La configuración de límite inferior de Model Armor define reglas que establecen los requisitos mínimos para todas las plantillas de Model Armor creadas en un punto específico de la jerarquía de recursos de Google Cloud(es decir, a nivel de una organización, una carpeta o un proyecto). Si hay varios parámetros de configuración de límite que entran en conflicto entre sí, la configuración más baja en la jerarquía de recursos tiene prioridad. Por ejemplo, si se crea una política de configuración mínima a nivel de la carpeta y del proyecto, se aplicará la política a nivel del proyecto.
Este es un ejemplo para mostrar cómo funciona una política de configuración de piso de Model Armor. La política de límite X se establece en una carpeta con el filtro de URLs maliciosas habilitado. La política de límite Y se establece en un proyecto dentro de esa carpeta para el filtro de detección de jailbreak y de inyección de instrucciones con un umbral de confianza medio. El resultado final es que cada plantilla de Model Armor creada en el proyecto debe tener al menos el filtro de inyección de instrucciones y detección de jailbreak configurado con un umbral de confianza medio, pero no se requiere el filtro de URL maliciosa.
La configuración mínima ayuda a los CISO y a los arquitectos de seguridad a aplicar una postura de seguridad mínima en todas las plantillas de Model Armor de su organización, lo que evita que los desarrolladores individuales reduzcan los estándares de seguridad por debajo de los niveles aceptables de forma accidental o intencional. En el caso de los clientes que tienen un nivel Premium o Enterprise de Security Command Center, los incumplimientos de la configuración mínima activan los resultados. Esto significa que, si se crea una plantilla antes de un parámetro de configuración mínimo y la plantilla tiene un parámetro de configuración menos restrictivo, aparecerá un hallazgo en Security Command Center para ayudarte a identificar y corregir las plantillas de Model Armor menos seguras.
Habilita y deshabilita la configuración de límite inferior de Model Armor
Para habilitar la configuración de límite inferior de Model Armor, establece la marca enable_floor_setting_enforcement en true.
En los siguientes ejemplos, se muestra cómo hacerlo.
gcloud
Habilita la configuración de Model Armor para un proyecto determinado.
gcloud model-armor floorsettings describe
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' Flags --full-uri = name of the floor setting resourceHabilita la configuración de límite inferior de Model Armor para una organización determinada.
gcloud model-armor floorsettings describe
--full-uri='organizations/ORGANIZATION_ID/locations/global/floorSetting' Flags --full-uri = name of the floor setting resourceHabilita la configuración de Model Armor para una carpeta determinada.
gcloud model-armor floorsettings describe
--full-uri='folders/FOLDER_ID/locations/global/floorSetting' Flags --full-uri = name of the floor setting resourceReemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto de la plantilla.FOLDER_ID: Es el ID de la carpeta de la plantilla.ORGANIZATION_ID: Es el ID de la organización de la plantilla.
API de REST
curl -X PATCH
-d '{"enable_floor_setting_enforcement" : "true"}'
-H "Content-Type: application/json"
-H "Authorization: Bearer $(gcloud auth print-access-token)" "https://modelarmor.googleapis.com/v1/projects/$PROJECT_ID/locations/global/floorSetting?update_mask=enable_floor_setting_enforcement"
Reemplaza lo siguiente:
gcloud auth print-access-token: Es el token de acceso de la cuenta especificada.PROJECT_ID: Es el ID del proyecto de la plantilla.
Si no quieres usar la configuración de límite de Model Armor, establece la marca filter_config en empty o la marca enable_floor_setting_enforcement en false. En el siguiente ejemplo, se muestra cómo hacerlo.
gcloud
gcloud alpha model-armor floorsettings get
--full-uri='projects/$PROJECT_ID/locations/global/floorSetting'
Flags
--full-uri = name of the floor setting resource
--enable-floor-setting-enforcement=false
--filterConfig = {}
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto de la plantilla.
