Ce document explique comment configurer VPC Service Controls pour prendre en charge Gemini pour Google Cloud, un outil de collaboration optimisé par l'IA dans Google Cloud. Pour terminer cette configuration, procédez comme suit:
Mettez à jour le périmètre de service de votre organisation pour inclure Gemini. Dans ce document, nous partons du principe que vous disposez déjà d'un périmètre de service au niveau au niveau de l'organisation. Pour en savoir plus sur les périmètres de service, consultez Les détails du périmètre de service configuration.
Dans les projets pour lesquels vous avez activé l'accès à Gemini, configurez les réseaux VPC pour bloquer le trafic sortant, à l'exception du trafic à destination de la plage VIP restreinte.
Avant de commencer
- Assurez-vous que Gemini est configuré pour votre compte utilisateur et votre projet Google Cloud.
Assurez-vous de disposer de la gestion du Identity and Access Management (IAM) requise. des rôles pour configurer et administrer VPC Service Controls.
Assurez-vous de disposer, au niveau de l'organisation, d'un périmètre de service pouvez utiliser pour configurer Gemini. Si vous n'avez pas de service périmètre à ce niveau, vous pouvez en créer un.
Ajouter Gemini à votre périmètre de service
Pour utiliser VPC Service Controls avec Gemini, vous devez ajouter Gemini au périmètre de service au niveau de l'organisation. Le périmètre de service doit inclure tous les éléments les services que vous utilisez avec Gemini et d'autres services Google Cloud ; que vous voulez protéger.
Pour ajouter Gemini à votre périmètre de service, procédez comme suit:
Dans Google Cloud Console, accédez à la page VPC Service Controls.
Sélectionnez votre organisation.
Sur la page VPC Service Controls (Contrôles des services VPC), cliquez sur le nom de votre périmètre.
Cliquez sur Ajouter des ressources, puis procédez comme suit :
Pour chaque projet dans lequel vous avez activé Gemini, dans le Le volet Ajouter des ressources, cliquez sur Ajouter un projet, puis procédez comme suit:
Dans la boîte de dialogue Ajouter des projets, sélectionnez les projets que vous souhaitez ajouter.
Si vous utilisez un VPC partagé, ajoutez le projet hôte et les projets de service au périmètre de service.
Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets. .
Pour chaque réseau VPC de vos projets, dans la section Ajouter des ressources, cliquez sur Ajouter un réseau VPC, puis procédez comme suit:
Dans la liste des projets, cliquez sur celui qui contient le réseau VPC.
Dans la boîte de dialogue Ajouter des ressources, cochez la case correspondant au réseau VPC.
Cliquez sur Ajouter les ressources sélectionnées. Le réseau ajouté apparaît dans le VPC réseaux sociaux.
Cliquez sur Services restreints, puis procédez comme suit :
Dans le volet Services restreints, cliquez sur Ajouter des services.
Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez l'API Gemini pour Google Cloud en tant que service que vous souhaitez sécuriser ; dans le périmètre.
Cliquez sur Ajouter des services n, où n est le nombre de que vous avez sélectionnés à l'étape précédente.
Facultatif: Si vos développeurs doivent utiliser Gemini dans le du plug-in Cloud Code dans leurs IDE, vous allez vous devez ajouter l'API Cloud Code à la liste Services restreints, et configurer la règle d'entrée.
Activer VPC Service Controls pour Gemini empêche l'accès depuis l'extérieur du périmètre, y compris lors de l'exécution de l'IDE Cloud Code des extensions de machines hors du périmètre, comme les ordinateurs portables de l'entreprise. Par conséquent, ces étapes sont nécessaires si vous souhaitez utiliser Gemini avec le plug-in Cloud Code.
Dans le volet Services restreints, cliquez sur Ajouter des services.
Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez l'API Cloud Code comme service que vous souhaitez sécuriser ; dans le périmètre.
Cliquez sur Ajouter des services n, où n est le nombre de que vous avez sélectionnés à l'étape précédente.
Cliquez sur Règle d'entrée.
Dans le volet Règles d'entrée, cliquez sur Ajouter une règle.
Dans Attributs "From" du client API, indiquez les sources depuis l'extérieur de périmètre requérant un accès. Vous pouvez spécifier des projets, des niveaux d'accès et des réseaux VPC comme sources.
