Guía de Deployment de Gemini for Government

En este documento, se proporciona orientación técnica para las agencias federales de EE.UU. y los departamentos del DoD sobre la implementación y el uso de Gemini para el Gobierno en cumplimiento con los requisitos de FedRAMP High y el nivel de impacto 4 (IL4) del DoD. En este documento, se describen los servicios y las funciones que se incluyen en los límites de autorización, así como los pasos para ayudarte a cumplir con tus obligaciones de cumplimiento.

Gemini para el Gobierno usa Assured Workloads para ayudar con los requisitos de cumplimiento. Debes implementar todos los recursos de Gemini para el Gobierno en una carpeta de Assured Workloads configurada para tu régimen de cumplimiento específico (FedRAMP High o IL4).

Dependencias principales del producto

Gemini para el Gobierno se basa en varios servicios deCloud de Confiance by S3NS . En la siguiente tabla, se indica el estado de cumplimiento de cada servicio.

Servicio deCloud de Confiance by S3NS Estado de FedRAMP High Estado de IL4

Gemini Enterprise

Autorizado

Autorizado

IA generativa en Gemini Enterprise Agent Platform (antes, IA generativa en Vertex AI)

Autorizado

Autorizado

BigQuery

Autorizado

Autorizado

Cloud Storage

Autorizado

Autorizado

Looker (Google Cloud Core)

Autorizado

Enviado

Servicios y funciones autorizados

En la siguiente tabla, se enumeran los servicios y las funciones que puedes usar en Gemini para el Gobierno para las implementaciones de FedRAMP High y el nivel IL4.

Función FedRAMP High IL4

Los siguientes modelos:

Autorizado

Autorizado

Completar automáticamente

Autorizado

Autorizado

Controles de publicación

Autorizado

Autorizado

Almacenes de datos autorizados, como Cloud Storage y BigQuery

Autorizado

Autorizado

Fundamentación web para empresas

Autorizado

Autorizado

Subir documentos desde máquinas locales

Autorizado

Autorizado

Capacidad de los usuarios finales para seleccionar modelos

Autorizado

Autorizado

Agente de Deep Research

Autorizado

Enviado

Creación de agentes sin código con Agent Designer

Autorizado

Enviado

Galería de agentes

Autorizado

Enviado

Generación de imágenes con Nano Banana

Autorizado

Enviado

Model Armor

Autorizado

3PAO

Funciones no autorizadas que debes inhabilitar de forma manual

Los siguientes servicios y funciones no están autorizados para FedRAMP High o IL4. Sin embargo, los paquetes de controles de Assured Workloads no los bloquean y están disponibles en tu proyecto. Como parte de tu evaluación de riesgos, es posible que debas evaluar el uso del servicio en relación con los datos sensibles y los controles de mitigación disponibles. Es posible que debas inhabilitar manualmente las funciones de esta lista en la configuración de tu app de Gemini Enterprise según tu evaluación.

Agentes y galerías
Fundamentación
Funciones generativas
Funciones de la IU, la sesión y el usuario
Otras funciones

Para obtener más información sobre el almacenamiento en caché del contexto implícito, consulta Gemini Enterprise Agent Platform y la retención de datos cero.

Funciones no autorizadas que no puedes inhabilitar

Los siguientes servicios y funciones están disponibles en el paquete de controles de Assured Workloads. No puedes inhabilitarlos. Si usas estas funciones, te recomendamos que realices una evaluación de riesgos adecuada antes de otorgar tu autorización para asegurarte de que el uso del servicio sea apropiado para tu implementación de FedRAMP High o IL4. Por ejemplo, puedes evaluar el uso del servicio en relación con la sensibilidad de los datos. También puedes evaluar si hay controles de mitigación basados en la encriptación de datos disponibles para establecer el control exclusivo sobre el acceso a los datos.

Agentes y galerías

Para quitar la disponibilidad de este agente, comunícate con nuestro equipo de ventas o con tu representante de Cloud de Confiance .

Funciones de Analytics y funciones dependientes
Conectores y almacenes de datos
Funciones de la IU, la sesión y el usuario
Otras funciones

Implementa tu entorno

Sigue estos pasos para obtener ayuda con la implementación de un entorno que cumpla con tus obligaciones de cumplimiento:

  1. Implementa Assured Workloads:
    1. Crea una carpeta de Assured Workloads que use el Límite de datos para FedRAMP High o el Límite de datos para IL4.
    2. Crea tu proyecto Cloud de Confiance dentro de esta carpeta.
    3. Verifica que todos los usuarios y las cuentas de servicio tengan los permisos necesarios de Identity and Access Management (IAM).
  2. Configura tu red de FedRAMP High o IL4. Para obtener más información, consulta Configura la red para FedRAMP y DoD en Cloud de Confiance.
  3. Crea una app de Gemini Enterprise. Selecciona US Multi-region como la ubicación. La política de residencia de datos de Assured Workloads aplica esta opción.
  4. Conéctate a una fuente de datos de Google ubicada dentro de tu carpeta de Assured Workloads. Los almacenes de datos autorizados para FedRAMP High y el nivel IL4 son los buckets de Cloud Storage y los conjuntos de datos de BigQuery.

