントをグループ化して管理します。
Vertex AI での Resource Manager のユースケースは次のとおりです。
- リソースとデータの分離と、きめ細かいアクセス制御を確保するために、チームや部門ごとに個別のプロジェクトを作成します。
- 保護セキュリティ ポリシーを AI ワークロードに適用します。
- トレーニング ジョブでの GPU 使用量の割り当てを定義して、費用の超過を防ぎます。
- 新しいプロジェクトに必要な Cloud Storage バケットと Compute Engine インスタンスの作成を自動化します。
- 特定プロジェクトのリソース使用パターンを追跡して分析し、リソース割り当てを最適化します。
- 監査レポートを生成して、データ ガバナンスとセキュリティ ポリシーに準拠していることを証明します。
必要な Resource Manager コントール
Resource Manager を使用する場合は、次のコントロールを実装することを強くおすすめします。
リソース サービスの使用を制限する
| Google コントロール ID | RM-CO-4.1 |
|---|---|
| カテゴリ | 必須 |
| 説明 | gcp.restrictServiceUsage 制約により、承認済みの Google Cloud サービスのみが適切な場所で使用されるようにします。たとえば、本番環境のフォルダや機密性の高いフォルダには、データの保存を承認する Google Cloud サービスを制限します。サンドボックス フォルダは、より多くのサービスをリストに追加して承認して、それと同時に、データの引き出しを防ぐデータ セキュリティ コントロールを設定します。この値はシステムに固有のもので、特定のフォルダとプロジェクトの承認済みサービスと依存関係のリストと一致します。 |
| 対象プロダクト |
|
| パス | constraints/gcp.restrictServiceUsage |
| 演算子 | Is |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
リソースのロケーションを制限する
| Google コントロール ID | RM-CO-4.2 |
|---|---|
| カテゴリ | 必須 |
| 説明 | リソース ロケーション制限( gcp.resourceLocations)制約により、承認された Google Cloud リージョンのみがデータの保存に使用されるようにします。値はシステムに固有であり、組織のデータ所在地に関する承認済みリージョンのリストと一致します。 |
| 対象プロダクト |
|
| パス | constraints/gcp.resourceLocations |
| 演算子 | Is |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |