Bereitstellungsanleitung für Gemini for Government

Dieses Dokument enthält technische Anleitungen für US-Bundesbehörden und DoD-Abteilungen zur Bereitstellung und Verwendung von Gemini for Government in Übereinstimmung mit den Anforderungen von FedRAMP High und DoD Impact Level 4 (IL4). In diesem Dokument wird beschrieben, welche Dienste und Funktionen in den Autorisierungsgrenzen enthalten sind, und es werden Schritte beschrieben, die Ihnen helfen, Ihre Compliance-Verpflichtungen zu erfüllen.

Gemini for Government verwendet Assured Workloads, um Compliance-Anforderungen zu erfüllen. Sie müssen alle Gemini for Government-Ressourcen in einem Assured Workloads-Ordner bereitstellen, der für Ihre spezifische Compliance-Regelung (FedRAMP High oder IL4) konfiguriert ist.

Wichtige Produktabhängigkeiten

Gemini for Government basiert auf mehrerenCloud de Confiance by S3NS -Diensten. In der folgenden Tabelle ist der Compliance-Status für jeden Dienst aufgeführt.

Cloud de Confiance by S3NS -Dienst FedRAMP High-Status IL4-Status

Gemini Enterprise

Autorisiert

Autorisiert

Generative AI on Gemini Enterprise Agent Platform (früher Generative AI on Vertex AI)

Autorisiert

Autorisiert

BigQuery

Autorisiert

Autorisiert

Cloud Storage

Autorisiert

Autorisiert

Looker (Google Cloud Core)

Autorisiert

Gesendet

Autorisierte Dienste und Funktionen

In der folgenden Tabelle sind die Dienste und Funktionen aufgeführt, die Sie in Gemini for Government für FedRAMP High- und IL4-Bereitstellungen verwenden können.

Funktion FedRAMP High IL4

Die folgenden Modelle:

Autorisiert

Autorisiert

Automatische Vervollständigung

Autorisiert

Autorisiert

Bereitstellungssteuerungen

Autorisiert

Autorisiert

Autorisierte Datenspeicher wie Cloud Storage und BigQuery

Autorisiert

Autorisiert

Web Grounding for Enterprise

Autorisiert

Autorisiert

Dokumente von lokalen Computern hochladen

Autorisiert

Autorisiert

Endnutzer können Modelle auswählen.

Autorisiert

Autorisiert

Deep Research-Agent

Autorisiert

Gesendet

No-Code-Agenten mit Agent Designer erstellen

Autorisiert

Gesendet

KI-Agentengalerie

Autorisiert

Gesendet

Bildgenerierung mit Nano Banana

Autorisiert

Gesendet

Model Armor

Autorisiert

3PAO

Nicht autorisierte Funktionen, die Sie manuell deaktivieren sollten

Die folgenden Dienste und Funktionen sind nicht für FedRAMP High oder IL4 autorisiert. Sie werden jedoch nicht durch die Assured Workloads-Kontrollpakete blockiert und sind in Ihrem Projekt verfügbar. Im Rahmen Ihrer Risikobewertung müssen Sie möglicherweise die Dienstnutzung in Bezug auf vertrauliche Daten und alle Ihnen zur Verfügung stehenden mindernden Kontrollen bewerten. Möglicherweise müssen Sie die Funktionen in dieser Liste in der Konfiguration Ihrer Gemini Enterprise-App manuell deaktivieren.

KI‑Agenten und Galerien
Fundierung
Generative Funktionen
Nutzer-, Sitzungs- und UI-Funktionen
Weitere Funktionen

Weitere Informationen zum impliziten Kontext-Caching finden Sie unter Gemini Enterprise Agent Platform und keine Datenspeicherung.

Nicht autorisierte Funktionen, die Sie nicht deaktivieren können

Die folgenden Dienste und Funktionen sind im Kontrollpaket für Assured Workloads verfügbar. Sie können nicht deaktiviert werden. Wenn Sie diese Funktionen verwenden, empfehlen wir, vor der Erteilung Ihrer Autorisierung eine angemessene Risikobewertung durchzuführen, um sicherzustellen, dass die Dienstnutzung für Ihre FedRAMP High- oder IL4-Bereitstellung geeignet ist. Sie können beispielsweise die Dienstnutzung in Bezug auf die Datenvertraulichkeit bewerten. Sie können auch prüfen, ob Ihnen auf der Grundlage der Datenverschlüsselung alle mindernden Kontrollen zur Verfügung stehen, um die alleinige Kontrolle über den Datenzugriff zu erlangen.

