Audit-Logs für Model Armor

In diesem Dokument wird Audit-Logging für Model Armor beschrieben. Google Cloud -Dienste generieren Audit-Logs, die Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud Ressourcen aufzeichnen. Weitere Informationen zu Cloud-Audit-Logs finden Sie hier:

• Arten von Audit-Logs
• Struktur von Audit-Logeinträgen
• Audit-Logs speichern und weiterleiten
• Preisübersicht für Cloud Logging
• Audit-Logs zum Datenzugriff aktivieren

Dienstname

Für Model Armor-Audit-Logs wird der Dienstname modelarmor.googleapis.com verwendet. Nach diesem Dienst filtern:

    protoPayload.serviceName="modelarmor.googleapis.com"
  

Methoden nach Berechtigungstyp

Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum ist, der einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert Model Armor ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.

Audit-Logs der API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zur Identitäts- und Zugriffsverwaltung für Model Armor.

google.cloud.modelarmor.v1.ModelArmor

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.modelarmor.v1.ModelArmor gehören.

CreateTemplate

• Methode: google.cloud.modelarmor.v1.ModelArmor.CreateTemplate
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • modelarmor.templates.create - ADMIN_WRITE
• Methode ist ein lang andauernder oder Streamingvorgang: Nein
• Filter für diese Methode: protoPayload.methodName="google.cloud.modelarmor.v1.ModelArmor.CreateTemplate"
  

UpdateTemplate

• Methode: google.cloud.modelarmor.v1.ModelArmor.UpdateTemplate
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • modelarmor.templates.update - ADMIN_WRITE
• Methode ist ein lang andauernder oder Streamingvorgang: Nein
• Filter für diese Methode: protoPayload.methodName="google.cloud.modelarmor.v1.ModelArmor.UpdateTemplate"
  

DeleteTemplate

• Methode: google.cloud.modelarmor.v1.ModelArmor.DeleteTemplate
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • modelarmor.templates.delete - ADMIN_WRITE
• Methode ist ein lang andauernder oder Streamingvorgang: Nein
• Filter für diese Methode: protoPayload.methodName="google.cloud.modelarmor.v1.ModelArmor.DeleteTemplate"
  

UpdateFloorSetting

• Methode: google.cloud.modelarmor.v1.ModelArmor.UpdateFloorSetting
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • modelarmor.floorSettings.update - ADMIN_WRITE
• Methode ist ein lang andauernder oder Streamingvorgang: Nein
• Filter für diese Methode: protoPayload.methodName="google.cloud.modelarmor.v1.ModelArmor.UpdateFloorSetting"
  

GetTemplates

• Methode: google.cloud.modelarmor.v1.ModelArmor.GetTemplates
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • modelarmor.templates.get - ADMIN_READ
• Methode ist ein lang andauernder oder Streamingvorgang: Nein
• Filter für diese Methode: protoPayload.methodName="google.cloud.modelarmor.v1.ModelArmor.GetTemplates"
  

ListTemplates

• Methode: google.cloud.modelarmor.v1.ModelArmor.ListTemplates
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • modelarmor.templates.list - ADMIN_READ
• Methode ist ein lang andauernder oder Streamingvorgang: Nein
• Filter für diese Methode: protoPayload.methodName="google.cloud.modelarmor.v1.ModelArmor.ListTemplates"
  

GetFloorSetting

• Methode: google.cloud.modelarmor.v1.ModelArmor.GetFloorSetting
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • modelarmor.floorSettings.get - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.modelarmor.v1.ModelArmor.GetFloorSetting"
  

SanitizeUserPrompt

• Methode: google.cloud.modelarmor.v1.ModelArmor.SanitizeUserPrompt
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • modelarmor.templates.useToSanitizeUserPrompt - DATA_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.modelarmor.v1.ModelArmor.SanitizeUserPrompt"
  

SanitizeModelResponse

• Methode: google.cloud.modelarmor.v1.ModelArmor.SanitizeModelResponse
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • modelarmor.templates.useToSanitizeModelResponse - DATA_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.modelarmor.v1.ModelArmor.SanitizeModelResponse"
  

Logging-Konfiguration

Sie können Model Armor so konfigurieren, dass die folgenden Vorgänge protokolliert werden:

• Vorlage erstellen, aktualisieren, lesen und löschen
• Nutzerprompt und Modellantwort bereinigen

curl -X POST \
  -d "{filter_config: {}, 'template_metadata': { 'log_template_operations': 'true', 'log_sanitize_operations': 'true'} }" \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer $GCLOUD_AUTH_TOKEN" \
    "https://modelarmor.us-west1.rep.googleapis.com/v1/projects/{project-id}/locations/{location}/templates?template_id={template-id}"

• log_template_operations : Boolescher Wert, der angibt, ob die Vorgänge zum Erstellen, Aktualisieren, Lesen und Löschen von Vorlagen in den Plattformprotokollen protokolliert werden sollen.
• log_sanitize_operations : Boolescher Wert, der bestimmt, ob die Sanitizer-Vorgänge in den Plattformprotokollen protokolliert werden sollen.