  5. Configura las funciones de cumplimiento autorizadas.

  6. Desactiva las funciones no autorizadas que se describen en Funciones no autorizadas que debes inhabilitar manualmente.

  7. Capacita a tu personal para que no use funciones no autorizadas que no puedas inhabilitar.

Desactiva las funciones no autorizadas

Completa las tareas de esta sección para desactivar las funciones no autorizadas que puedes inhabilitar de forma manual.

Completa esta tarea para cada app que implementes en Gemini Enterprise.

Asegúrate de tener uno de los siguientes roles:

  • Administrador de Discovery Engine (roles/discoveryengine.admin)
  • Administrador de Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Una función personalizada con el permiso discoveryengine.engines.update

Console

  1. En la consola de Cloud de Confiance , ve a la página Apps con Gemini Enterprise.

    Ve a Apps.

  2. Selecciona la app.

  3. En el menú de navegación, haz clic en Configuraciones y, luego, selecciona la pestaña Administración de funciones.

  4. Desactiva Habilitar la galería de instrucciones.

  5. Haz clic en Guardar.

REST

Para actualizar el mapa de control de funciones de tu app, usa el método engines.patch en el extremo de API de discoveryengine.googleapis.com.

Establece la clave prompt-gallery en FEATURE_STATE_OFF en la configuración de features de tu motor.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: Es el ID del proyecto.
  • APP_ID: Es el ID de tu app.

Método HTTP y URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Cuerpo JSON de la solicitud:

{
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

Cómo desactivar la fundamentación con Google Maps Platform

Para desactivar la fundamentación con Google Maps Platform en todas las solicitudes, puedes inhabilitar la API de Maps Grounding (mapsgrounding.googleapis.com) con uno de los siguientes métodos:

  • En la página APIs y servicios de la consola, busca la API de Map Grounding (mapsgrounding.googleapis.com) y selecciona Inhabilitar API. Para obtener más información, consulta Habilita e inhabilita servicios.

  • En Google Cloud CLI, ejecuta lo siguiente:

    gcloud services disable mapsgrounding.googleapis.com
    

Para desactivar la fundamentación con la Búsqueda de Google para todas las solicitudes, establece la restricción booleana de la política de organización constraints/vertexai.disableGenAIGoogleSearchGrounding en true a nivel de la carpeta de Assured Workloads. Para obtener más información, consulta Actualiza políticas con reglas booleanas.

Cómo desactivar la fundamentación con las cargas de Google Drive

La fundamentación con Google Drive solo se habilita cuando conectas un almacén de datos de Google Drive a tu app. Para inhabilitar la fundamentación con las cargas de Google Drive, completa los siguientes pasos:

  • Asegúrate de que no haya almacenes de datos de Google Drive configurados en tus apps de Gemini Enterprise. Si una app ya está conectada a un almacén de datos de Google Drive, quítala de la configuración de la app en la consola o borra el almacén de datos con el método dataStores.delete en la API de Discovery Engine.

  • Inhabilita las capacidades de uso compartido de datos de Workspace en la Consola del administrador de Google o inhabilita las funciones inteligentes y la personalización en Google Workspace para impedir que el conector acceda a los documentos de los usuarios en Google Drive.

Cómo desactivar la fundamentación con las cargas de Microsoft OneDrive

La fundamentación con Microsoft OneDrive solo se habilita cuando conectas un almacén de datos de Microsoft OneDrive a tu app. Para inhabilitar la fundamentación con las cargas de Microsoft OneDrive, completa los siguientes pasos:

  • Asegúrate de que no haya almacenes de datos de Microsoft OneDrive configurados en tus apps de Gemini Enterprise. Si una app ya está conectada a un almacén de datos de Microsoft OneDrive, quítala de la configuración de la app en la consola o borra el almacén de datos con el método dataStores.delete en la API de Discovery Engine.
  • Para bloquear el acceso del conector, revoca las credenciales o borra el ID de cliente y las credenciales de la aplicación OAuth 2.0 registrada en Microsoft Entra ID (Azure AD) que se usan para la conectividad de Microsoft OneDrive.

Cómo desactivar Imagen y Veo

Para desactivar la generación de imágenes con Imagen y la generación de videos con Veo, completa los siguientes pasos:

  • Establece la restricción de la lista de políticas de la organización constraints/vertexai.allowedModels o constraints/vertexai.allowedGenAIModels a nivel de la carpeta o la organización para rechazar los modelos imagen y veo (por ejemplo, publishers/google/models/imagen-4.0-ultra-generate-001) o para permitir solo los modelos aprobados. Para obtener más información, consulta Cómo controlar el acceso a los modelos de Model Garden.
  • Para restringir el acceso a la predicción en los modelos de Imagen o Veo, configura una política de denegación de IAM que deniegue el permiso de IAM aiplatform.endpoints.predict en la ruta de acceso al recurso del modelo. La ruta de acceso al recurso del modelo es projects/PROJECT_ID/locations/LOCATION/publishers/google/models/MODEL_NAME.