API de REST
curl -X PATCH
-H "Content-Type: application/json"
-H "Authorization: Bearer $(gcloud auth print-access-token)"
-d '{"filterConfig" :{},"enable_floor_setting_enforcement":"false"}'
"https://modelarmor.googleapis.com/v1/projects/{PROJECT_ID}/locations/global/floorSetting"
Reemplaza lo siguiente:
gcloud auth print-access-token: Es el token de acceso de la cuenta especificada.PROJECT_ID: Es el ID del proyecto de la plantilla.
Cómo ver la configuración de Model Armor
Ejecuta el siguiente comando para ver la configuración de límite inferior de Model Armor.
gcloud
Consulta la configuración de Model Armor para un proyecto determinado.
gcloud model-armor floorsettings describe --full-uri='projects/PROJECT_ID/locations/global/floorSetting' Flags --full-uri = name of the floor setting resource
Consulta la configuración de Model Armor para una organización determinada.
gcloud model-armor floorsettings describe --full-uri='organizations/Organization/locations/global/floorSetting' Flags --full-uri = name of the floor setting resource
Consulta la configuración de Model Armor para una carpeta determinada.
gcloud model-armor floorsettings describe --full-uri='folders/Folder/locations/global/floorSetting' Flags --full-uri = name of the floor setting resource
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto de la plantilla.Folder: Es el ID de la carpeta de la plantilla.Organization: Es el ID de la organización de la plantilla.
API de REST
Consulta la configuración de Model Armor para un proyecto determinado.
curl -X GET
-H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "Content-Type: application/json"
"https://modelarmor.googleapis.com/v1/projects/{project_id}/locations/global/floorSetting"Consulta la configuración de Model Armor para una carpeta determinada.
curl -X GET
-H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "Content-Type: application/json"
"https://modelarmor.googleapis.com/v1/folders/{folder}/locations/global/floorSetting"Consulta la configuración de Model Armor para una organización determinada.
curl -X GET
-H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "Content-Type: application/json"
"https://modelarmor.googleapis.com/v1/organizations/{organization}/locations/global/floorSetting"Reemplaza lo siguiente:
gcloud auth print-access-token: Es el token de acceso de la cuenta especificada.PROJECT_ID: Es el ID del proyecto de la plantilla.Folder: Es el ID de la carpeta de la plantilla.Organization: Es el ID de la organización de la plantilla.
Actualiza la configuración de Model Armor
Ejecuta el siguiente comando para actualizar la configuración del piso de Model Armor.
gcloud
gcloud model-armor floorsettings update --full-uri=<full-uri-of-the-floorsetting> [filters]
Comando de ejemplo:
gcloud model-armor floorsettings update
--malicious-uri-filter-settings-enforcement=ENABLED
--pi-and-jailbreak-filter-settings-enforcement=DISABLED
--pi-and-jailbreak-filter-settings-confidence-level=LOW_AND_ABOVE
--basic-config-filter-enforcement=ENABLED
--add-rai-settings-filters='[{"confidenceLevel": "low_and_above", "filterType": "HARASSMENT"}, {"confidenceLevel": "high", "filterType": "SEXUALLY_EXPLICIT"}]'
--full-uri='folders/308621292149/locations/global/floorSetting'
--enable-floor-setting-enforcement=true
API de REST
Actualiza el parámetro de configuración de límite inferior de Model Armor para un proyecto determinado.
curl -X PATCH -d '{"filterConfig" :{"piAndJailbreakFilterSettings": { "filterEnforcement": "ENABLED"}, "maliciousUriFilterSettings": { "filterEnforcement": "ENABLED" }, "rai_settings":{"rai_filters":{"filter_type":"DANGEROUS", "confidence_level":"LOW_AND_ABOVE" }, "rai_filters":{"filter_type":"HATE_SPEECH", "confidence_level":"LOW_AND_ABOVE" }, "rai_filters":{"filter_type":"HARASSMENT", "confidence_level":"LOW_ANDABOVE" }, "rai filters":{"filter_type":"SEXUALLY_EXPLICIT", "confidence_level":"LOW_AND_ABOVE" }}},"enable_floor_setting_enforcement":"true"}' -H "Content-Type: application/json" -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://modelarmor.googleapis.com/v1/projects/{project_id}/locations/global/floorSetting"Actualiza el parámetro de configuración de Model Armor para una carpeta determinada.
