Model Armor を Google Agentspace と統合すると、AI エージェントとのユーザー プロンプトとレスポンスをスクリーニングして、プロンプト インジェクション、有害なコンテンツ、センシティブ データの漏洩などのリスクを軽減できます。統合が設定されると、すべてのユーザー操作に適用されます。
始める前に
Model Armor テンプレートを作成し、Google Agentspace と同じ Google Cloudプロジェクトにあることを確認します。テンプレートのロケーションと Google Agentspace インスタンスのロケーションが一致している必要があります。サポートされているロケーションの詳細については、Model Armor のロケーションと Google Agentspace のロケーションをご覧ください。
必要なロール
Model Armor を Google Agentspace と統合する前に、必要なロールがあることを確認してください。
Model Armor テンプレートの作成と管理に必要な権限を取得するには、Model Armor テンプレートに対する Model Armor 管理者 (roles/modelarmor.admin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
統合を有効にする
Model Armor で Google Agentspace を有効にするには、セキュリティ管理者が Model Armor でポリシーを作成し、Google Agentspace 管理者がこれらのポリシーを Google Agentspace インスタンスに適用します。
仕組み
統合を構成すると、Google Agentspace は、選択したテンプレートを使用してスクリーニングを行うために、ユーザー入力とアシスタント出力を Model Armor API を介してルーティングします。Google Agentspace は、サービス エージェントを使用して Model Armor に対して認証を行います。Model Armor は、テンプレートで定義されたフィルタ構成に基づいて応答します。Google Agentspace は、リクエストまたはレスポンスをブロックするか許可するかを決定します。
たとえば、Google Agentspace は個人を特定できる情報を含むリクエストを検出し、審査のために Model Armor に転送します。個人情報(PII)をブロックするように Model Armor テンプレートが構成されている場合、Google Agentspace にリクエストをブロックするように指示します。
ロギング
Model Armor は、サニタイズ リクエストとそのレスポンスのプラットフォーム ログを Cloud Logging に生成します。Model Armor 監査ログを表示するには、プライベート ログ閲覧者(roles/logging.privateLogViewer)の IAM ロールが必要です。自動生成された監査ログの詳細については、Model Armor の監査ロギングをご覧ください。
テンプレート オペレーションをログに記録するには、templateMetadata.logSanitizeOperations フィールドを true に設定します。詳細については、テンプレートでロギングを構成するをご覧ください。