Questo documento fornisce indicazioni tecniche alle agenzie federali statunitensi e ai dipartimenti del Dipartimento della Difesa (DoD) in merito al deployment e all'utilizzo di Gemini per la pubblica amministrazione in conformità ai requisiti di FedRAMP High e DoD Impact Level 4 (IL4). Questo documento descrive quali servizi e funzionalità sono inclusi nei limiti di autorizzazione e i passaggi per aiutarti a soddisfare i tuoi obblighi di conformità.
Gemini per la pubblica amministrazione utilizza Assured Workloads per aiutarti a soddisfare i requisiti di conformità. Devi eseguire il deployment di tutte le risorse Gemini for Government all'interno di una cartella Assured Workloads configurata per il tuo regime di conformità specifico (FedRAMP High o IL4).
Dipendenze dei prodotti principali
Gemini per la pubblica amministrazione si basa su diversi serviziCloud de Confiance by S3NS . La tabella seguente elenca lo stato di conformità per ogni servizio.
| ServizioCloud de Confiance by S3NS | Stato FedRAMP High | Stato IL4 |
|---|---|---|
Gemini Enterprise |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
AI generativa su Gemini Enterprise Agent Platform (in precedenza AI generativa su Vertex AI) |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
BigQuery |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
Cloud Storage |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
Looker (Google Cloud core) |
Organizzazione Google Cloud |
Inviata |
Servizi e funzionalità autorizzati
La tabella seguente elenca i servizi e le funzionalità che puoi utilizzare in Gemini per la pubblica amministrazione per le implementazioni FedRAMP High e IL4.
| Funzionalità | FedRAMP High | IL4 |
|---|---|---|
I seguenti modelli:
|
Organizzazione Google Cloud |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
|
Organizzazione Google Cloud |
Organizzazione Google Cloud |
|
Datastore autorizzati come Cloud Storage e BigQuery |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
|
Caricamento di documenti dalle macchine locali |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
Possibilità per gli utenti finali di selezionare modelli |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
Organizzazione Google Cloud |
Inviata |
|
Creazione di agenti no-code utilizzando Agent Designer |
Organizzazione Google Cloud |
Inviata |
Organizzazione Google Cloud |
Inviata |
|
Organizzazione Google Cloud |
Inviata |
|
Organizzazione Google Cloud |
3PAO |
Funzionalità non autorizzate che devi disattivare manualmente
I seguenti servizi e funzionalità non sono autorizzati per FedRAMP High o IL4. Tuttavia, non sono bloccati dai pacchetti di controlli di Assured Workloads e sono disponibili nel tuo progetto. Nell'ambito della valutazione del rischio, potresti dover valutare l'utilizzo del servizio in relazione ai dati sensibili e a eventuali controlli di mitigazione a tua disposizione. In base alla tua valutazione, potrebbe essere necessario disattivare manualmente le funzionalità di questo elenco nella configurazione dell'app Gemini Enterprise.
| Agenti e gallerie | |
|---|---|
| Grounding |
|
| Funzionalità generative | |
| Funzionalità relative a utenti, sessioni e UI | |
| Altre caratteristiche |
Per saperne di più sulla memorizzazione nella cache del contesto implicito, vedi Gemini Enterprise Agent Platform e conservazione dei dati pari a zero.
Funzionalità non autorizzate che non puoi disattivare
I seguenti servizi e funzionalità sono disponibili nel pacchetto di controlli di Assured Workloads. Non puoi disattivarli. Se utilizzi queste funzionalità, ti consigliamo di eseguire una valutazione dei rischi adeguata prima di concedere l'autorizzazione per assicurarti che l'utilizzo del servizio sia appropriato per la tua implementazione FedRAMP High o IL4. Ad esempio, puoi valutare l'utilizzo del servizio in relazione alla sensibilità dei dati. Puoi anche valutare se sono disponibili controlli di mitigazione basati sulla crittografia dei dati per stabilire il controllo esclusivo sull'accesso ai dati.
| Agenti e gallerie |
Per rimuovere la disponibilità di questo agente, contatta il nostro team di vendita o il tuo rappresentante Cloud de Confiance . |
|---|---|
| Analytics e funzionalità dipendenti |
|
| Connettori e datastore |
|
| Funzionalità relative a utenti, sessioni e UI | |
| Altre caratteristiche |
Esegui il deployment dell'ambiente
Segui questi passaggi per ricevere assistenza per il deployment di un ambiente che soddisfi i tuoi obblighi di conformità:
- Esegui il deployment di Assured Workloads:
- Crea una cartella Assured Workloads che utilizzi Data Boundary per FedRAMP High o Data Boundary per IL4.
