Configurer VPC Service Controls pour Gemini

Ce document explique comment configurer VPC Service Controls pour prendre en charge Gemini pour Google Cloud, un outil de collaboration optimisé par l'IA dans Google Cloud. Pour terminer cette configuration, procédez comme suit:

  1. Mettez à jour le périmètre de service de votre organisation pour inclure Gemini. Dans ce document, nous partons du principe que vous disposez déjà d'un périmètre de service au niveau au niveau de l'organisation. Pour en savoir plus sur les périmètres de service, consultez Les détails du périmètre de service configuration.

  2. Dans les projets pour lesquels vous avez activé l'accès à Gemini, configurez les réseaux VPC pour bloquer le trafic sortant, à l'exception du trafic à destination de la plage VIP restreinte.

Avant de commencer

  1. Assurez-vous que Gemini est configuré pour votre compte utilisateur et votre projet Google Cloud.
  2. Assurez-vous de disposer de la gestion du Identity and Access Management (IAM) requise. des rôles pour configurer et administrer VPC Service Controls.

  3. Assurez-vous de disposer, au niveau de l'organisation, d'un périmètre de service pouvez utiliser pour configurer Gemini. Si vous n'avez pas de service périmètre à ce niveau, vous pouvez en créer un.

Ajouter Gemini à votre périmètre de service

Pour utiliser VPC Service Controls avec Gemini, vous devez ajouter Gemini au périmètre de service au niveau de l'organisation. Le périmètre de service doit inclure tous les éléments les services que vous utilisez avec Gemini et d'autres services Google Cloud ; que vous voulez protéger.

Pour ajouter Gemini à votre périmètre de service, procédez comme suit:

  1. Dans Google Cloud Console, accédez à la page VPC Service Controls.

    Accéder à VPC Service Controls

  2. Sélectionnez votre organisation.

  3. Sur la page VPC Service Controls (Contrôles des services VPC), cliquez sur le nom de votre périmètre.

  4. Cliquez sur Ajouter des ressources, puis procédez comme suit :

    1. Pour chaque projet dans lequel vous avez activé Gemini, dans le Le volet Ajouter des ressources, cliquez sur Ajouter un projet, puis procédez comme suit:

      1. Dans la boîte de dialogue Ajouter des projets, sélectionnez les projets que vous souhaitez ajouter.

        Si vous utilisez un VPC partagé, ajoutez le projet hôte et les projets de service au périmètre de service.

      2. Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets. .

    2. Pour chaque réseau VPC de vos projets, dans la section Ajouter des ressources, cliquez sur Ajouter un réseau VPC, puis procédez comme suit:

      1. Dans la liste des projets, cliquez sur celui qui contient le réseau VPC.

      2. Dans la boîte de dialogue Ajouter des ressources, cochez la case correspondant au réseau VPC.

      3. Cliquez sur Ajouter les ressources sélectionnées. Le réseau ajouté apparaît dans le VPC réseaux sociaux.

  5. Cliquez sur Services restreints, puis procédez comme suit :

    1. Dans le volet Services restreints, cliquez sur Ajouter des services.

    2. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez l'API Gemini pour Google Cloud en tant que service que vous souhaitez sécuriser ; dans le périmètre.

    3. Cliquez sur Ajouter des services n, où n est le nombre de que vous avez sélectionnés à l'étape précédente.

  6. Facultatif: Si vos développeurs doivent utiliser Gemini dans le du plug-in Cloud Code dans leurs IDE, vous allez vous devez ajouter l'API Cloud Code à la liste Services restreints, et configurer la règle d'entrée.

    Activer VPC Service Controls pour Gemini empêche l'accès depuis l'extérieur du périmètre, y compris lors de l'exécution de l'IDE Cloud Code des extensions de machines hors du périmètre, comme les ordinateurs portables de l'entreprise. Par conséquent, ces étapes sont nécessaires si vous souhaitez utiliser Gemini avec le plug-in Cloud Code.

    1. Dans le volet Services restreints, cliquez sur Ajouter des services.

    2. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez l'API Cloud Code comme service que vous souhaitez sécuriser ; dans le périmètre.