KI‑Agenten und Galerien

Wenn Sie die Verfügbarkeit dieses Kundenservicemitarbeiters entfernen möchten, wenden Sie sich an unser Vertriebsteam oder Ihren Cloud de Confiance -Vertreter.

Analytics und abhängige Funktionen
Daten-Connectors und ‑Speicher
Nutzer-, Sitzungs- und UI-Funktionen
Weitere Funktionen

Umgebung bereitstellen

So können Sie eine Umgebung bereitstellen, die Ihren Compliance-Anforderungen entspricht:

  1. Assured Workloads bereitstellen:
    1. Erstellen Sie einen Assured Workloads-Ordner, der die Datengrenze für FedRAMP High oder die Datengrenze für IL4 verwendet.
    2. Erstellen Sie Ihr Cloud de Confiance Projekt in diesem Ordner.
    3. Prüfen Sie, ob alle Nutzer und Dienstkonten die erforderlichen IAM-Berechtigungen (Identity and Access Management) haben.
  2. Konfigurieren Sie Ihr FedRAMP High- oder IL4-Netzwerk. Weitere Informationen finden Sie unter Netzwerk für FedRAMP und DoD auf Cloud de Confiancekonfigurieren.
  3. Erstellen Sie eine Gemini Enterprise-App. Wählen Sie als Standort USA (mehrere Regionen) aus. Diese Option wird durch die Assured Workloads-Richtlinie zum Speicherort von Daten erzwungen.
  4. Stellen Sie eine Verbindung zu einer Google-Datenquelle her, die sich in Ihrem Assured Workloads-Ordner befindet. Die autorisierten Datenspeicher für FedRAMP High und IL4 sind Cloud Storage-Buckets und BigQuery-Datasets.

  5. Autorisierte Compliance-Funktionen konfigurieren.

  6. Deaktivieren Sie die nicht autorisierten Funktionen, die unter Nicht autorisierte Funktionen, die Sie manuell deaktivieren sollten beschrieben werden.

  7. Weisen Sie Ihre Mitarbeiter an, nicht autorisierte Funktionen, die Sie nicht deaktivieren können, nicht zu verwenden.

Nicht autorisierte Funktionen deaktivieren

Führen Sie die Aufgaben in diesem Abschnitt aus, um nicht autorisierte Funktionen zu deaktivieren, die Sie manuell deaktivieren können.

Führen Sie diese Aufgabe für jede App aus, die Sie in Gemini Enterprise bereitstellen.

Sie müssen eine der folgenden Rollen haben:

  • Discovery Engine-Administrator (roles/discoveryengine.admin)
  • Gemini Enterprise-Administrator (roles/discoveryengine.agentspaceAdmin)
  • Eine benutzerdefinierte Rolle mit der Berechtigung discoveryengine.engines.update

Console

  1. Rufen Sie in der Cloud de Confiance Console die Seite Gemini Enterprise-Apps auf.

    Zu Apps wechseln

  2. Wählen Sie die App aus.

  3. Klicken Sie im Navigationsmenü auf Konfigurationen und wählen Sie dann den Tab Funktionsverwaltung aus.

  4. Deaktivieren Sie Prompt-Galerie aktivieren.

  5. Klicken Sie auf Speichern.

REST

Verwenden Sie die Methode engines.patch für den API-Endpunkt discoveryengine.googleapis.com, um die Feature-Kontrollkarte Ihrer App zu aktualisieren.

Setzen Sie den Schlüssel prompt-gallery in der features-Konfiguration Ihrer Engine auf FEATURE_STATE_OFF.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID
  • APP_ID: die ID Ihrer App

HTTP-Methode und URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

JSON-Text anfordern:

{
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

Fundierung mit der Google Maps Platform deaktivieren

Wenn Sie die Fundierung mit der Google Maps Platform für alle Anfragen deaktivieren möchten, können Sie die Maps Grounding API (mapsgrounding.googleapis.com) mit einer der folgenden Methoden deaktivieren:

  • Suchen Sie in der Konsole auf der Seite APIs & Dienste nach der Map Grounding API (mapsgrounding.googleapis.com) und wählen Sie API deaktivieren aus. Weitere Informationen finden Sie unter Dienste aktivieren und deaktivieren.

  • Führen Sie in der Google Cloud CLI folgenden Befehl aus:

    gcloud services disable mapsgrounding.googleapis.com
    

Wenn Sie die Fundierung mit der Google Suche für alle Anfragen deaktivieren möchten, legen Sie die boolesche Einschränkung constraints/vertexai.disableGenAIGoogleSearchGrounding der Organisationsrichtlinie auf der Ebene des Assured Workloads-Ordners auf true fest. Weitere Informationen finden Sie unter Richtlinien mit booleschen Regeln aktualisieren.

