Indicazioni per il deployment di Gemini for Government

Questo documento fornisce indicazioni tecniche alle agenzie federali statunitensi e ai dipartimenti del Dipartimento della Difesa (DoD) in merito al deployment e all'utilizzo di Gemini per la pubblica amministrazione in conformità ai requisiti di FedRAMP High e DoD Impact Level 4 (IL4). Questo documento descrive quali servizi e funzionalità sono inclusi nei limiti di autorizzazione e i passaggi per aiutarti a soddisfare i tuoi obblighi di conformità.

Gemini per la pubblica amministrazione utilizza Assured Workloads per aiutarti a soddisfare i requisiti di conformità. Devi eseguire il deployment di tutte le risorse Gemini for Government all'interno di una cartella Assured Workloads configurata per il tuo regime di conformità specifico (FedRAMP High o IL4).

Dipendenze dei prodotti principali

Gemini per la pubblica amministrazione si basa su diversi serviziCloud de Confiance by S3NS . La tabella seguente elenca lo stato di conformità per ogni servizio.

ServizioCloud de Confiance by S3NS Stato FedRAMP High Stato IL4

Gemini Enterprise

Organizzazione Google Cloud

Organizzazione Google Cloud

AI generativa su Gemini Enterprise Agent Platform (in precedenza AI generativa su Vertex AI)

Organizzazione Google Cloud

Organizzazione Google Cloud

BigQuery

Organizzazione Google Cloud

Organizzazione Google Cloud

Cloud Storage

Organizzazione Google Cloud

Organizzazione Google Cloud

Looker (Google Cloud core)

Organizzazione Google Cloud

Inviata

Servizi e funzionalità autorizzati

La tabella seguente elenca i servizi e le funzionalità che puoi utilizzare in Gemini per la pubblica amministrazione per le implementazioni FedRAMP High e IL4.

Funzionalità FedRAMP High IL4

I seguenti modelli:

Organizzazione Google Cloud

Organizzazione Google Cloud

Completamento automatico

Organizzazione Google Cloud

Organizzazione Google Cloud

Controlli di pubblicazione

Organizzazione Google Cloud

Organizzazione Google Cloud

Datastore autorizzati come Cloud Storage e BigQuery

Organizzazione Google Cloud

Organizzazione Google Cloud

Grounding web per aziende

Organizzazione Google Cloud

Organizzazione Google Cloud

Caricamento di documenti dalle macchine locali

Organizzazione Google Cloud

Organizzazione Google Cloud

Possibilità per gli utenti finali di selezionare modelli

Organizzazione Google Cloud

Organizzazione Google Cloud

Agente Deep Research

Organizzazione Google Cloud

Inviata

Creazione di agenti no-code utilizzando Agent Designer

Organizzazione Google Cloud

Inviata

Galleria agenti

Organizzazione Google Cloud

Inviata

Generazione di immagini con Nano Banana

Organizzazione Google Cloud

Inviata

Model Armor

Organizzazione Google Cloud

3PAO

Funzionalità non autorizzate che devi disattivare manualmente

I seguenti servizi e funzionalità non sono autorizzati per FedRAMP High o IL4. Tuttavia, non sono bloccati dai pacchetti di controlli di Assured Workloads e sono disponibili nel tuo progetto. Nell'ambito della valutazione del rischio, potresti dover valutare l'utilizzo del servizio in relazione ai dati sensibili e a eventuali controlli di mitigazione a tua disposizione. In base alla tua valutazione, potrebbe essere necessario disattivare manualmente le funzionalità di questo elenco nella configurazione dell'app Gemini Enterprise.

Agenti e gallerie
Grounding
Funzionalità generative
Funzionalità relative a utenti, sessioni e UI
Altre caratteristiche

Per saperne di più sulla memorizzazione nella cache del contesto implicito, vedi Gemini Enterprise Agent Platform e conservazione dei dati pari a zero.

