Questa pagina descrive come trovare e concedere i ruoli predefiniti di Identity and Access Management (IAM) meno permissivi alle tue entità con l'assistenza di Gemini.
Il selettore di ruoli IAM ti consente di chiedere a Gemini quali ruoli concedere alle tue entità. In genere, per trovare i ruoli predefiniti giusti da concedere, devi cercare nell'indice dei ruoli e delle autorizzazioni IAM o nella pagina Ruoli della consoleGoogle Cloud . Con il selettore di ruoli IAM, puoi descrivere le azioni che vuoi che l'entità esegua e le risorse su cui deve eseguirle. In base al tuo input, Gemini suggerisce i ruoli predefiniti meno permissivi che ritiene appropriati.
Gemini può suggerire ruoli predefiniti per le singole entità. Se Gemini suggerisce di concedere un ruolo a livello di progetto, puoi utilizzare il selettore dei ruoli IAM per concedere il ruolo.
Gemini non può suggerire di concedere le seguenti autorizzazioni:
- Ruoli personalizzati
- Ruoli per più entità
Scopri come e quando Gemini per Google Cloud utilizza i tuoi dati.
Prima di iniziare
Per attivare il selettore dei ruoli IAM nel tuo progetto, abilita l'API Gemini for Google Cloud nella console Google Cloud .
Se non abiliti l'API, il pulsante Aiutami a scegliere i ruoli per accedere al selettore di ruoli IAM nella console Google Cloud verrà disattivato.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per utilizzare il selettore dei ruoli IAM, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Chiedi a Gemini suggerimenti sui ruoli:
Gemini for Google Cloud User (
roles/cloudaicompanion.user) -
Concedi i ruoli suggeriti:
Project IAM Admin (
roles/resourcemanager.projectIamAdmin)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Ricevere suggerimenti sui ruoli con l'assistenza di Gemini
Per ricevere suggerimenti sui ruoli da Gemini, puoi accedere al selettore di ruoli IAM nelle pagine della console Google Cloud che ti consentono di concedere l'accesso a livello di progetto. Ad esempio, il selettore ruoli IAM è disponibile nelle seguenti pagine:
- La pagina IAM
- La pagina Service account
- Pagina Dashboard della console Google Cloud
La seguente procedura utilizza la pagina IAM come punto di accesso principale.
Nella console Google Cloud , vai alla pagina IAM.
Seleziona un progetto.
Seleziona un'entità per ricevere suggerimenti sui ruoli:
Per ricevere suggerimenti sui ruoli per un'entità che ha già altri ruoli nella risorsa, trova una riga contenente l'entità e fai clic su Modifica entità in quella riga.
Per concedere un ruolo a un agente di servizio, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google per visualizzarne l'indirizzo email.
Per ricevere suggerimenti sui ruoli per un'entità che non ha ruoli esistenti nella risorsa, fai clic su Concedi accesso, quindi inserisci un identificatore dell'entità, ad esempio
my-user@example.como//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Per aprire la finestra di dialogo del selettore di ruoli IAM, fai clic su Aiutami a scegliere i ruoli.
Descrivi con parole tue l'azione che vuoi che l'entità esegua e la risorsa nel progetto su cui deve eseguirla.
Fai clic su Suggerisci ruoli. In base al tuo input, Gemini suggerisce i ruoli predefiniti meno permissivi che ritiene appropriati.
Per saperne di più sui ruoli e sul motivo per cui Gemini li ha suggeriti, fai clic su Mostra ragionamento. Ti consigliamo inoltre di utilizzare il riferimento a ruoli e autorizzazioni per convalidare i ruoli suggeriti da Gemini prima di concederli all'entità.
(Facoltativo) Se Gemini non suggerisce i ruoli giusti, puoi perfezionare il prompt.
- Per modificare il prompt, fai clic su Modifica.
- Modifica la descrizione e fai clic su Aggiorna. Gemini aggiorna i suggerimenti per i ruoli in base alla nuova descrizione.
Per accettare i suggerimenti, fai clic su Aggiungi ruoli.
(Facoltativo) Aggiungi una condizione al ruolo.
Fai clic su Salva. All'entità viene concesso il ruolo sulla risorsa.
Puoi concedere i ruoli a livello di progetto suggeriti da Gemini direttamente dal selettore dei ruoli IAM. Per i suggerimenti sui ruoli a livello di organizzazione, cartella o risorsa, prendi nota dei ruoli suggeriti e concedili all'entità a livello appropriato utilizzando la procedura tipica nella console Google Cloud . Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Se non disponi delle autorizzazioni per concedere i ruoli a livello di organizzazione, cartella o risorsa, contatta l'amministratore.