Fundierung mit Google Drive-Uploads deaktivieren

Die Fundierung mit Google Drive ist nur aktiviert, wenn Sie einen Google Drive-Datenspeicher mit Ihrer App verbinden. So deaktivieren Sie die Fundierung mit Google Drive-Uploads:

  • Achten Sie darauf, dass in Ihren Gemini Enterprise-Apps keine Google Drive-Datenspeicher konfiguriert sind. Wenn eine App bereits mit einem Google Drive-Datenspeicher verbunden ist, entfernen Sie sie aus den App-Einstellungen in der Console oder löschen Sie den Datenspeicher mit der dataStores.delete-Methode in der Discovery Engine API.

  • Deaktivieren Sie die Funktionen für die gemeinsame Nutzung von Workspace-Daten in der Google Admin-Konsole oder deaktivieren Sie Smarte Funktionen und Personalisierung in Google Workspace, um zu verhindern, dass der Connector auf Nutzerdokumente in Google Drive zugreift.

Fundierung mit Microsoft OneDrive-Uploads deaktivieren

Die Fundierung mit Microsoft OneDrive ist nur aktiviert, wenn Sie einen Microsoft OneDrive-Datenspeicher mit Ihrer App verbinden. So deaktivieren Sie die Fundierung mit Microsoft OneDrive-Uploads:

  • Achten Sie darauf, dass in Ihren Gemini Enterprise-Apps keine Microsoft OneDrive-Datenspeicher konfiguriert sind. Wenn eine App bereits mit einem Microsoft OneDrive-Datenspeicher verbunden ist, entfernen Sie sie aus den App-Einstellungen in der Konsole oder löschen Sie den Datenspeicher mit der dataStores.delete-Methode in der Discovery Engine API.
  • Wenn Sie den Zugriff des Connectors blockieren möchten, widerrufen Sie die Anmeldedaten oder löschen Sie die registrierte OAuth 2.0-Anwendungs-Client-ID und die Anmeldedaten in Microsoft Entra ID (Azure AD), die für die Microsoft OneDrive-Verbindung verwendet werden.

Imagen und Veo deaktivieren

So deaktivieren Sie die Bildgenerierung mit Imagen und die Videogenerierung mit Veo:

  • Legen Sie die Einschränkung für die Organisationsrichtlinienliste constraints/vertexai.allowedModels oder constraints/vertexai.allowedGenAIModels auf Ordner- oder Organisationsebene fest, um die Modelle imagen und veo (z. B. publishers/google/models/imagen-4.0-ultra-generate-001) zu verweigern oder nur genehmigte Modelle zuzulassen. Weitere Informationen finden Sie unter Zugriff auf Model Garden-Modelle steuern.
  • Wenn Sie den Zugriff auf Vorhersagen für Imagen- oder Veo-Modelle einschränken möchten, konfigurieren Sie eine IAM-Ablehnungsrichtlinie, die die IAM-Berechtigung aiplatform.endpoints.predict für den Ressourcenpfad des Modells ablehnt. Der Modellressourcenpfad ist projects/PROJECT_ID/locations/LOCATION/publishers/google/models/MODEL_NAME.

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Projekt-ID
    • LOCATION: der Standort der App
    • MODEL_NAME: der Name des Modells, das zugelassen oder abgelehnt werden soll

Nutzerereignisse für Gemini Enterprise-Apps deaktivieren

Nutzerereignisse werden von clientseitigen Event-Trackern gesendet oder per Bulk-Import importiert. Wenn Sie die Erfassung von Nutzerereignissen deaktivieren möchten, haben Sie folgende Möglichkeiten:

  • Wenn Sie das Such-Widget für Ihre Anwendung konfigurieren, deaktivieren Sie die Ereignisprotokollierung, indem Sie die Eigenschaft disableUserEventsCollection im uiSettings-Konfigurations-Namespace auf true setzen. Beispiel:

    "uiSettings": {
      "disableUserEventsCollection": true
    }
    
  • Rufen Sie die Endpunkte für das Einfügen von Ereignissen nicht auf (insbesondere die userEvents.collect-Methode und die userEvents.write-Methode) und sorgen Sie dafür, dass Suchpixel-Scripts (z. B. v1beta_event.js) auf Ihren Clientseiten nicht aktiv sind.

  • Aktualisieren Sie die Einstellung auf Anwendungsebene so:

    1. Rufen Sie in der Cloud de Confiance Console die Seite Gemini Enterprise-Apps auf.

      Zu Apps wechseln

    2. Wählen Sie die App aus.

    3. Klicken Sie im Navigationsmenü auf Konfigurationen.

    4. Deaktivieren Sie Erfassung von Nutzerereignissen aktivieren.

    5. Klicken Sie auf Speichern.

Personalisierung und Informationsspeicherung in Gemini Enterprise deaktivieren

Führen Sie diese Aufgabe für jede App aus, die Sie in Gemini Enterprise bereitstellen.

