Conseils de déploiement pour Gemini for Government

Ce document fournit des conseils techniques aux agences fédérales américaines et aux services du DoD sur le déploiement et l'utilisation de Gemini for Government en conformité avec les exigences FedRAMP High et DoD Impact Level 4 (IL4). Ce document décrit les services et fonctionnalités inclus dans les limites d'autorisation, ainsi que les étapes à suivre pour vous aider à respecter vos obligations de conformité.

Gemini for Government utilise Assured Workloads pour vous aider à répondre aux exigences de conformité. Vous devez déployer toutes les ressources Gemini for Government dans un dossier Assured Workloads configuré pour votre régime de conformité spécifique (FedRAMP à niveau d'impact élevé ou IL4).

Dépendances principales des produits

Gemini for Government s'appuie sur plusieurs servicesCloud de Confiance by S3NS . Le tableau suivant indique l'état de conformité de chaque service.

ServiceCloud de Confiance by S3NS État FedRAMP High État IL4

Gemini Enterprise

Org. Google Cloud

Org. Google Cloud

IA générative sur Gemini Enterprise Agent Platform (anciennement IA générative sur Vertex AI)

Org. Google Cloud

Org. Google Cloud

BigQuery

Org. Google Cloud

Org. Google Cloud

Cloud Storage

Org. Google Cloud

Org. Google Cloud

Looker (Google Cloud Core)

Org. Google Cloud

Envoyé

Services et fonctionnalités autorisés

Le tableau suivant liste les services et fonctionnalités que vous pouvez utiliser dans Gemini for Government pour les déploiements FedRAMP (niveau d'impact élevé) et IL4.

Fonctionnalité Niveau d'impact élevé du FedRAMP IL4

Les modèles suivants :

Org. Google Cloud

Org. Google Cloud

Saisie semi-automatique

Org. Google Cloud

Org. Google Cloud

Contrôles de diffusion

Org. Google Cloud

Org. Google Cloud

Dépôts de données autorisés tels que Cloud Storage et BigQuery

Org. Google Cloud

Org. Google Cloud

Ancrage Web pour les entreprises

Org. Google Cloud

Org. Google Cloud

Importer des documents depuis des machines locales

Org. Google Cloud

Org. Google Cloud

Possibilité pour les utilisateurs finaux de sélectionner des modèles

Org. Google Cloud

Org. Google Cloud

Agent Deep Research

Org. Google Cloud

Envoyé

Création d'agents sans code à l'aide d'Agent Designer

Org. Google Cloud

Envoyé

Galerie d'agents

Org. Google Cloud

Envoyé

Génération d'images avec Nano Banana

Org. Google Cloud

Envoyé

Model Armor

Org. Google Cloud

3PAO

Fonctionnalités non autorisées que vous devez désactiver manuellement

Les services et fonctionnalités suivants ne sont pas autorisés pour FedRAMP High ni IL4. Toutefois, ils ne sont pas bloqués par les packages de contrôles Assured Workloads et sont disponibles dans votre projet. Dans le cadre de votre évaluation des risques, vous devrez peut-être évaluer l'utilisation des services par rapport aux données sensibles et aux contrôles d'atténuation dont vous disposez. En fonction de votre évaluation, vous devrez peut-être désactiver manuellement les fonctionnalités de cette liste dans la configuration de votre application Gemini Enterprise.

Agents et galeries
Surface de référence
Fonctionnalités génératives
Fonctionnalités liées aux utilisateurs, aux sessions et à l'UI
Autres caractéristiques

Pour en savoir plus sur la mise en cache du contexte implicite, consultez Gemini Enterprise Agent Platform et la conservation des données nulle.

Fonctionnalités non autorisées que vous ne pouvez pas désactiver

Les services et fonctionnalités suivants sont disponibles dans le package de contrôles Assured Workloads. Vous ne pouvez pas les désactiver. Si vous utilisez ces fonctionnalités, nous vous recommandons de procéder à une évaluation des risques appropriée avant d'accorder votre autorisation pour vous assurer que l'utilisation du service est adaptée à votre déploiement FedRAMP High ou IL4. Par exemple, vous pouvez évaluer l'utilisation du service par rapport à la sensibilité des données. Vous pouvez également évaluer si des contrôles d'atténuation basés sur le chiffrement des données sont disponibles pour établir un contrôle exclusif sur l'accès aux données.