Esempi di casi d'uso
La tabella seguente illustra alcuni casi d'uso di esempio in cui Gemini può aiutarti a identificare i ruoli meno permissivi per i tuoi principali.
| Caso d'uso | Esempi di prompt |
|---|---|
| Identificare i ruoli con privilegi minimi necessari per eseguire un'attività specifica |
|
| Identificare i ruoli meno permissivi necessari per eseguire i comandi Google Cloud CLI |
|
| Identificazione dei ruoli per un'attività che include dipendenze transitive | "Devo configurare un'istanza di Compute Engine per la scalabilità automatica in base all'utilizzo della CPU. Quale o quali ruoli IAM devono essere concessi al account di servizio utilizzato dallo strumento di scalabilità automatica delle istanze?" |
| Identificare i ruoli per un'attività che potrebbe richiedere una combinazione di più ruoli granulari | "Consenti agli utenti di accedere solo a un determinato set di dati. Non vogliamo condividere l'accesso a tutti i set di dati e consentiamo agli utenti di accedere solo a un particolare set di dati in BigQuery. Non dovrebbero essere in grado di creare nuovi set di dati o eliminarli" |
Best practice
Per aiutare Gemini a fornire i suggerimenti più accurati per il tuo caso d'uso, ti consigliamo di rispettare le seguenti best practice quando crei il prompt.
Descrivi chiaramente il tuo caso d'uso. Evita di utilizzare un linguaggio vago nei prompt. Sii il più chiaro possibile sulle azioni che vuoi che l'entità esegua su quali servizi e tipi di risorse.
Azione Cosa non fare Dettagli "Quale ruolo è necessario per eseguire query SQL su una tabella BigQuery e leggere i dati?" "Quale ruolo è necessario per eseguire le istruzioni SQL?" SQL è un linguaggio generico utilizzato in più servizi Google Cloud . Senza specificare il servizio o le azioni, Gemini non può suggerire un ruolo preciso. "Ho bisogno di ruoli per avviare, arrestare e riavviare le istanze di macchine virtuali Compute Engine." "Devo gestire le mie macchine virtuali." Il termine gestire è troppo vago. Gestire potrebbe significare creare, eliminare, aggiornare o visualizzare le VM. L'elenco chiaro delle azioni specifiche da eseguire (avvio, arresto, riavvio) e del tipo di risorsa esatto (istanze di macchine virtuali Compute Engine) produce suggerimenti più accurati. "Devo caricare e scaricare oggetti da un bucket Cloud Storage denominato example-bucket.""Dammi l'accesso allo spazio di archiviazione." Il termine Storage da solo potrebbe fare riferimento a vari servizi come Cloud Storage, Filestore o Persistent Disk. Inoltre, non sono specificate azioni. Senza specificare il servizio (Cloud Storage), il nome del tipo di risorsa ( example-bucket) o le azioni (caricamento e download di oggetti), Gemini non dispone di informazioni sufficienti per suggerire i ruoli giusti.Utilizza i nomi ufficiali. Utilizza i nomi ufficiali di Google Cloud servizi, tipi di risorse e operazioni API nel prompt. Se non hai la certezza dei nomi ufficiali di servizi, tipi di risorse o operazioni API, ti consigliamo di consultare la documentazione ufficiale del prodotto.
Azione Cosa non fare Dettagli "Quale ruolo devo avere per aggiornare i set di dati BigQuery?" "Quale ruolo mi serve per aggiornare i set di dati BigQuery? BigQuery è il nome ufficiale del prodotto, non Big query. "Quale ruolo è necessario per creare un bucket Cloud Storage nel mio progetto?" "Quale ruolo è necessario per creare un bucket Storage nel mio progetto?" Bucket di archiviazione potrebbe fare riferimento a diversi tipi di risorse di servizi come Cloud Storage, Filestore o Persistent Disk. Specificare il nome del prodotto e il tipo di risorsa associato consente di ottenere suggerimenti più accurati.
Risoluzione dei problemi
Questa sezione descrive le soluzioni per i problemi comuni relativi al selettore dei ruoli IAM.
Gemini suggerisce ruoli che non puoi concedere a livello di progetto
Gemini può suggerire ruoli a tutti i livelli di risorse; tuttavia, puoi utilizzare il selettore di ruoli IAM solo per concedere i ruoli a livello di progetto suggeriti. Quando Gemini suggerisce ruoli a livello di organizzazione, cartella o risorsa, il selettore dei ruoli IAM indica che sono presenti ruoli suggeriti che non possono essere concessi e il pulsante Aggiungi ruoli sarà disattivato.
In questo caso, puoi copiare i ruoli suggeriti e concederli all'entità a livello appropriato utilizzando la procedura tipica nella consoleGoogle Cloud . Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Se non disponi delle autorizzazioni per concedere i ruoli a livello di organizzazione, cartella o risorsa, contatta l'amministratore.
Prezzi
Il selettore dei ruoli IAM è offerto senza costi aggiuntivi nell'ambito di Gemini Cloud Assist. Per maggiori informazioni sui prezzi di Gemini Cloud Assist, consulta la pagina Prezzi di Gemini per Google Cloud.
Passaggi successivi
- Leggi la panoramica di Gemini per Google Cloud.
- Scopri in che modo Gemini per Google Cloud utilizza i tuoi dati.
- Scopri come trovare manualmente i ruoli predefiniti giusti