Funzionalità non autorizzate che non puoi disattivare

I seguenti servizi e funzionalità sono disponibili nel pacchetto di controlli di Assured Workloads. Non puoi disattivarli. Se utilizzi queste funzionalità, ti consigliamo di eseguire una valutazione dei rischi adeguata prima di concedere l'autorizzazione per assicurarti che l'utilizzo del servizio sia appropriato per la tua implementazione FedRAMP High o IL4. Ad esempio, puoi valutare l'utilizzo del servizio in relazione alla sensibilità dei dati. Puoi anche valutare se sono disponibili controlli di mitigazione basati sulla crittografia dei dati per stabilire il controllo esclusivo sull'accesso ai dati.

Agenti e gallerie

Per rimuovere la disponibilità di questo agente, contatta il nostro team di vendita o il tuo rappresentante Cloud de Confiance .

Analytics e funzionalità dipendenti
Connettori e datastore
Funzionalità relative a utenti, sessioni e UI
Altre caratteristiche

Esegui il deployment dell'ambiente

Segui questi passaggi per ricevere assistenza per il deployment di un ambiente che soddisfi i tuoi obblighi di conformità:

  1. Esegui il deployment di Assured Workloads:
    1. Crea una cartella Assured Workloads che utilizzi Data Boundary per FedRAMP High o Data Boundary per IL4.
    2. Crea il tuo Cloud de Confiance progetto all'interno di questa cartella.
    3. Verifica che tutti gli utenti e i service account dispongano delle autorizzazioni Identity and Access Management (IAM) richieste.
  2. Configura la rete FedRAMP High o IL4. Per saperne di più, consulta Configura la rete per FedRAMP e il Dipartimento della Difesa su Cloud de Confiance.
  3. Crea un'app Gemini Enterprise. Seleziona Più regioni negli Stati Uniti come località. Questa opzione viene applicata dai criteri di residenza dei dati di Assured Workloads.
  4. Connettiti a un'origine dati di Google che si trova all'interno della cartella Assured Workloads. Gli store di dati autorizzati per FedRAMP High e IL4 sono i bucket Cloud Storage e i set di dati BigQuery.

  5. Configura le funzionalità di conformità autorizzate.

  6. Disattiva le funzionalità non autorizzate descritte in Funzionalità non autorizzate da disattivare manualmente.

  7. Forma il tuo personale a non utilizzare funzionalità non autorizzate che non puoi disattivare.

Disattivare le funzionalità non autorizzate

Completa le attività in questa sezione per disattivare le funzionalità non autorizzate che puoi disattivare manualmente.

Completa questa attività per ogni app che implementi in Gemini Enterprise.

Assicurati di disporre di uno dei seguenti ruoli:

  • Amministratore Discovery Engine (roles/discoveryengine.admin)
  • Amministratore Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Un ruolo personalizzato con l'autorizzazione discoveryengine.engines.update

Console

  1. Nella console Cloud de Confiance , vai alla pagina App Gemini Enterprise.

    Vai ad App

  2. Seleziona l'app.

  3. Nel menu di navigazione, fai clic su Configurazioni e poi seleziona la scheda Gestione funzionalità.

  4. Disattiva Abilita la galleria dei prompt.

  5. Fai clic su Salva.

REST

Per aggiornare la mappa di controllo delle funzionalità della tua app, utilizza il metodo engines.patch sull'endpoint API discoveryengine.googleapis.com.

Imposta la chiave prompt-gallery su FEATURE_STATE_OFF nella configurazione features del motore.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • PROJECT_ID: l'ID del progetto
  • APP_ID: l'ID della tua app

Metodo HTTP e URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Corpo JSON della richiesta:

{
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF"
  }
}

Disattivare il grounding con Google Maps Platform

Per disattivare la funzionalità di grounding con Google Maps Platform per tutte le richieste, puoi disabilitare l'API Maps Grounding (mapsgrounding.googleapis.com) utilizzando uno dei seguenti metodi:

  • Nella pagina API e servizi della console, individua l'API Map Grounding (mapsgrounding.googleapis.com) e seleziona Disabilita API. Per saperne di più, consulta Attivare e disattivare i servizi.

  • In Google Cloud CLI, esegui:

    gcloud services disable mapsgrounding.googleapis.com
    

Per disattivare il grounding con la Ricerca Google per tutte le richieste, imposta il vincolo booleano della policy dell'organizzazione constraints/vertexai.disableGenAIGoogleSearchGrounding su true a livello di cartella Assured Workloads. Per ulteriori informazioni, consulta Aggiornamento delle policy con regole booleane.