- Crea il tuo Cloud de Confiance progetto all'interno di questa cartella.
- Verifica che tutti gli utenti e i service account dispongano delle autorizzazioni Identity and Access Management (IAM) richieste.
- Configura la rete FedRAMP High o IL4. Per saperne di più, consulta Configura la rete per FedRAMP e il Dipartimento della Difesa su Cloud de Confiance.
- Crea un'app Gemini Enterprise. Seleziona Più regioni negli Stati Uniti come località. Questa opzione viene applicata dai criteri di residenza dei dati di Assured Workloads.
Connettiti a un'origine dati di Google che si trova all'interno della cartella Assured Workloads. Gli store di dati autorizzati per FedRAMP High e IL4 sono i bucket Cloud Storage e i set di dati BigQuery.
Configura le funzionalità di conformità autorizzate.
Disattiva le funzionalità non autorizzate descritte in Funzionalità non autorizzate da disattivare manualmente.
Forma il tuo personale a non utilizzare funzionalità non autorizzate che non puoi disattivare.
Disattivare le funzionalità non autorizzate
Completa le attività in questa sezione per disattivare le funzionalità non autorizzate che puoi disattivare manualmente.
Disattivare la galleria dei prompt
Completa questa attività per ogni app che implementi in Gemini Enterprise.
Assicurati di disporre di uno dei seguenti ruoli:
- Amministratore Discovery Engine (
roles/discoveryengine.admin) - Amministratore Gemini Enterprise (
roles/discoveryengine.agentspaceAdmin) Un ruolo personalizzato con l'autorizzazione
discoveryengine.engines.update
Console
Nella console Cloud de Confiance , vai alla pagina App Gemini Enterprise.
Seleziona l'app.
Nel menu di navigazione, fai clic su Configurazioni e poi seleziona la scheda Gestione funzionalità.
Disattiva Abilita la galleria dei prompt.
Fai clic su Salva.
REST
Per aggiornare la mappa di controllo delle funzionalità della tua app, utilizza il metodo engines.patch
sull'endpoint API discoveryengine.googleapis.com.
Imposta la chiave prompt-gallery su FEATURE_STATE_OFF nella
configurazione features del motore.
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
PROJECT_ID: l'ID del progettoAPP_ID: l'ID della tua app
Metodo HTTP e URL:
PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features
Corpo JSON della richiesta:
{
"features": {
"prompt-gallery": "FEATURE_STATE_OFF"
}
}
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
"features": {
"prompt-gallery": "FEATURE_STATE_OFF"
}
}
Disattivare il grounding con Google Maps Platform
Per disattivare la funzionalità di grounding con Google Maps Platform per tutte le richieste, puoi disabilitare l'API Maps Grounding (mapsgrounding.googleapis.com) utilizzando uno dei seguenti metodi:
Nella pagina API e servizi della console, individua l'API Map Grounding (
mapsgrounding.googleapis.com) e seleziona Disabilita API. Per saperne di più, consulta Attivare e disattivare i servizi.In Google Cloud CLI, esegui:
gcloud services disable mapsgrounding.googleapis.com
Disattivare il grounding con la Ricerca Google
Per disattivare il grounding con la Ricerca Google per tutte le richieste, imposta il vincolo booleano della policy dell'organizzazione constraints/vertexai.disableGenAIGoogleSearchGrounding su true a livello di cartella Assured Workloads. Per ulteriori informazioni, consulta Aggiornamento delle policy con regole booleane.
