La API de Conversational Analytics usa la administración de identidades y accesos (IAM) para controlar el acceso a la creación, la administración y la interacción con los agentes de datos. Con IAM, puedes otorgar permisos a principales (como usuarios, grupos y cuentas de servicio) asignándoles roles. Cada rol es una colección de uno o más permisos que determinan qué acciones puede realizar una principal.
En esta página, se describen las funciones de IAM predefinidas para la API de Conversational Analytics. Puedes asignar estos roles de IAM en la consola de Google Cloud para el proyecto en el que está habilitada la API de Conversational Analytics. Si quieres obtener instrucciones detalladas, consulta Cómo otorgar roles con la consola de Google Cloud . También puedes usar la CLI de Google Cloud para otorgar roles, como se describe en Cómo otorgar roles de IAM.
Antes de comenzar
Para obtener los permisos que
necesitas para asignar roles de IAM de la API de Conversational Analytics,
pídele a tu administrador que te otorgue el
rol de IAM de Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin)
en el proyecto en el que está habilitada la API de Conversational Analytics.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Descripción general de los roles de IAM de la API de Conversational Analytics
La API de Conversational Analytics proporciona un conjunto de roles predefinidos de IAM. Estos roles te permiten otorgar permisos para tareas como crear y editar agentes, compartir y administrar agentes, ver agentes y chatear con ellos, y usar la API en un modo de chat sin estado.
Los roles de IAM predefinidos para la API de Conversational Analytics forman parte del servicio geminidataanalytics. Los nombres técnicos de estos roles siguen el patrón roles/geminidataanalytics.ROLE_NAME. En la Google Cloud consola, puedes encontrar estos roles si filtras por el servicio Gemini Data Analytics.
Puedes asignar roles de IAM de la API de Conversational Analytics a nivel del proyecto.
Roles requeridos para las tareas comunes del usuario
Para decidir qué roles asignar a una principal, considera las siguientes tareas comunes del usuario.
- Crea agentes de datos nuevos
- Asigna el rol de creador de agentes de datos de Gemini Data Analytics a los usuarios responsables de crear nuevos agentes de datos dentro de un proyecto.
- Administra los permisos del agente
- Asigna el rol de Propietario del agente de datos de Gemini Data Analytics a los usuarios que necesiten el nivel más alto de control sobre un agente, incluida la capacidad de administrar permisos y compartir o borrar agentes. Cuando un usuario crea un agente, el sistema le otorga automáticamente este rol para el agente específico.
- Edita la configuración del agente
- Asigna el rol de Editor del agente de datos de Gemini Data Analytics a los usuarios que modifican la configuración de un agente, como su contexto o las asignaciones de fuentes de datos. Estos usuarios no tienen permiso para compartir o borrar el agente.
- Chatea con agentes
- Asigna el rol de Usuario del agente de datos de Gemini Data Analytics a los usuarios o las aplicaciones que interactúan principalmente con los agentes haciendo preguntas y recibiendo respuestas.
- Cómo ver la configuración del agente
- Asigna el rol de Visualizador del agente de datos de Gemini Data Analytics a los usuarios que necesiten acceso de solo lectura para ver la configuración del agente.
- Chatea con contexto intercalado
- Asigna el rol Gemini Data Analytics Stateless Chat User a los usuarios o las aplicaciones que interactúan con la API en modo sin estado, en el que el usuario proporciona todo el contexto de la conversación en cada solicitud.
Para obtener una lista de los roles predefinidos y los permisos que incluyen, consulta Roles predefinidos para la API de Conversational Analytics.
Roles predefinidos para la API de Conversational Analytics
En la siguiente tabla, se describen los roles predefinidos para la API de Conversational Analytics. Si las funciones predefinidas no proporcionan el conjunto de permisos que deseas, también puedes crear tus propias funciones personalizadas.
| Rol | Permisos |
|---|---|
|
Creador de agentes de datos de Gemini Data Analytics ( Otorga a un principal permiso para crear recursos de agentes de datos nuevos en un proyecto específico. Cuando una principal crea un agente, el sistema le otorga automáticamente el rol de |
geminidataanalytics.dataAgents.create
|
|
Propietario del agente de datos de análisis de datos de Gemini ( Otorga a un principal control total sobre el ciclo de vida de cualquier agente dentro del proyecto, lo que incluye compartir y borrar agentes. Este rol es para las principales de confianza que pueden administrar el uso compartido de agentes. Este rol hereda todos los permisos de los roles Una principal con este rol puede compartir y borrar agentes. |
|
|
Editor de agentes de análisis de datos de Gemini ( Otorga permiso para modificar y administrar la configuración de agentes existentes. Este rol hereda todos los permisos de los roles |
|
|
Usuario del agente de análisis de datos de Gemini ( Otorga permiso para chatear con los agentes específicos a los que se les otorgó acceso a la principal. Este rol hereda todos los permisos del rol |
|
|
Visualizador de agentes de datos de Gemini Data Analytics ( Otorga a un principal permiso de solo lectura para enumerar y ver la configuración del agente. Este rol no permite chatear con agentes. |
|
|
Usuario de chat sin estado de análisis de datos de Gemini ( Otorga permiso a un principal para llamar a la API de Chat en modo sin estado. Con el chat sin estado, el contexto se proporciona directamente en la solicitud en lugar de guardarse de forma explícita en la configuración del agente durante la creación. |
geminidataanalytics.chat
|
Asigna roles de IAM
Puedes otorgar roles de IAM de la API de Conversational Analytics a principales con la consola de Google Cloud o Google Cloud CLI.
Console
Para otorgar un rol a una principal en la consola de Google Cloud , completa los siguientes pasos:
En la consola de Google Cloud , ve a la página IAM.
Haz clic en Otorgar acceso.
En el campo Nuevos principales, ingresa la dirección de correo electrónico del usuario, el grupo o la cuenta de servicio.
En el menú Seleccionar un rol, filtra por Gemini Data Analytics para ver los roles de IAM disponibles para la API de Conversational Analytics.
Selecciona el rol adecuado, como Usuario del agente de datos de Gemini Data Analytics.
Haz clic en Guardar.
gcloud
Para otorgar roles con gcloud CLI, completa los siguientes pasos:
- Accede a Google Cloud y configura tu proyecto:
gcloud auth login gcloud config set project project_id
- De manera opcional, para enumerar los roles de IAM de la API de Conversational Analytics que puedes otorgar para tu proyecto, usa el comando
gcloud iam list-grantable-rolesde la siguiente manera:
gcloud iam list-grantable-roles //cloudresourcemanager.googleapis.com/projects/project_id --filter "geminidataanalytics"
- Otorga un rol a una principal con el comando
gcloud projects add-iam-policy-binding.
- Para otorgar un rol a un usuario, usa el siguiente comando:
gcloud projects add-iam-policy-binding project_id --member='user:user_email' --role='roles/gda_grantable_role'
- Para asignar un rol a una cuenta de servicio, usa el siguiente comando:
gcloud projects add-iam-policy-binding project_id --member='serviceAccount:service_account_email' --role='roles/gda_grantable_role'
En las instrucciones anteriores, reemplaza los valores de muestra de la siguiente manera:
project_id: El ID de tu proyecto de Google Cloud .user_email: Es la dirección de correo electrónico del usuario, comotest-user@gmail.com.service_account_email: Es la dirección de correo electrónico de la cuenta de servicio, comotest-proj@example.domain.com.gda_grantable_role: Es el rol de IAM específico de la API de Conversational Analytics que deseas otorgar, comogeminidataanalytics.dataAgentCreator.