Disattivare il grounding utilizzando i caricamenti su Google Drive

La fondatezza con Google Drive è abilitata solo quando connetti un datastore Google Drive alla tua app. Per disabilitare la fondatezza con i caricamenti di Google Drive, completa i seguenti passaggi:

  • Assicurati che non siano configurati datastore Google Drive nelle tue app Gemini Enterprise. Se un'app è già connessa a un datastore Google Drive, rimuovila dalle impostazioni dell'app nella console o elimina il datastore utilizzando il metodo dataStores.delete nell'API Discovery Engine.

  • Disattiva le funzionalità di condivisione dei dati di Workspace nella Console di amministrazione Google oppure disattiva le funzionalità intelligenti e la personalizzazione in Google Workspace per impedire al connettore di accedere ai documenti degli utenti in Google Drive.

Disattivare il grounding utilizzando i caricamenti di Microsoft OneDrive

Il grounding con Microsoft OneDrive viene attivato solo quando connetti un datastore Microsoft OneDrive alla tua app. Per disattivare il grounding con i caricamenti di Microsoft OneDrive, completa i seguenti passaggi:

  • Assicurati che non siano configurati datastore Microsoft OneDrive nelle tue app Gemini Enterprise. Se un'app è già connessa a un datastore Microsoft OneDrive, rimuovila dalle impostazioni dell'app nella console o elimina il datastore utilizzando il metodo dataStores.delete nell'API Discovery Engine.
  • Per bloccare l'accesso del connettore, revoca le credenziali o elimina l'ID client e le credenziali dell'applicazione OAuth 2.0 registrata in Microsoft Entra ID (Azure AD) utilizzato per la connettività di Microsoft OneDrive.

Disattivare Imagen e Veo

Per disattivare la generazione di immagini con Imagen e la generazione di video con Veo, completa i seguenti passaggi:

  • Imposta il vincolo di elenco delle policy dell'organizzazione constraints/vertexai.allowedModels o constraints/vertexai.allowedGenAIModels a livello di cartella o organizzazione per negare i modelli imagen e veo (ad esempio publishers/google/models/imagen-4.0-ultra-generate-001) o per consentire solo i modelli approvati. Per saperne di più, vedi Controllare l'accesso ai modelli di Model Garden.
  • Per limitare l'accesso alla previsione sui modelli Imagen o Veo, configura un criterio di negazione IAM che nega l'autorizzazione IAM aiplatform.endpoints.predict sul percorso della risorsa per il modello. Il percorso della risorsa del modello è projects/PROJECT_ID/locations/LOCATION/publishers/google/models/MODEL_NAME.

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID del progetto
    • LOCATION: la posizione dell'app
    • MODEL_NAME: il nome del modello da consentire o negare

Disattivare gli eventi utente per le app Gemini Enterprise

Gli eventi utente vengono inviati dai tracker di eventi lato client o importati collettivamente. Per disattivare la raccolta degli eventi utente, completa una delle seguenti operazioni:

  • Quando configuri il widget di ricerca per la tua applicazione, disattiva la registrazione degli eventi impostando la proprietà disableUserEventsCollection su true all'interno dello spazio dei nomi di configurazione uiSettings. Ad esempio:

    "uiSettings": {
      "disableUserEventsCollection": true
    }
    
  • Non chiamare gli endpoint di inserimento degli eventi (in particolare il metodo userEvents.collect e il metodo userEvents.write) e assicurati che gli script dei pixel di ricerca (come v1beta_event.js) non siano attivi nelle pagine dei clienti.

  • Aggiorna l'impostazione a livello di applicazione nel seguente modo:

    1. Nella console Cloud de Confiance , vai alla pagina App Gemini Enterprise.

      Vai ad App

    2. Seleziona l'app.

    3. Nel menu di navigazione, fai clic su Configurazioni.

    4. Disattiva Abilita raccolta di eventi utente.

    5. Fai clic su Salva.

Disattivare la personalizzazione e la memoria in Gemini Enterprise

Completa questa attività per ogni app che implementi in Gemini Enterprise.

Assicurati di disporre di uno dei seguenti ruoli:

  • Amministratore Discovery Engine (roles/discoveryengine.admin)
  • Amministratore Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Un ruolo personalizzato con l'autorizzazione discoveryengine.engines.update

Console

Per le istruzioni, vedi Disattivare la personalizzazione e Memoria.