Disattivare il grounding utilizzando i caricamenti su Google Drive
La fondatezza con Google Drive è abilitata solo quando connetti un datastore Google Drive alla tua app. Per disabilitare la fondatezza con i caricamenti di Google Drive, completa i seguenti passaggi:
Assicurati che non siano configurati datastore Google Drive nelle tue app Gemini Enterprise. Se un'app è già connessa a un datastore Google Drive, rimuovila dalle impostazioni dell'app nella console o elimina il datastore utilizzando il metodo
dataStores.deletenell'API Discovery Engine.Disattiva le funzionalità di condivisione dei dati di Workspace nella Console di amministrazione Google oppure disattiva le funzionalità intelligenti e la personalizzazione in Google Workspace per impedire al connettore di accedere ai documenti degli utenti in Google Drive.
Disattivare il grounding utilizzando i caricamenti di Microsoft OneDrive
Il grounding con Microsoft OneDrive viene attivato solo quando connetti un datastore Microsoft OneDrive alla tua app. Per disattivare il grounding con i caricamenti di Microsoft OneDrive, completa i seguenti passaggi:
- Assicurati che non siano configurati datastore Microsoft OneDrive nelle tue
app Gemini Enterprise. Se un'app è già connessa a un datastore Microsoft
OneDrive, rimuovila dalle impostazioni dell'app nella console o
elimina il datastore utilizzando il metodo
dataStores.deletenell'API Discovery Engine. - Per bloccare l'accesso del connettore, revoca le credenziali o elimina l'ID client e le credenziali dell'applicazione OAuth 2.0 registrata in Microsoft Entra ID (Azure AD) utilizzato per la connettività di Microsoft OneDrive.
Disattivare Imagen e Veo
Per disattivare la generazione di immagini con Imagen e la generazione di video con Veo, completa i seguenti passaggi:
- Imposta il vincolo di elenco delle policy dell'organizzazione
constraints/vertexai.allowedModelsoconstraints/vertexai.allowedGenAIModelsa livello di cartella o organizzazione per negare i modelliimageneveo(ad esempiopublishers/google/models/imagen-4.0-ultra-generate-001) o per consentire solo i modelli approvati. Per saperne di più, vedi Controllare l'accesso ai modelli di Model Garden. Per limitare l'accesso alla previsione sui modelli Imagen o Veo, configura un criterio di negazione IAM che nega l'autorizzazione IAM
aiplatform.endpoints.predictsul percorso della risorsa per il modello. Il percorso della risorsa del modello èprojects/PROJECT_ID/locations/LOCATION/publishers/google/models/MODEL_NAME.Sostituisci quanto segue:
- PROJECT_ID: l'ID del progetto
- LOCATION: la posizione dell'app
- MODEL_NAME: il nome del modello da consentire o negare
Disattivare gli eventi utente per le app Gemini Enterprise
Gli eventi utente vengono inviati dai tracker di eventi lato client o importati collettivamente. Per disattivare la raccolta degli eventi utente, completa una delle seguenti operazioni:
Quando configuri il widget di ricerca per la tua applicazione, disattiva la registrazione degli eventi impostando la proprietà
disableUserEventsCollectionsutrueall'interno dello spazio dei nomi di configurazioneuiSettings. Ad esempio:"uiSettings": { "disableUserEventsCollection": true }Non chiamare gli endpoint di inserimento degli eventi (in particolare il metodo
userEvents.collecte il metodouserEvents.write) e assicurati che gli script dei pixel di ricerca (comev1beta_event.js) non siano attivi nelle pagine dei clienti.Aggiorna l'impostazione a livello di applicazione nel seguente modo:
Nella console Cloud de Confiance , vai alla pagina App Gemini Enterprise.
Seleziona l'app.
Nel menu di navigazione, fai clic su Configurazioni.
Disattiva Abilita raccolta di eventi utente.
Fai clic su Salva.
Disattivare la personalizzazione e la memoria in Gemini Enterprise
Completa questa attività per ogni app che implementi in Gemini Enterprise.
Assicurati di disporre di uno dei seguenti ruoli:
- Amministratore Discovery Engine (
roles/discoveryengine.admin) - Amministratore Gemini Enterprise (
roles/discoveryengine.agentspaceAdmin) Un ruolo personalizzato con l'autorizzazione
discoveryengine.engines.update
Console
Per le istruzioni, vedi Disattivare la personalizzazione e Memoria.
REST
Per aggiornare la mappa di controllo delle funzionalità della tua app, utilizza il metodo engines.patch
sull'endpoint API discoveryengine.googleapis.com.