curl -X PATCH
-d '{"filterConfig" :{"piAndJailbreakFilterSettings": { "filterEnforcement": "ENABLED"}, "maliciousUriFilterSettings": { "filterEnforcement": "ENABLED" }},"enable_floor_setting_enforcement":"true"}'
-H "Content-Type: application/json"
-H "Authorization: Bearer $(gcloud auth print-access-token)"
"https://modelarmor.googleapis.com/v1/folders/{folder}/locations/global/floorSetting"Actualiza el parámetro de configuración de Model Armor para una organización determinada.
curl -X PATCH
-d '{"filterConfig" :{"piAndJailbreakFilterSettings": { "filterEnforcement": "ENABLED"}, "maliciousUriFilterSettings": { "filterEnforcement": "ENABLED" }},"enable_floor_setting_enforcement":"true"}'
-H "Content-Type: application/json"
-H "Authorization: Bearer $(gcloud auth print-access-token)"
"https://modelarmor.googleapis.com/v1/organizations/{organization}/locations/global/floorSetting"Reemplaza lo siguiente:
gcloud auth print-access-token: Es el token de acceso de la cuenta especificada.PROJECT_ID: Es el ID del proyecto al que pertenece la plantilla.Folder: Es el ID de la carpeta de la plantilla.Organization: Es el ID de la organización de la plantilla.El comando update muestra la siguiente respuesta:
{ "name": "projects/$PROJECT_ID/locations/global/floorSetting", "updateTime": "2024-12-19T15:36:21.318191Z", "filterConfig": { "piAndJailbreakFilterSettings": { "filterEnforcement": "ENABLED" }, "maliciousUriFilterSettings": { "filterEnforcement": "ENABLED" } } }
Incumplimiento de la configuración del piso
Cada hallazgo del servicio de Model Armor identifica un incumplimiento de la configuración mínima que se produce cuando una plantilla de Model Armor no cumple con los estándares de seguridad mínimos definidos por la configuración mínima de la jerarquía de recursos. La configuración de límite inferior determina el nivel menos estricto permitido para cada filtro dentro de una plantilla. Un incumplimiento de la configuración del piso puede implicar una plantilla que no incluya los filtros obligatorios o que no cumpla con el nivel de confianza mínimo para esos filtros. Cuando se detecta una infracción, se publica un resultado de gravedad alta en Security Command Center. El hallazgo especifica el parámetro de configuración de piso que se incumplió, la plantilla que no cumple con los requisitos y los detalles sobre la infracción. Para obtener más información, consulta los resultados del servicio de Model Armor.
Este es un ejemplo del campo source_properties del hallazgo dentro del incumplimiento de la configuración del piso.
{
"filterConfig": {
"raiSettings": {
"raiFilters": [
{
"filterType": "HATE_SPEECH",
"confidenceLevel": {
"floorSettings": "LOW_AND_ABOVE",
"template": "MEDIUM_AND_ABOVE"
}
},
{
"filterType": "HARASSMENT",
"confidenceLevel": {
"floorSettings": "MEDIUM_AND_ABOVE",
"template": "HIGH"
}
}
]
},
"piAndJailbreakFilterSettings": {
"confidenceLevel": {
"floorSettings": "LOW_AND_ABOVE",
"template": "HIGH"
}
},
"maliciousUriFilterSettings": {
"floorSettings": "ENABLED",
"template": "DISABLED"
}
}
}
¿Qué sigue?
- Obtén información sobre la descripción general de Model Armor.
- Obtén información sobre las plantillas de Model Armor.
- Limpia las instrucciones y las respuestas.
- Soluciona problemas de Model Armor.