Sie müssen eine der folgenden Rollen haben:

  • Discovery Engine-Administrator (roles/discoveryengine.admin)
  • Gemini Enterprise-Administrator (roles/discoveryengine.agentspaceAdmin)
  • Eine benutzerdefinierte Rolle mit der Berechtigung discoveryengine.engines.update

Console

Eine Anleitung finden Sie unter Personalisierung und Informationsspeicherung deaktivieren.

REST

Verwenden Sie die Methode engines.patch für den API-Endpunkt discoveryengine.googleapis.com, um die Feature-Kontrollkarte Ihrer App zu aktualisieren.

Legen Sie die Schlüssel personalization-memory und personalization-suggested-highlights in der features-Konfiguration Ihrer Engine auf FEATURE_STATE_OFF fest.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID
  • APP_ID: die ID Ihrer App

HTTP-Methode und URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

JSON-Text anfordern:

{
  "features": {
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

Privaten Knowledge Graph deaktivieren

Sie können den privaten Knowledge Graph über die Console oder die API deaktivieren.

Sie müssen eine der folgenden Rollen haben:

  • Discovery Engine-Administrator (roles/discoveryengine.admin)
  • Gemini Enterprise-Administrator (roles/discoveryengine.agentspaceAdmin)
  • Eine benutzerdefinierte Rolle mit der Berechtigung discoveryengine.engines.update

Console

Eine Anleitung finden Sie unter Knowledge Graph-Konfiguration verwalten.

REST

Verwenden Sie die Methode engines.patch für den API-Endpunkt discoveryengine.googleapis.com, um die App-Konfiguration zu aktualisieren.

Legen Sie enablePrivateKnowledgeGraph und enableCloudKnowledgeGraph im Parameter knowledgeGraphConfig auf false fest.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID
  • APP_ID: die ID Ihrer App

HTTP-Methode und URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=knowledgeGraphConfig

JSON-Text anfordern:

{
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

Model Armor deaktivieren

Wenn Sie Model Armor deaktivieren möchten, entfernen Sie die Vorlagen aus Ihren Apps und deaktivieren Sie dann die API.

Informationen zum Entfernen der Vorlagen finden Sie unter Model Armor-Vorlagen aus einer Gemini Enterprise-App entfernen.

Verwenden Sie eine der folgenden Methoden, um die Model Armor API (modelarmor.googleapis.com) zu deaktivieren:

  • Suchen Sie auf der Seite APIs & Services in der Konsole nach Model Armor API (modelarmor.googleapis.com) und wählen Sie Disable API (API deaktivieren) aus. Weitere Informationen finden Sie unter Dienste aktivieren und deaktivieren.

  • Führen Sie in der Google Cloud CLI folgenden Befehl aus:

    gcloud services disable modelarmor.googleapis.com
    

NotebookLM Enterprise deaktivieren

Führen Sie diese Aufgabe für jede App aus, die Sie in Gemini Enterprise bereitstellen.

Sie müssen eine der folgenden Rollen haben:

  • Discovery Engine-Administrator (roles/discoveryengine.admin)
  • Gemini Enterprise-Administrator (roles/discoveryengine.agentspaceAdmin)
  • Eine benutzerdefinierte Rolle mit der Berechtigung discoveryengine.engines.update

Console

  1. Rufen Sie in der Cloud de Confiance Console die Seite Gemini Enterprise-Apps auf.

    Zu Apps wechseln

  2. Wählen Sie die App aus.

  3. Klicken Sie im Navigationsmenü auf Konfigurationen und wählen Sie dann den Tab Funktionsverwaltung aus.

  4. Deaktivieren Sie NotebookLM.

  5. Klicken Sie auf Speichern.

REST

Verwenden Sie zum Aktualisieren der Feature-Kontrollzuordnung Ihrer App die Methode engines.patch für den API-Endpunkt discoveryengine.googleapis.com. Legen Sie den Schlüssel notebook-lm in der features-Konfiguration Ihrer Engine auf FEATURE_STATE_OFF fest.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID
  • APP_ID: die ID Ihrer App

HTTP-Methode und URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

JSON-Text anfordern:

{
  "features": {
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

Implizites Caching von Kontext deaktivieren

Informationen zum Deaktivieren des impliziten Kontext-Cachings finden Sie unter Daten-Caching aktivieren und deaktivieren.