Ce document fournit des conseils techniques aux agences fédérales américaines et aux services du DoD sur le déploiement et l'utilisation de Gemini for Government en conformité avec les exigences FedRAMP High et DoD Impact Level 4 (IL4). Ce document décrit les services et fonctionnalités inclus dans les limites d'autorisation, ainsi que les étapes à suivre pour vous aider à respecter vos obligations de conformité.
Gemini for Government utilise Assured Workloads pour vous aider à répondre aux exigences de conformité. Vous devez déployer toutes les ressources Gemini for Government dans un dossier Assured Workloads configuré pour votre régime de conformité spécifique (FedRAMP à niveau d'impact élevé ou IL4).
Dépendances principales des produits
Gemini for Government s'appuie sur plusieurs servicesCloud de Confiance by S3NS . Le tableau suivant indique l'état de conformité de chaque service.
| ServiceCloud de Confiance by S3NS | État FedRAMP High | État IL4 |
|---|---|---|
Gemini Enterprise |
Org. Google Cloud |
Org. Google Cloud |
IA générative sur Gemini Enterprise Agent Platform (anciennement IA générative sur Vertex AI) |
Org. Google Cloud |
Org. Google Cloud |
BigQuery |
Org. Google Cloud |
Org. Google Cloud |
Cloud Storage |
Org. Google Cloud |
Org. Google Cloud |
Looker (Google Cloud Core) |
Org. Google Cloud |
Envoyé |
Services et fonctionnalités autorisés
Le tableau suivant liste les services et fonctionnalités que vous pouvez utiliser dans Gemini for Government pour les déploiements FedRAMP (niveau d'impact élevé) et IL4.
| Fonctionnalité | Niveau d'impact élevé du FedRAMP | IL4 |
|---|---|---|
Les modèles suivants :
|
Org. Google Cloud |
Org. Google Cloud |
Org. Google Cloud |
Org. Google Cloud |
|
Org. Google Cloud |
Org. Google Cloud |
|
Dépôts de données autorisés tels que Cloud Storage et BigQuery |
Org. Google Cloud |
Org. Google Cloud |
Org. Google Cloud |
Org. Google Cloud |
|
Importer des documents depuis des machines locales |
Org. Google Cloud |
Org. Google Cloud |
Possibilité pour les utilisateurs finaux de sélectionner des modèles |
Org. Google Cloud |
Org. Google Cloud |
Org. Google Cloud |
Envoyé |
|
Création d'agents sans code à l'aide d'Agent Designer |
Org. Google Cloud |
Envoyé |
Org. Google Cloud |
Envoyé |
|
Org. Google Cloud |
Envoyé |
|
Org. Google Cloud |
3PAO |
Fonctionnalités non autorisées que vous devez désactiver manuellement
Les services et fonctionnalités suivants ne sont pas autorisés pour FedRAMP High ni IL4. Toutefois, ils ne sont pas bloqués par les packages de contrôles Assured Workloads et sont disponibles dans votre projet. Dans le cadre de votre évaluation des risques, vous devrez peut-être évaluer l'utilisation des services par rapport aux données sensibles et aux contrôles d'atténuation dont vous disposez. En fonction de votre évaluation, vous devrez peut-être désactiver manuellement les fonctionnalités de cette liste dans la configuration de votre application Gemini Enterprise.
| Agents et galeries | |
|---|---|
| Surface de référence |
|
| Fonctionnalités génératives | |
| Fonctionnalités liées aux utilisateurs, aux sessions et à l'UI | |
| Autres caractéristiques |
Pour en savoir plus sur la mise en cache du contexte implicite, consultez Gemini Enterprise Agent Platform et la conservation des données nulle.
Fonctionnalités non autorisées que vous ne pouvez pas désactiver
Les services et fonctionnalités suivants sont disponibles dans le package de contrôles Assured Workloads. Vous ne pouvez pas les désactiver. Si vous utilisez ces fonctionnalités, nous vous recommandons de procéder à une évaluation des risques appropriée avant d'accorder votre autorisation pour vous assurer que l'utilisation du service est adaptée à votre déploiement FedRAMP High ou IL4. Par exemple, vous pouvez évaluer l'utilisation du service par rapport à la sensibilité des données. Vous pouvez également évaluer si des contrôles d'atténuation basés sur le chiffrement des données sont disponibles pour établir un contrôle exclusif sur l'accès aux données.
| Agents et galeries |
Pour supprimer la disponibilité de cet agent, contactez notre équipe commerciale ou votre représentant Cloud de Confiance . |
|---|---|
| Analytics et fonctionnalités dépendantes | |
| Connecteurs et stores de données |
|
| Fonctionnalités liées aux utilisateurs, aux sessions et à l'UI | |
| Autres caractéristiques |
Déployer votre environnement
Pour obtenir de l'aide concernant le déploiement d'un environnement qui répond à vos obligations de conformité, procédez comme suit :
- Déployer Assured Workloads :
- Créez un dossier Assured Workloads qui utilise le périmètre de données pour le niveau d'impact élevé du FedRAMP ou le périmètre de données pour IL4.