    3. Cliquez sur Ajouter des services n, où n est le nombre de que vous avez sélectionnés à l'étape précédente.

    4. Cliquez sur Règle d'entrée.

    5. Dans le volet Règles d'entrée, cliquez sur Ajouter une règle.

    6. Dans Attributs "From" du client API, indiquez les sources depuis l'extérieur de périmètre requérant un accès. Vous pouvez spécifier des projets, des niveaux d'accès et des réseaux VPC comme sources.

    7. Dans Attributs "TO" des services/ressources Google Cloud, spécifiez le nom du service de l'API Gemini et de l'API Cloud Code.

      Pour obtenir la liste des attributs des règles d'entrée, consultez la section Règles d'entrée référence.

  7. Facultatif: Si votre organisation utilise Access Context Manager et que vous souhaitez fournir aux développeurs un accès à des ressources protégées depuis l'extérieur du périmètre ; définissez des niveaux d'accès:

    1. Cliquez sur Niveaux d'accès.

    2. Dans le volet Règle d'entrée: Niveaux d'accès, sélectionnez l'option Choisir l'accès Level.

    3. Cochez les cases correspondant aux niveaux d'accès souhaités. à appliquer au périmètre.

  8. Cliquez sur Enregistrer.

Une fois ces étapes terminées, VPC Service Controls vérifie tous les appels à la Gemini pour l'API Google Cloud afin de s'assurer qu'elles proviennent du même périmètre.

Configurer les réseaux VPC

Vous devez configurer vos réseaux VPC pour que les requêtes envoyées à l'adresse IP virtuelle googleapis.com standard sont automatiquement acheminées adresse IP virtuelle restreinte plage, 199.36.153.4/30 (restricted.googleapis.com), où votre service Gemini est de l'inférence. Vous n'avez pas besoin de modifier la configuration dans les extensions de l'IDE Cloud Code.

Pour chaque réseau VPC de votre projet, procédez comme suit pour bloquer pour le trafic sortant, à l'exception du trafic vers la plage VIP restreinte:

  1. Activez l'accès privé à Google sur les sous-réseaux hébergeant vos ressources de réseau VPC.

  2. Configurez des règles de pare-feu pour empêcher les données de quitter le réseau VPC.

    1. Créez une règle de refus de sortie, qui bloque tout le trafic sortant.

    2. Créer une règle de sortie autorisée qui autorise le trafic vers 199.36.153.4/30 sur TCP port 443. Assurez-vous que la règle de sortie autorisée a une priorité avant la règle de refus que vous venez de créer. Ainsi, le trafic de sortie est limité plage VIP restreinte.

  3. Créez une stratégie de réponse Cloud DNS.

  4. Créez une règle pour la stratégie de réponse afin de résoudre *.googleapis.com en restricted.googleapis.com avec les valeurs suivantes :

    • Nom DNS: *.googleapis.com.

    • Données locales: restricted.googleapis.com.

    • Type d'enregistrement: A

    • Valeur TTL: 300

    • Données RR : 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

      La plage d'adresses IP pour restricted.googleapis.com est 199.36.153.4/30.

Une fois ces étapes effectuées, les requêtes provenant du réseau VPC ne peuvent plus le quitter, ce qui empêche la sortie en dehors du périmètre de service. Ces demandes ne peuvent atteindre aux API et services Google qui vérifient VPC Service Controls, ce qui empêche l'exfiltration via les API Google.

Configurations supplémentaires

Selon les produits Google Cloud que vous utilisez Gemini, vous devez tenir compte des points suivants:

  • Machines clientes connectées au périmètre. Les machines situées à l'intérieur Le périmètre VPC Service Controls peut accéder à l'ensemble expériences. Vous pouvez également étendre le périmètre à un Cloud VPN ou Cloud Interconnect depuis vers un réseau externe.

  • Machines clientes en dehors du périmètre Lorsque vous avez des machines clientes en dehors du périmètre de service, vous pouvez accorder un accès contrôlé le service Gemini restreint.

  • Gemini Code Assist Pour la conformité avec VPC Service Controls, assurez-vous que l'IDE ou la station de travail que vous utilisez n'a pas accès à https://www.google.com/tools/feedback/mobile via des stratégies de pare-feu.

  • Cloud Workstations Si vous utilisez Cloud Workstations, suivez les les instructions de la section Configurer VPC Service Controls et clusters.

Étape suivante