Dans Attributs "TO" des services/ressources Google Cloud, spécifiez le nom du service de l'API Gemini et de l'API Cloud Code.
Pour obtenir la liste des attributs des règles d'entrée, consultez la section Règles d'entrée référence.
Facultatif: Si votre organisation utilise Access Context Manager et que vous souhaitez fournir aux développeurs un accès à des ressources protégées depuis l'extérieur du périmètre ; définissez des niveaux d'accès:
Cliquez sur Niveaux d'accès.
Dans le volet Règle d'entrée: Niveaux d'accès, sélectionnez l'option Choisir l'accès Level.
Cochez les cases correspondant aux niveaux d'accès souhaités. à appliquer au périmètre.
Cliquez sur Enregistrer.
Une fois ces étapes terminées, VPC Service Controls vérifie tous les appels à la Gemini pour l'API Google Cloud afin de s'assurer qu'elles proviennent du même périmètre.
Configurer les réseaux VPC
Vous devez configurer vos réseaux VPC pour que les requêtes envoyées
à l'adresse IP virtuelle googleapis.com
standard sont automatiquement acheminées
adresse IP virtuelle restreinte
plage, 199.36.153.4/30
(restricted.googleapis.com
), où votre service Gemini est
de l'inférence. Vous n'avez pas besoin de modifier la configuration dans les extensions de l'IDE Cloud Code.
Pour chaque réseau VPC de votre projet, procédez comme suit pour bloquer pour le trafic sortant, à l'exception du trafic vers la plage VIP restreinte:
Activez l'accès privé à Google sur les sous-réseaux hébergeant vos ressources de réseau VPC.
Configurez des règles de pare-feu pour empêcher les données de quitter le réseau VPC.
Créez une règle de refus de sortie, qui bloque tout le trafic sortant.
Créer une règle de sortie autorisée qui autorise le trafic vers
199.36.153.4/30
sur TCP port443
. Assurez-vous que la règle de sortie autorisée a une priorité avant la règle de refus que vous venez de créer. Ainsi, le trafic de sortie est limité plage VIP restreinte.
Créez une règle pour la stratégie de réponse afin de résoudre
*.googleapis.com
enrestricted.googleapis.com
avec les valeurs suivantes :Nom DNS:
*.googleapis.com.
Données locales:
restricted.googleapis.com.
Type d'enregistrement:
A
Valeur TTL:
300
Données RR :
199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
La plage d'adresses IP pour
restricted.googleapis.com
est199.36.153.4/30
.
Une fois ces étapes effectuées, les requêtes provenant du réseau VPC ne peuvent plus le quitter, ce qui empêche la sortie en dehors du périmètre de service. Ces demandes ne peuvent atteindre aux API et services Google qui vérifient VPC Service Controls, ce qui empêche l'exfiltration via les API Google.
Configurations supplémentaires
Selon les produits Google Cloud que vous utilisez Gemini, vous devez tenir compte des points suivants:
Machines clientes connectées au périmètre. Les machines situées à l'intérieur Le périmètre VPC Service Controls peut accéder à l'ensemble expériences. Vous pouvez également étendre le périmètre à un Cloud VPN ou Cloud Interconnect depuis vers un réseau externe.
Machines clientes en dehors du périmètre Lorsque vous avez des machines clientes en dehors du périmètre de service, vous pouvez accorder un accès contrôlé le service Gemini restreint.
Pour en savoir plus, consultez Autoriser l'accès de l'extérieur aux ressources protégées un périmètre.
Pour obtenir un exemple de création d'un niveau d'accès sur un réseau d'entreprise, reportez-vous à la section Limiter l'accès sur les appareils Google Cloud.
Consultez les limites lorsque vous utilisez VPC Service Controls avec Gemini.
Gemini Code Assist Pour la conformité avec VPC Service Controls, assurez-vous que l'IDE ou la station de travail que vous utilisez n'a pas accès à
https://www.google.com/tools/feedback/mobile
via des stratégies de pare-feu.Cloud Workstations Si vous utilisez Cloud Workstations, suivez les les instructions de la section Configurer VPC Service Controls et clusters.
Étape suivante
- Pour en savoir plus sur les offres de conformité de Google Cloud, consultez Centre de ressources pour la conformité.