このドキュメントでは、 Google Cloudで生成 AI ワークロードを実行する際の Secret Manager のベスト プラクティスとガイドラインについて説明します。Vertex AI で Secret Manager を使用して、Vertex AI プロジェクトで使用される機密データと認証情報を保護します。
Vertex AI での Secret Manager のユースケースは次のとおりです。
- モデルのトレーニングで使用される外部データソースにアクセスするための API キーを保存します。
- 安全なアクセスを実現するため、予測パイプライン内のデータベース認証情報を暗号化します。
- サービス間の安全な通信のために一時的なアクセス トークンをプロビジョニングします。
- 通信チャネルの暗号化に使用する秘密鍵と証明書を保護します。
- ML ワークフローで使用するサードパーティ サービスのパスワードと認証情報を管理します。
必要な Secret Manager コントロール
Secret Manager を使用する場合は、次のコントロールを実装することを強くおすすめします。
シークレットの自動ローテーションを設定する
| Google コントロール ID | SM-CO-6.2 |
|---|---|
| カテゴリ | 必須 |
| 説明 | シークレットを自動的にローテーションし、不正使用が発生した場合は緊急時のローテーション手順を使用します。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
生成 AI のユースケースに基づく推奨コントロール
機密データまたは機密性の高い生成 AI ワークロードを処理する場合は、該当する生成 AI ユースケースで次のコントロールを実装することをおすすめします。
シークレットを自動的に複製する
| Google コントロール ID | SM-CO-6.1 |
|---|---|
| カテゴリ | 推奨 |
| 説明 | ワークロードに特定のロケーション要件がない限り、自動レプリケーション ポリシーを選択してシークレットを複製します。自動ポリシーは、ほとんどのワークロードの可用性とパフォーマンスのニーズを満たしています。ワークロードに特定のロケーション要件がある場合は、API を使用して、シークレットの作成時にレプリケーション ポリシーのロケーションを選択できます。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |