Cloud security/privacy/compliance
Gemini CLI 在 Google Cloud 與 Gemini Code Assist Standard/Enterprise 場景下的安全、隱私和合規邊界。
Google Cloud Gemini CLI 中文頁說明:對於 Gemini Code Assist Standard 和 Enterprise 使用者,Gemini Code Assist Standard 和 Enterprise 的安全性、隱私權和合規性規範也適用於 Gemini CLI。
Cloud 場景先確認專案、身份、IAM、Admin Controls 和日誌目標,再讓 Gemini CLI 進入真實程式碼庫。
這頁不是法律意見,作用是給工程團隊做上線前核對:你走的是個人 Code Assist、企業 Code Assist、Gemini Developer API,還是 Vertex AI / Google Cloud 路徑。路徑不同,資料、條款、審計和 IAM 邊界都不同。
企業專案優先確認
- Gemini Code Assist 版本。
- Cloud Project。
- IAM 角色。
- 資料保護規則。
- 是否啟用 Vertex AI。
- 組織策略和審計要求。
- 是否允許 extensions、MCP、Agent Skills、remote agents。
- usage statistics、telemetry、日誌保留位置。
Cloud 路徑的重點
在 Standard / Enterprise 或 Vertex AI 場景裡,先確認 Google Cloud project、計費、API 啟用、IAM 和組織策略。開發者本機 Gemini CLI 只是入口,真正的許可權邊界來自賬號、專案、IAM、Admin Controls、MCP 策略和企業網路。
如果團隊用 Cloud Run、Vertex AI 或內部 MCP,認證應優先走組織批准的方式,例如 ADC、service account impersonation 或企業 OAuth。不要讓開發者把個人 API key 寫進專案級配置。
資料和工具邊界
企業教程要把三類資料分開:
- 程式碼上下文:由
GEMINI.md、工具讀取、.geminiignore、trusted folders 控制。 - 工具輸出:由 shell、MCP、subagents、remote agents 產生,可能包含內部路徑或日誌。
- Telemetry / usage statistics:由 Gemini CLI telemetry 配置和 Google 對應服務隱私條款約束。
任何一類進入公網、第三方 MCP 或遠端 agent 前,都需要單獨評估。不能只因為主模型是企業賬號,就預設所有工具鏈都在企業邊界內。
使用建議
把 Gemini CLI 當作會訪問專案和工具的開發 agent,而不是普通問答工具。進入企業專案時,先由管理員確認邊界,再給開發者使用指南。
| 檢查項 | 要確認 |
|---|---|
| 身份 | Workspace / org 賬號,不混用個人賬號 |
| 專案 | 正確 Cloud Project、計費和 API |
| 許可權 | IAM 最小許可權、service account 邊界 |
| 工具 | MCP allowlist、extensions、remote agents |
| 資料 | .geminiignore、telemetry、usage statistics |
| 審計 | 日誌目標、保留策略、訪問許可權 |
驗收方式
企業上線前至少做一次只讀試執行:確認 CLI 使用正確 Cloud project,MCP server 只連線 allowlist,敏感檔案被 .geminiignore 排除,telemetry 目標符合組織要求。涉及 remote agent 或 browser agent 時,再單獨驗證網路域名、認證和日誌。
還要做負例測試:普通開發者賬號不能連線未授權 MCP,不能把 telemetry 寫到個人專案,不能讀取被排除的敏感檔案,不能繞過管理員 controls 開啟高風險能力。只驗證“正常能用”不足以證明企業邊界有效。
驗收記錄要保留賬號、專案、時間和測試結果。
接下來去哪
整合與自動化
安全邊界確認後,繼續看 IDE、hooks、headless、GitHub Action 和本地開發。
Terms and privacy
回看不同認證方式對應的條款和隱私路徑。
Enterprise controls
Cloud 場景要配合 Admin Controls 和 MCP allowlist。