- Créez votre projet Cloud de Confiance dans ce dossier.
- Vérifiez que tous les utilisateurs et comptes de service disposent des autorisations IAM (Identity and Access Management) requises.
- Configurez votre réseau FedRAMP High ou IL4. Pour en savoir plus, consultez Configurer un réseau pour FedRAMP et DoD sur Cloud de Confiance.
- Créez une application Gemini Enterprise. Sélectionnez US (plusieurs régions aux États-Unis) comme emplacement. Cette option est appliquée par le règlement Assured Workloads sur la résidence des données.
Connectez-vous à une source de données Google située dans votre dossier Assured Workloads. Les magasins de données autorisés pour FedRAMP High et IL4 sont les buckets Cloud Storage et les ensembles de données BigQuery.
Configurez les fonctionnalités de conformité autorisées.
Désactivez les fonctionnalités non autorisées décrites dans Fonctionnalités non autorisées à désactiver manuellement.
Formez votre personnel à ne pas utiliser les fonctionnalités non autorisées que vous ne pouvez pas désactiver.
Désactiver les fonctionnalités non autorisées
Effectuez les tâches de cette section pour désactiver les fonctionnalités non autorisées que vous pouvez désactiver manuellement.
Désactiver la galerie des requêtes
Effectuez cette tâche pour chaque application que vous déployez dans Gemini Enterprise.
Assurez-vous de disposer de l'un des rôles suivants :
- Administrateur Discovery Engine (
roles/discoveryengine.admin) - Administrateur Gemini Enterprise (
roles/discoveryengine.agentspaceAdmin) Rôle personnalisé doté de l'autorisation
discoveryengine.engines.update
Console
Dans la console Cloud de Confiance , accédez à la page Applications Gemini Enterprise.
Sélectionnez l'application.
Dans le menu de navigation, cliquez sur Configurations, puis sélectionnez l'onglet Gestion des fonctionnalités.
Désactivez l'option Activer la galerie de prompts.
Cliquez sur Enregistrer.
REST
Pour mettre à jour la carte de contrôle des fonctionnalités de votre application, utilisez la méthode engines.patch sur le point de terminaison de l'API discoveryengine.googleapis.com.
Définissez la clé prompt-gallery sur FEATURE_STATE_OFF dans la configuration features de votre moteur.
Avant d'utiliser les données de requête, effectuez les remplacements suivants :
PROJECT_ID: ID de votre projet.APP_ID: ID de votre application
Méthode HTTP et URL :
PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features
Corps JSON de la requête :
{
"features": {
"prompt-gallery": "FEATURE_STATE_OFF"
}
}
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{
"name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
"features": {
"prompt-gallery": "FEATURE_STATE_OFF"
}
}
Désactiver l'ancrage avec Google Maps Platform
Pour désactiver l'ancrage avec Google Maps Platform pour toutes les requêtes, vous pouvez désactiver l'API Maps Grounding (mapsgrounding.googleapis.com) à l'aide de l'une des méthodes suivantes :
Sur la page API et services de la console, recherchez l'API Map Grounding (
mapsgrounding.googleapis.com), puis sélectionnez Désactiver l'API. Pour en savoir plus, consultez Activer et désactiver des services.Dans Google Cloud CLI, exécutez la commande suivante :
gcloud services disable mapsgrounding.googleapis.com
Désactiver l'ancrage avec la recherche Google
Pour désactiver l'ancrage avec la recherche Google pour toutes les requêtes, définissez la contrainte booléenne de la règle d'administration constraints/vertexai.disableGenAIGoogleSearchGrounding sur true au niveau du dossier Assured Workloads. Pour en savoir plus, consultez Mettre à jour les règles avec des règles booléennes.