REST

Per aggiornare la mappa di controllo delle funzionalità della tua app, utilizza il metodo engines.patch sull'endpoint API discoveryengine.googleapis.com.

Imposta i tasti personalization-memory e personalization-suggested-highlights su FEATURE_STATE_OFF nella configurazione features del motore.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • PROJECT_ID: l'ID del progetto
  • APP_ID: l'ID della tua app

Metodo HTTP e URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Corpo JSON della richiesta:

{
  "features": {
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "personalization-memory": "FEATURE_STATE_OFF",
    "personalization-suggested-highlights": "FEATURE_STATE_OFF"
  }
}

Disattivare Knowledge Graph privato

Per disattivare il Knowledge Graph privato, puoi utilizzare la console o l'API.

Assicurati di disporre di uno dei seguenti ruoli:

  • Amministratore Discovery Engine (roles/discoveryengine.admin)
  • Amministratore Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Un ruolo personalizzato con l'autorizzazione discoveryengine.engines.update

Console

Per le istruzioni, vedi Gestire la configurazione del Knowledge Graph.

REST

Per aggiornare la configurazione dell'app, utilizza il metodo engines.patch sull'endpoint API discoveryengine.googleapis.com.

Imposta enablePrivateKnowledgeGraph e enableCloudKnowledgeGraph su false all'interno del parametro knowledgeGraphConfig.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • PROJECT_ID: l'ID del progetto
  • APP_ID: l'ID della tua app

Metodo HTTP e URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=knowledgeGraphConfig

Corpo JSON della richiesta:

{
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "knowledgeGraphConfig": {
    "enableCloudKnowledgeGraph": false,
    "enablePrivateKnowledgeGraph": false
  }
}

Disattivare Model Armor

Per disattivare Model Armor, rimuovi i relativi modelli dalle tue app e poi disattiva l'API.

Per rimuovere i modelli, vedi Rimuovere i modelli Model Armor da un'app Gemini Enterprise.

Per disabilitare l'API Model Armor (modelarmor.googleapis.com), utilizza uno dei seguenti metodi:

  • Nella pagina API e servizi della console, individua Model Armor API (modelarmor.googleapis.com) e seleziona Disattiva API. Per ulteriori informazioni, vedi Attivare e disattivare servizi.

  • In Google Cloud CLI, esegui:

    gcloud services disable modelarmor.googleapis.com
    

Disattivare NotebookLM Enterprise

Completa questa attività per ogni app che implementi in Gemini Enterprise.

Assicurati di disporre di uno dei seguenti ruoli:

  • Amministratore Discovery Engine (roles/discoveryengine.admin)
  • Amministratore Gemini Enterprise (roles/discoveryengine.agentspaceAdmin)
  • Un ruolo personalizzato con l'autorizzazione discoveryengine.engines.update

Console

  1. Nella console Cloud de Confiance , vai alla pagina App Gemini Enterprise.

    Vai ad App

  2. Seleziona l'app.

  3. Nel menu di navigazione, fai clic su Configurazioni e poi seleziona la scheda Gestione funzionalità.

  4. Disattiva NotebookLM.

  5. Fai clic su Salva.

REST

Per aggiornare la mappa di controllo delle funzionalità della tua app, utilizza il metodo engines.patch sull'endpoint API discoveryengine.googleapis.com. Imposta la chiave notebook-lm su FEATURE_STATE_OFF nella features configurazione del motore.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • PROJECT_ID: l'ID del progetto
  • APP_ID: l'ID della tua app

Metodo HTTP e URL:

PATCH https://discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID?updateMask=features

Corpo JSON della richiesta:

{
  "features": {
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/PROJECT_ID/locations/global/collections/default_collection/engines/APP_ID",
  "features": {
    "prompt-gallery": "FEATURE_STATE_OFF",
    "notebook-lm": "FEATURE_STATE_OFF"
  }
}

Disattivare la memorizzazione nella cache del contesto implicito

Per disattivare la memorizzazione nella cache del contesto implicito, consulta Attivazione e disattivazione della memorizzazione nella cache dei dati.