Agents et galeries

Pour supprimer la disponibilité de cet agent, contactez notre équipe commerciale ou votre représentant Cloud de Confiance .

Analytics et fonctionnalités dépendantes
Connecteurs et stores de données
Fonctionnalités liées aux utilisateurs, aux sessions et à l'UI
Autres caractéristiques

Déployer votre environnement

Pour obtenir de l'aide concernant le déploiement d'un environnement qui répond à vos obligations de conformité, procédez comme suit :

  1. Déployer Assured Workloads :
    1. Créez un dossier Assured Workloads qui utilise le périmètre de données pour le niveau d'impact élevé du FedRAMP ou le périmètre de données pour IL4.
    2. Créez votre projet Cloud de Confiance dans ce dossier.
    3. Vérifiez que tous les utilisateurs et comptes de service disposent des autorisations IAM (Identity and Access Management) requises.
  2. Configurez votre réseau FedRAMP High ou IL4. Pour en savoir plus, consultez Configurer un réseau pour FedRAMP et DoD sur Cloud de Confiance.
  3. Créez une application Gemini Enterprise. Sélectionnez US (plusieurs régions aux États-Unis) comme emplacement. Cette option est appliquée par le règlement Assured Workloads sur la résidence des données.
  4. Connectez-vous à une source de données Google située dans votre dossier Assured Workloads. Les magasins de données autorisés pour FedRAMP High et IL4 sont les buckets Cloud Storage et les ensembles de données BigQuery.

  5. Configurez les fonctionnalités de conformité autorisées.

  6. Désactivez les fonctionnalités non autorisées décrites dans Fonctionnalités non autorisées à désactiver manuellement.

  7. Formez votre personnel à ne pas utiliser les fonctionnalités non autorisées que vous ne pouvez pas désactiver.

Désactiver les fonctionnalités non autorisées

Effectuez les tâches de cette section pour désactiver les fonctionnalités non autorisées que vous pouvez désactiver manuellement.

Effectuez cette tâche pour chaque application que vous déployez dans Gemini Enterprise.

Assurez-vous de disposer de l'un des rôles suivants :

  • Administrateur Discovery Engine (roles/discoveryengine.admin)
  • Administrateur Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Rôle personnalisé doté de l'autorisation discoveryengine.engines.update

Console

  1. Dans la console Cloud de Confiance , accédez à la page Applications Gemini Enterprise.

    Accédez à "Applications".

  2. Sélectionnez l'application.

  3. Dans le menu de navigation, cliquez sur Configurations, puis sélectionnez l'onglet Gestion des fonctionnalités.

  4. Désactivez l'option Activer la galerie de prompts.

  5. Cliquez sur Enregistrer.

REST

Pour mettre à jour la carte de contrôle des fonctionnalités de votre application, utilisez la méthode engines.patch sur le point de terminaison de l'API discoveryengine.googleapis.com.

Définissez la clé prompt-gallery sur FEATURE_STATE_OFF dans la configuration features de votre moteur.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • PROJECT_ID : ID de votre projet.
  • APP_ID : ID de votre application

Méthode HTTP et URL :

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Corps JSON de la requête :

{
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

Désactiver l'ancrage avec Google Maps Platform

Pour désactiver l'ancrage avec Google Maps Platform pour toutes les requêtes, vous pouvez désactiver l'API Maps Grounding (mapsgrounding.googleapis.com) à l'aide de l'une des méthodes suivantes :

  • Sur la page API et services de la console, recherchez l'API Map Grounding (mapsgrounding.googleapis.com), puis sélectionnez Désactiver l'API. Pour en savoir plus, consultez Activer et désactiver des services.

  • Dans Google Cloud CLI, exécutez la commande suivante :

    gcloud services disable mapsgrounding.googleapis.com
    

Pour désactiver l'ancrage avec la recherche Google pour toutes les requêtes, définissez la contrainte booléenne de la règle d'administration constraints/vertexai.disableGenAIGoogleSearchGrounding sur true au niveau du dossier Assured Workloads. Pour en savoir plus, consultez Mettre à jour les règles avec des règles booléennes.