Imposta i tasti personalization-memory e personalization-suggested-highlights su FEATURE_STATE_OFF nella
configurazione features del motore.
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
PROJECT_ID: l'ID del progettoAPP_ID: l'ID della tua app
Metodo HTTP e URL:
PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features
Corpo JSON della richiesta:
{
"features": {
"personalization-memory": "FEATURE_STATE_OFF",
"personalization-suggested-highlights": "FEATURE_STATE_OFF"
}
}
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
"features": {
"prompt-gallery": "FEATURE_STATE_OFF",
"personalization-memory": "FEATURE_STATE_OFF",
"personalization-suggested-highlights": "FEATURE_STATE_OFF"
}
}
Disattivare Knowledge Graph privato
Per disattivare il Knowledge Graph privato, puoi utilizzare la console o l'API.
Assicurati di disporre di uno dei seguenti ruoli:
- Amministratore Discovery Engine (
roles/discoveryengine.admin) - Amministratore Gemini Enterprise (
roles/discoveryengine.agentspaceAdmin) Un ruolo personalizzato con l'autorizzazione
discoveryengine.engines.update
Console
Per le istruzioni, vedi Gestire la configurazione del Knowledge Graph.
REST
Per aggiornare la configurazione dell'app, utilizza il metodo engines.patch sull'endpoint API discoveryengine.googleapis.com.
Imposta enablePrivateKnowledgeGraph e enableCloudKnowledgeGraph su false
all'interno del
parametro knowledgeGraphConfig.
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
PROJECT_ID: l'ID del progettoAPP_ID: l'ID della tua app
Metodo HTTP e URL:
PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=knowledgeGraphConfig
Corpo JSON della richiesta:
{
"knowledgeGraphConfig": {
"enableCloudKnowledgeGraph": false,
"enablePrivateKnowledgeGraph": false
}
}
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
"knowledgeGraphConfig": {
"enableCloudKnowledgeGraph": false,
"enablePrivateKnowledgeGraph": false
}
}
Disattivare Model Armor
Per disattivare Model Armor, rimuovi i relativi modelli dalle tue app e poi disattiva l'API.
Per rimuovere i modelli, vedi Rimuovere i modelli Model Armor da un'app Gemini Enterprise.
Per disabilitare l'API Model Armor (modelarmor.googleapis.com), utilizza uno dei seguenti metodi:
Nella pagina API e servizi della console, individua Model Armor API (
modelarmor.googleapis.com) e seleziona Disattiva API. Per ulteriori informazioni, vedi Attivare e disattivare servizi.In Google Cloud CLI, esegui:
gcloud services disable modelarmor.googleapis.com
Disattivare NotebookLM Enterprise
Completa questa attività per ogni app che implementi in Gemini Enterprise.
Assicurati di disporre di uno dei seguenti ruoli:
- Amministratore Discovery Engine (
roles/discoveryengine.admin) - Amministratore Gemini Enterprise (
roles/discoveryengine.agentspaceAdmin) Un ruolo personalizzato con l'autorizzazione
discoveryengine.engines.update
Console
Nella console Cloud de Confiance , vai alla pagina App Gemini Enterprise.
Seleziona l'app.
Nel menu di navigazione, fai clic su Configurazioni e poi seleziona la scheda Gestione funzionalità.
Disattiva NotebookLM.
Fai clic su Salva.
REST
Per aggiornare la mappa di controllo delle funzionalità della tua app, utilizza il metodo engines.patch
sull'endpoint API discoveryengine.googleapis.com. Imposta la chiave notebook-lm
su FEATURE_STATE_OFF nella features
configurazione del motore.
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
PROJECT_ID: l'ID del progettoAPP_ID: l'ID della tua app
Metodo HTTP e URL:
PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features
Corpo JSON della richiesta:
{
"features": {
"notebook-lm": "FEATURE_STATE_OFF"
}
}
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
"features": {
"prompt-gallery": "FEATURE_STATE_OFF",
"notebook-lm": "FEATURE_STATE_OFF"
}
}
Disattivare la memorizzazione nella cache del contesto implicito
Per disattivare la memorizzazione nella cache del contesto implicito, consulta Attivazione e disattivazione della memorizzazione nella cache dei dati.