Désactiver l'ancrage à l'aide des importations Google Drive
L'ancrage avec Google Drive n'est activé que lorsque vous associez un data store Google Drive à votre application. Pour désactiver l'ancrage avec les importations Google Drive, procédez comme suit :
Assurez-vous qu'aucun datastore Google Drive n'est configuré dans vos applications Gemini Enterprise. Si une application est déjà connectée à un data store Google Drive, supprimez-le des paramètres de l'application dans la console ou supprimez le data store à l'aide de la méthode
dataStores.deletedans l'API Discovery Engine.Désactivez les fonctionnalités de partage de données Workspace dans la console d'administration Google ou désactivez les fonctionnalités intelligentes et la personnalisation dans Google Workspace pour empêcher le connecteur d'accéder aux documents utilisateur dans Google Drive.
Désactiver l'ancrage à l'aide des importations Microsoft OneDrive
L'ancrage avec Microsoft OneDrive n'est activé que lorsque vous connectez un data store Microsoft OneDrive à votre application. Pour désactiver l'ancrage avec les importations Microsoft OneDrive, procédez comme suit :
- Assurez-vous qu'aucun datastore Microsoft OneDrive n'est configuré dans vos applications Gemini Enterprise. Si une application est déjà connectée à un data store Microsoft OneDrive, supprimez-la des paramètres de l'application dans la console ou supprimez le data store à l'aide de la méthode
dataStores.deletedans l'API Discovery Engine. - Pour bloquer l'accès du connecteur, révoquez les identifiants ou supprimez l'ID client et les identifiants de l'application OAuth 2.0 enregistrée dans Microsoft Entra ID (Azure AD) qui sont utilisés pour la connectivité Microsoft OneDrive.
Désactiver Imagen et Veo
Pour désactiver la génération d'images avec Imagen et la génération de vidéos avec Veo :
- Définissez la contrainte de liste de règles d'administration
constraints/vertexai.allowedModelsouconstraints/vertexai.allowedGenAIModelsau niveau du dossier ou de l'organisation pour refuser les modèlesimagenetveo(par exemple,publishers/google/models/imagen-4.0-ultra-generate-001) ou pour n'autoriser que les modèles approuvés. Pour en savoir plus, consultez Contrôler l'accès aux modèles Model Garden. Pour restreindre l'accès aux prédictions sur les modèles Imagen ou Veo, configurez une stratégie de refus IAM qui refuse l'autorisation IAM
aiplatform.endpoints.predictsur le chemin d'accès à la ressource pour le modèle. Le chemin d'accès à la ressource du modèle estprojects/PROJECT_ID/locations/LOCATION/publishers/google/models/MODEL_NAME.Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet.
- LOCATION : emplacement de l'application
- MODEL_NAME : nom du modèle à autoriser ou à refuser
Désactiver les événements utilisateur pour les applications Gemini Enterprise
Les événements utilisateur sont envoyés par des outils de suivi des événements côté client ou importés de manière groupée. Pour désactiver la collecte des événements utilisateur, effectuez l'une des opérations suivantes :
Lorsque vous configurez le widget de recherche pour votre application, désactivez la journalisation des événements en définissant la propriété
disableUserEventsCollectionsurtruedans l'espace de noms de configurationuiSettings. Exemple :"uiSettings": { "disableUserEventsCollection": true }N'appelez pas les points de terminaison d'injection d'événements (en particulier la méthode
userEvents.collectet la méthodeuserEvents.write), et assurez-vous que les scripts de pixels de recherche (tels quev1beta_event.js) ne sont pas actifs sur les pages de vos clients.Mettez à jour le paramètre au niveau de l'application, comme suit :
Dans la console Cloud de Confiance , accédez à la page Applications Gemini Enterprise.
Sélectionnez l'application.
Dans le menu de navigation, cliquez sur Configurations.
Désactivez Activer la collecte d'événements utilisateur.
Cliquez sur Enregistrer.
Désactiver la personnalisation et la mémoire dans Gemini Enterprise
Effectuez cette tâche pour chaque application que vous déployez dans Gemini Enterprise.
Assurez-vous de disposer de l'un des rôles suivants :
- Administrateur Discovery Engine (
roles/discoveryengine.admin) - Administrateur Gemini Enterprise (
roles/discoveryengine.agentspaceAdmin) Rôle personnalisé doté de l'autorisation
discoveryengine.engines.update
Console
Pour savoir comment procéder, consultez Désactiver la personnalisation et la mémoire.
REST
Pour mettre à jour la carte de contrôle des fonctionnalités de votre application, utilisez la méthode engines.patch sur le point de terminaison de l'API discoveryengine.googleapis.com.