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el ID del proyecto.
    • LOCATION: La ubicación de la app
    • MODEL_NAME: Es el nombre del modelo que se permitirá o se rechazará.

Desactiva los eventos del usuario para las apps de Gemini Enterprise

Los eventos del usuario se envían a través de los rastreadores de eventos del cliente o se importan de forma masiva. Para inhabilitar la recopilación de eventos de usuario, completa una de las siguientes acciones:

  • Cuando configures el widget de búsqueda para tu aplicación, inhabilita el registro de eventos estableciendo la propiedad disableUserEventsCollection en true dentro del espacio de nombres de configuración de uiSettings. Por ejemplo:

    "uiSettings": {
      "disableUserEventsCollection": true
    }
    
  • No llames a los extremos de la inyección de eventos (específicamente, el método userEvents.collect y el método userEvents.write) y asegúrate de que las secuencias de comandos de píxeles de búsqueda (como v1beta_event.js) no estén activas en las páginas del cliente.

  • Actualiza el parámetro de configuración a nivel de la aplicación de la siguiente manera:

    1. En la consola de Cloud de Confiance , ve a la página Apps con Gemini Enterprise.

      Ve a Apps.

    2. Selecciona la app.

    3. En el menú de navegación, haz clic en Configuraciones.

    4. Desactiva Habilitar la recopilación de eventos de usuario.

    5. Haz clic en Guardar.

Cómo desactivar la personalización y la memoria en Gemini Enterprise

Completa esta tarea para cada app que implementes en Gemini Enterprise.

Asegúrate de tener uno de los siguientes roles:

  • Administrador de Discovery Engine (roles/discoveryengine.admin)
  • Administrador de Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Una función personalizada con el permiso discoveryengine.engines.update

Console

Para obtener instrucciones, consulta Cómo desactivar la personalización y la memoria.

REST

Para actualizar el mapa de control de funciones de tu app, usa el método engines.patch en el extremo de API de discoveryengine.googleapis.com.

Establece las claves personalization-memory y personalization-suggested-highlights en FEATURE_STATE_OFF en la configuración de features de tu motor.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: Es el ID del proyecto.
  • APP_ID: Es el ID de tu app.

Método HTTP y URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Cuerpo JSON de la solicitud:

{
  "features": {
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

Desactiva el Gráfico de conocimiento privado

Para desactivar el Gráfico de conocimiento privado, puedes usar la consola o la API.

Asegúrate de tener uno de los siguientes roles:

  • Administrador de Discovery Engine (roles/discoveryengine.admin)
  • Administrador de Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Una función personalizada con el permiso discoveryengine.engines.update

Console

Para obtener instrucciones, consulta Administra la configuración del Gráfico de conocimiento.

REST

Para actualizar la configuración de tu app, usa el método engines.patch en el extremo de API de discoveryengine.googleapis.com.

Establece enablePrivateKnowledgeGraph y enableCloudKnowledgeGraph en false dentro del parámetro knowledgeGraphConfig.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: Es el ID del proyecto.
  • APP_ID: Es el ID de tu app.

Método HTTP y URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=knowledgeGraphConfig

Cuerpo JSON de la solicitud:

{
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

Cómo desactivar Model Armor

Para desactivar Model Armor, quita sus plantillas de tus apps y, luego, inhabilita la API.

Para quitar las plantillas, consulta Cómo quitar las plantillas de Model Armor de una app de Gemini Enterprise.

Para inhabilitar la API de Model Armor (modelarmor.googleapis.com), usa uno de los siguientes métodos:

  • En la página APIs y servicios de la consola, busca Model Armor API (modelarmor.googleapis.com) y selecciona Inhabilitar API. Para obtener más información, consulta Cómo habilitar y cómo inhabilitar servicios.

  • En Google Cloud CLI, ejecuta lo siguiente:

    gcloud services disable modelarmor.googleapis.com
    

Cómo desactivar NotebookLM Enterprise

Completa esta tarea para cada app que implementes en Gemini Enterprise.

Asegúrate de tener uno de los siguientes roles:

  • Administrador de Discovery Engine (roles/discoveryengine.admin)
  • Administrador de Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Una función personalizada con el permiso discoveryengine.engines.update

Console

  1. En la consola de Cloud de Confiance , ve a la página Apps con Gemini Enterprise.

    Ve a Apps.

  2. Selecciona la app.

  3. En el menú de navegación, haz clic en Configuraciones y, luego, selecciona la pestaña Administración de funciones.

  4. Desactiva NotebookLM.

  5. Haz clic en Guardar.

REST

Para actualizar el mapa de control de funciones de tu app, usa el método engines.patch en el extremo de API de discoveryengine.googleapis.com. Establece la clave notebook-lm en FEATURE_STATE_OFF en la configuración de features de tu motor.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: Es el ID del proyecto.
  • APP_ID: Es el ID de tu app.

Método HTTP y URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Cuerpo JSON de la solicitud:

{
  "features": {
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

Desactiva el almacenamiento en caché de contexto implícito

Para desactivar el almacenamiento en caché del contexto implícito, consulta Cómo habilitar y deshabilitar el almacenamiento en caché de datos.