Gemini Enterprise 安全性總覽

Google 可協助機構保護雲端環境、資料安全，並遵守產業法規。如要瞭解所有 Google Cloud的一般安全性資訊，請參閱Google Cloud 安全性總覽。

使用者安全性設定

在 Gemini Enterprise 中管理身分與存取權管理 (IAM) 設定，對安全性至關重要。本節列出的資源可協助您瞭解 Gemini Enterprise 的權限和存取控管：

• 身分和權限
• 設定外部身分
• 向 Gemini Enterprise API 進行驗證
• 使用 IAM 控管存取權

系統支援下列驗證架構：

• 員工身分聯盟

• Google Identity

• Workload Identity 聯盟

Gemini Enterprise 資料安全

保護資料免於威脅、侵害和身分盜用至關重要。 Gemini Enterprise 採用下列安全措施：

• Gemini Enterprise 已整合 VPC Service Controls。

• 使用客戶自行管理的加密金鑰 (CMEK) 預設加密資料。

  Gemini Enterprise 也支援外部金鑰管理工具 (EKM) 或硬體安全性模組 (HSM)。如要瞭解 CMEK 和 EKM 適用的限制，請參閱「Gemini Enterprise 中 Cloud Key Management Service 的限制」。

Gemini Enterprise 法規遵循

資料法規遵循是指處理個人和私密資訊時，必須符合法律和法規要求。這項政策會規範資料的收集、儲存、使用和安全性，確保隱私權和資料受到保護。

本節列出的資源提供相關資訊，協助您維持資料透明度和法規遵循：

• 啟用資料存取透明化控管機制
• 稽核記錄
• Gemini Enterprise 適用國家/地區
• 法規遵循與安全性控制選項
• Gemini Enterprise 會在 60 天內刪除使用者要求刪除的資料。詳情請參閱 Google Cloud上的資料刪除作業。

此外，Gemini Enterprise 也符合 FedRAMP 高等風險方案規範。

員工身分聯盟和集區管理員

如果您使用員工身分聯盟驗證使用者身分，請將 IAM 工作團隊身分集區管理員 (roles/iam.workforcePoolAdmin) 和 IAM 工作團隊集區編輯者 (roles/iam.workforcePoolEditor) IAM 角色授予部分管理員。這些角色擁有強大的權限，可用來冒用其他使用者的身分，存取文件及採取未經授權的動作。

因此，我們建議採取下列做法：

• 請只將這些工作人員集區角色授予絕對需要這些角色的信任管理員。

• 使用 Privileged Access Manager 為這些角色設定授權，並稽核其使用情形。

必要 Google Cloud API

如要開始使用 Gemini Enterprise，請啟用下列 API：

• Vertex AI API
• Gemini Enterprise (Discovery Engine) API
• Cloud Storage API
• Identity and Access Management API

如要進一步瞭解如何開始使用 Gemini Enterprise，請參閱「事前準備」一節。

如要停用 Gemini Enterprise (Discovery Engine) API，請參閱「停用 Gemini Enterprise」。

第三方連接器和公開端點

第三方連結器會與 Google 網路外部的公開端點互動，例如用於輪詢資料的第三方 API 端點，或是用於即時同步處理的 Webhook URL。VPC Service Controls 的設計目的是要控管 Google Cloud 服務，因此不會主動封鎖或保護這些外部非 Google 端點的流量。

為減輕這類風險，Gemini Enterprise 會確保您的輸出流量受到精細的 VPC 防火牆規則保護，這些規則會限制輸出連線，只允許連線至您提供的外部服務完整網域名稱 (FQDN)。