Désactiver l'ancrage à l'aide des importations Google Drive

L'ancrage avec Google Drive n'est activé que lorsque vous associez un data store Google Drive à votre application. Pour désactiver l'ancrage avec les importations Google Drive, procédez comme suit :

  • Assurez-vous qu'aucun datastore Google Drive n'est configuré dans vos applications Gemini Enterprise. Si une application est déjà connectée à un data store Google Drive, supprimez-le des paramètres de l'application dans la console ou supprimez le data store à l'aide de la méthode dataStores.delete dans l'API Discovery Engine.

  • Désactivez les fonctionnalités de partage de données Workspace dans la console d'administration Google ou désactivez les fonctionnalités intelligentes et la personnalisation dans Google Workspace pour empêcher le connecteur d'accéder aux documents utilisateur dans Google Drive.

Désactiver l'ancrage à l'aide des importations Microsoft OneDrive

L'ancrage avec Microsoft OneDrive n'est activé que lorsque vous connectez un data store Microsoft OneDrive à votre application. Pour désactiver l'ancrage avec les importations Microsoft OneDrive, procédez comme suit :

  • Assurez-vous qu'aucun datastore Microsoft OneDrive n'est configuré dans vos applications Gemini Enterprise. Si une application est déjà connectée à un data store Microsoft OneDrive, supprimez-la des paramètres de l'application dans la console ou supprimez le data store à l'aide de la méthode dataStores.delete dans l'API Discovery Engine.
  • Pour bloquer l'accès du connecteur, révoquez les identifiants ou supprimez l'ID client et les identifiants de l'application OAuth 2.0 enregistrée dans Microsoft Entra ID (Azure AD) qui sont utilisés pour la connectivité Microsoft OneDrive.

Désactiver Imagen et Veo

Pour désactiver la génération d'images avec Imagen et la génération de vidéos avec Veo :

  • Définissez la contrainte de liste de règles d'administration constraints/vertexai.allowedModels ou constraints/vertexai.allowedGenAIModels au niveau du dossier ou de l'organisation pour refuser les modèles imagen et veo (par exemple, publishers/google/models/imagen-4.0-ultra-generate-001) ou pour n'autoriser que les modèles approuvés. Pour en savoir plus, consultez Contrôler l'accès aux modèles Model Garden.
  • Pour restreindre l'accès aux prédictions sur les modèles Imagen ou Veo, configurez une stratégie de refus IAM qui refuse l'autorisation IAM aiplatform.endpoints.predict sur le chemin d'accès à la ressource pour le modèle. Le chemin d'accès à la ressource du modèle est projects/PROJECT_ID/locations/LOCATION/publishers/google/models/MODEL_NAME.

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet.
    • LOCATION : emplacement de l'application
    • MODEL_NAME : nom du modèle à autoriser ou à refuser

Désactiver les événements utilisateur pour les applications Gemini Enterprise

Les événements utilisateur sont envoyés par des outils de suivi des événements côté client ou importés de manière groupée. Pour désactiver la collecte des événements utilisateur, effectuez l'une des opérations suivantes :

  • Lorsque vous configurez le widget de recherche pour votre application, désactivez la journalisation des événements en définissant la propriété disableUserEventsCollection sur true dans l'espace de noms de configuration uiSettings. Exemple :

    "uiSettings": {
      "disableUserEventsCollection": true
    }
    
  • N'appelez pas les points de terminaison d'injection d'événements (en particulier la méthode userEvents.collect et la méthode userEvents.write), et assurez-vous que les scripts de pixels de recherche (tels que v1beta_event.js) ne sont pas actifs sur les pages de vos clients.

  • Mettez à jour le paramètre au niveau de l'application, comme suit :

    1. Dans la console Cloud de Confiance , accédez à la page Applications Gemini Enterprise.

      Accédez à "Applications".

