生成 AI のユースケースの Vertex AI コントロール

Vertex AI を使用すると、AI ソリューション、検索、会話など、生成 AI を単一のプラットフォームで構築して使用できます。このドキュメントでは、 Google Cloudで生成 AI ワークロードを実行する際の Vertex AI のベスト プラクティスとガイドラインについて説明します。

必要な Vertex AI コントロール

Vertex AI 環境では、次のコントロールを実装することを強くおすすめします。

Vertex AI Workbench のノートブックとインスタンスのアクセスモードを定義する

Google コントロール ID VAI-CO-4.1
カテゴリ 必須
説明

このリスト型制約は、Vertex AI Workbench のノートブックとインスタンスに対して許可されるアクセスモードを定義します。許可リストまたは拒否リストにおいて、service-account モードでは複数のユーザーの指定、single-user モードではシングル ユーザー アクセスを指定できます。
対象プロダクト
  • Vertex AI Workbench
  • 組織ポリシー サービス
パス constraints/ainotebooks.accessMode
演算子 Is
  • service-account
  • single-user
関連する NIST-800-53 コントロール
  • AC-3
  • AC-17
  • AC-20
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Vertex AI Workbench インスタンスでファイルのダウンロードを無効にする

Google コントロール ID VAI-CO-4.2
カテゴリ 必須
説明

ainotebooks.disableFileDownloads ブール型制約により、ファイル ダウンロード オプションを有効にした状態で Vertex AI Workbench インスタンスを作成できなくなります。デフォルトでは、任意の Vertex AI Workbench インスタンスでファイル ダウンロード オプションを有効にできます。
対象プロダクト
  • 組織ポリシー サービス
  • Vertex AI Workbench
パス constraints/ainotebooks.disableFileDownloads
演算子 Is
  • True
ブール値
関連する NIST-800-53 コントロール
  • AC-3
  • AC-17
  • AC-20
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Vertex AI Workbench のユーザー管理のノートブックとインスタンスで root アクセスを無効にする

Google コントロール ID VAI-CO-4.3
カテゴリ 必須
説明

ainotebooks.disableRootAccess ブール型制約により、root アクセスを有効にした状態で Vertex AI Workbench ユーザー管理のノートブックとインスタンスを作成できなくなります。デフォルトでは、Vertex AI Workbench のユーザー管理のノートブックとインスタンスで root アクセスを有効にできます。
対象プロダクト
  • 組織ポリシー サービス
  • Vertex AI Workbench
パス constraints/ainotebooks.disableRootAccess
演算子 Is
  • True
ブール値
関連する NIST-800-53 コントロール
  • AC-3
  • AC-17
  • AC-20
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Vertex AI Workbench インスタンスでターミナルを無効にする

Google コントロール ID VAI-CO-4.4
カテゴリ 必須
説明

ainotebooks.disableTerminal ブール型制約により、ターミナルを有効にした状態で Vertex AI Workbench インスタンスを作成できなくなります。デフォルトでは、Vertex AI Workbench インスタンスでターミナルを有効にできます。
対象プロダクト
  • 組織ポリシー サービス
  • Vertex AI Workbench
パス constraints/ainotebooks.disableTerminal
演算子 Is
  • True
ブール値
関連する NIST-800-53 コントロール
  • AC-3
  • AC-17
  • AC-20
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Vertex AI Workbench のノートブックとインスタンスの環境オプションを制限する

Google コントロール ID VAI-CO-4.5
カテゴリ 必須
説明

ainotebooks.environmentOptions リスト型制約により、Vertex AI Workbench のノートブックとインスタンスの作成時に選択できる VM とコンテナ イメージのオプションを定義します。許可または拒否するオプションを明示的に指定する必要があります。

VM インスタンスの想定される形式は ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE です。IMAGE_TYPE は、image-family または image-name に置き換えます。

例:

ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615

コンテナ イメージの形式は ainotebooks-container/CONTAINER_REPOSITORY:TAG です。

例:

ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48
対象プロダクト
  • 組織ポリシー サービス
  • Vertex AI Workbench
パス constraints/ainotebooks.environmentOptions
演算子 Is
リスト
関連する NIST-800-53 コントロール
  • AC-3
  • AC-17
  • AC-20
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Vertex AI Workbench ユーザー管理ノートブックとインスタンスで自動アップグレードのスケジュールを適用する

Google コントロール ID VAI-CO-4.6
カテゴリ 必須
説明

ainotebooks.requireAutoUpgradeSchedule ブール型制約により、自動アップグレード スケジュールなしで Vertex AI Workbench ユーザー管理のノートブックとインスタンスを作成できなくなります。

自動アップグレードの cron スケジュールを定義するには、notebook-upgrade-schedule メタデータ フラグを使用します。例:

--metadata=notebook-upgrade-schedule="00 19 * * MON"
対象プロダクト
  • 組織ポリシー サービス
  • Vertex AI Workbench
パス constraints/ainotebooks.requireAutoUpgradeSchedule
演算子 Is
  • True
ブール値
関連する NIST-800-53 コントロール
  • MA-2
  • MA-3
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

新しい Vertex AI Workbench のノートブックとインスタンスに対するパブリック アクセスを制限する

Google コントロール ID VAI-CO-4.7
カテゴリ 必須
説明

このブール型制約により、パブリック IP アドレスから Vertex AI Workbench のノートブックとインスタンスへのアクセスが制限されます。デフォルトでは、パブリック IP アドレスから Vertex AI Workbench のノートブックとインスタンスにアクセスできます。
対象プロダクト
  • 組織ポリシー サービス
  • Vertex AI Workbench
パス constraints/ainotebooks.restrictPublicIp
演算子 is
  • True
ブール値
関連する NIST-800-53 コントロール
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

Vertex AI Workbench インスタンスで VPC ネットワークを制限する

Google コントロール ID VAI-CO-4.8
カテゴリ 必須
説明

ainotebooks.restrictVpcNetworks リスト型制約では、Vertex AI Workbench インスタンスの作成時にユーザーが選択できる VPC ネットワークを定義します。デフォルトでは、Vertex AI Workbench インスタンスは任意の VPC ネットワークに作成できます。

次のいずれかの形式を使用して、ネットワークの許可リストまたは拒否リストを定義します。

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/networks/NETWORK_NAME
対象プロダクト
  • 組織ポリシー サービス
  • Vertex AI Workbench
パス constraints/ainotebooks.restrictVpcNetworks
演算子 is
リスト
関連する NIST-800-53 コントロール
  • AC-3
  • AC-17
  • AC-20
  • SC-7
  • SC-8
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-3.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4

次のステップ