Définissez les clés personalization-memory et personalization-suggested-highlights sur FEATURE_STATE_OFF dans la configuration features de votre moteur.
Avant d'utiliser les données de requête, effectuez les remplacements suivants :
PROJECT_ID: ID de votre projet.APP_ID: ID de votre application
Méthode HTTP et URL :
PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features
Corps JSON de la requête :
{
"features": {
"personalization-memory": "FEATURE_STATE_OFF",
"personalization-suggested-highlights": "FEATURE_STATE_OFF"
}
}
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{
"name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
"features": {
"prompt-gallery": "FEATURE_STATE_OFF",
"personalization-memory": "FEATURE_STATE_OFF",
"personalization-suggested-highlights": "FEATURE_STATE_OFF"
}
}
Désactiver le Knowledge Graph privé
Pour désactiver le Knowledge Graph privé, vous pouvez utiliser la console ou l'API.
Assurez-vous de disposer de l'un des rôles suivants :
- Administrateur Discovery Engine (
roles/discoveryengine.admin) - Administrateur Gemini Enterprise (
roles/discoveryengine.agentspaceAdmin) Rôle personnalisé doté de l'autorisation
discoveryengine.engines.update
Console
Pour obtenir des instructions, consultez Gérer la configuration du Knowledge Graph.
REST
Pour mettre à jour la configuration de votre application, utilisez la méthode engines.patch sur le point de terminaison de l'API discoveryengine.googleapis.com.
Définissez enablePrivateKnowledgeGraph et enableCloudKnowledgeGraph sur false dans le paramètre knowledgeGraphConfig.
Avant d'utiliser les données de requête, effectuez les remplacements suivants :
PROJECT_ID: ID de votre projet.APP_ID: ID de votre application
Méthode HTTP et URL :
PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=knowledgeGraphConfig
Corps JSON de la requête :
{
"knowledgeGraphConfig": {
"enableCloudKnowledgeGraph": false,
"enablePrivateKnowledgeGraph": false
}
}
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{
"name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
"knowledgeGraphConfig": {
"enableCloudKnowledgeGraph": false,
"enablePrivateKnowledgeGraph": false
}
}
Désactiver Model Armor
Pour désactiver Model Armor, supprimez ses modèles de vos applications, puis désactivez l'API.
Pour supprimer les modèles, consultez Supprimer les modèles Model Armor d'une application Gemini Enterprise.
Pour désactiver l'API Model Armor (modelarmor.googleapis.com), utilisez l'une des méthodes suivantes :
Sur la page API et services de la console, recherchez API Model Armor (
modelarmor.googleapis.com), puis sélectionnez Désactiver l'API. Pour en savoir plus, consultez Activer et désactiver des services.Dans Google Cloud CLI, exécutez la commande suivante :
gcloud services disable modelarmor.googleapis.com
Désactiver NotebookLM Enterprise
Effectuez cette tâche pour chaque application que vous déployez dans Gemini Enterprise.
Assurez-vous de disposer de l'un des rôles suivants :
- Administrateur Discovery Engine (
roles/discoveryengine.admin) - Administrateur Gemini Enterprise (
roles/discoveryengine.agentspaceAdmin) Rôle personnalisé doté de l'autorisation
discoveryengine.engines.update
Console
Dans la console Cloud de Confiance , accédez à la page Applications Gemini Enterprise.
Sélectionnez l'application.
Dans le menu de navigation, cliquez sur Configurations, puis sélectionnez l'onglet Gestion des fonctionnalités.
Désactivez NotebookLM.
Cliquez sur Enregistrer.
REST
Pour mettre à jour la carte de contrôle des fonctionnalités de votre application, utilisez la méthode engines.patch sur le point de terminaison de l'API discoveryengine.googleapis.com. Définissez la clé notebook-lm sur FEATURE_STATE_OFF dans la configuration features de votre moteur.
Avant d'utiliser les données de requête, effectuez les remplacements suivants :
PROJECT_ID: ID de votre projet.APP_ID: ID de votre application
Méthode HTTP et URL :
PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features
Corps JSON de la requête :
{
"features": {
"notebook-lm": "FEATURE_STATE_OFF"
}
}
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{
"name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
"features": {
"prompt-gallery": "FEATURE_STATE_OFF",
"notebook-lm": "FEATURE_STATE_OFF"
}
}
Désactiver la mise en cache du contexte implicite
Pour désactiver la mise en cache du contexte implicite, consultez Activer et désactiver la mise en cache des données.