    2. Sélectionnez l'application.

    3. Dans le menu de navigation, cliquez sur Configurations.

    4. Désactivez Activer la collecte d'événements utilisateur.

    5. Cliquez sur Enregistrer.

Désactiver la personnalisation et la mémoire dans Gemini Enterprise

Effectuez cette tâche pour chaque application que vous déployez dans Gemini Enterprise.

Assurez-vous de disposer de l'un des rôles suivants :

  • Administrateur Discovery Engine (roles/discoveryengine.admin)
  • Administrateur Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Rôle personnalisé doté de l'autorisation discoveryengine.engines.update

Console

Pour savoir comment procéder, consultez Désactiver la personnalisation et la mémoire.

REST

Pour mettre à jour la carte de contrôle des fonctionnalités de votre application, utilisez la méthode engines.patch sur le point de terminaison de l'API discoveryengine.googleapis.com.

Définissez les clés personalization-memory et personalization-suggested-highlights sur FEATURE_STATE_OFF dans la configuration features de votre moteur.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • PROJECT_ID : ID de votre projet.
  • APP_ID : ID de votre application

Méthode HTTP et URL :

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Corps JSON de la requête :

{
  "features": {
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

Désactiver le Knowledge Graph privé

Pour désactiver le Knowledge Graph privé, vous pouvez utiliser la console ou l'API.

Assurez-vous de disposer de l'un des rôles suivants :

  • Administrateur Discovery Engine (roles/discoveryengine.admin)
  • Administrateur Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Rôle personnalisé doté de l'autorisation discoveryengine.engines.update

Console

Pour obtenir des instructions, consultez Gérer la configuration du Knowledge Graph.

REST

Pour mettre à jour la configuration de votre application, utilisez la méthode engines.patch sur le point de terminaison de l'API discoveryengine.googleapis.com.

Définissez enablePrivateKnowledgeGraph et enableCloudKnowledgeGraph sur false dans le paramètre knowledgeGraphConfig.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • PROJECT_ID : ID de votre projet.
  • APP_ID : ID de votre application

Méthode HTTP et URL :

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=knowledgeGraphConfig

Corps JSON de la requête :

{
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

Désactiver Model Armor

Pour désactiver Model Armor, supprimez ses modèles de vos applications, puis désactivez l'API.

Pour supprimer les modèles, consultez Supprimer les modèles Model Armor d'une application Gemini Enterprise.

Pour désactiver l'API Model Armor (modelarmor.googleapis.com), utilisez l'une des méthodes suivantes :

  • Sur la page API et services de la console, recherchez API Model Armor (modelarmor.googleapis.com), puis sélectionnez Désactiver l'API. Pour en savoir plus, consultez Activer et désactiver des services.

  • Dans Google Cloud CLI, exécutez la commande suivante :

    gcloud services disable modelarmor.googleapis.com
    

Désactiver NotebookLM Enterprise

Effectuez cette tâche pour chaque application que vous déployez dans Gemini Enterprise.

Assurez-vous de disposer de l'un des rôles suivants :

  • Administrateur Discovery Engine (roles/discoveryengine.admin)
  • Administrateur Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Rôle personnalisé doté de l'autorisation discoveryengine.engines.update

Console

  1. Dans la console Cloud de Confiance , accédez à la page Applications Gemini Enterprise.

    Accédez à "Applications".

  2. Sélectionnez l'application.

  3. Dans le menu de navigation, cliquez sur Configurations, puis sélectionnez l'onglet Gestion des fonctionnalités.

  4. Désactivez NotebookLM.

  5. Cliquez sur Enregistrer.

REST

Pour mettre à jour la carte de contrôle des fonctionnalités de votre application, utilisez la méthode engines.patch sur le point de terminaison de l'API discoveryengine.googleapis.com. Définissez la clé notebook-lm sur FEATURE_STATE_OFF dans la configuration features de votre moteur.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • PROJECT_ID : ID de votre projet.
  • APP_ID : ID de votre application

Méthode HTTP et URL :

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Corps JSON de la requête :

{
  "features": {
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

Désactiver la mise en cache du contexte implicite

Pour désactiver la mise en cache du contexte implicite, consultez Activer et désactiver la mise en cache des données.