本文档介绍了在 Google Cloud上运行生成式 AI 工作负载时,Secret Manager 的最佳实践和指南。将 Secret Manager 与 Vertex AI 搭配使用,有助于保护 Vertex AI 项目中使用的敏感数据和凭证。
以下是 Secret Manager 与 Vertex AI 搭配使用的一些应用场景:
- 存储用于访问模型训练中所用外部数据源的 API 密钥。
- 在预测流水线中加密数据库凭证,以实现安全访问。
- 为服务之间的安全通信提供临时访问令牌。
- 保护用于加密通信渠道的私钥和证书。
- 管理您在机器学习工作流中使用的第三方服务的密码和凭证。
必需的 Secret Manager 控制措施
使用 Secret Manager 时,强烈建议采用以下控制措施。
设置自动密文轮替
| Google 控制 ID | SM-CO-6.2 |
|---|---|
| 类别 | 必需 |
| 说明 | 自动轮替密文并在密文被破解时执行紧急轮替过程。 |
| 适用的产品 |
|
| 相关 NIST-800-53 控制措施 |
|
| 相关 CRI 配置文件控制措施 |
|
| 相关信息 |
基于生成式 AI 应用场景的推荐控制措施
如果您处理敏感数据或敏感的生成式 AI 工作负载,建议您在适用的生成式 AI 使用场景中实施以下控制措施。
自动复制密文
| Google 控制 ID | SM-CO-6.1 |
|---|---|
| 类别 | 推荐 |
| 说明 | 除非您的工作负载有特定的位置要求,否则请选择自动复制政策来复制密文。自动政策可满足大多数工作负载的可用性和性能需求。如果您的工作负载有特定位置要求,您可以在创建密文时使用 API 为复制政策选择位置。 |
| 适用的产品 |
|
| 相关 NIST-800-53 控制措施 |
|
| 相关 CRI 配置文件控制措施 |
|
| 相关信息 |