Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Trusted Cloud von S3NS.

Diese Seite wurde von der Cloud Translation API übersetzt.

Vordefinierte Rollenvorschläge mit Gemini-Unterstützung erhalten

Auf dieser Seite wird beschrieben, wie Sie mit Gemini-Unterstützung die am wenigsten restriktiven vordefinierten IAM-Rollen (Identity and Access Management) für Ihre Hauptkonten finden und zuweisen.

Mit der IAM-Rollenauswahl können Sie Gemini fragen, welche Rollen Sie Ihren Hauptkonten zuweisen sollten. Normalerweise müssen Sie den Index für IAM-Rollen und -Berechtigungen oder die Seite Rollen in derTrusted Cloud Console durchsuchen, um die richtigen vordefinierten Rollen zu finden, die Sie zuweisen können. Mit der IAM-Rollenauswahl können Sie die Aktionen beschreiben, die das Hauptkonto ausführen soll, und die Ressourcen, die dafür erforderlich sind. Basierend auf Ihrer Eingabe schlägt Gemini die vordefinierten Rollen mit den geringsten Berechtigungen vor, die als angemessen erachtet werden.

Gemini kann vordefinierte Rollen für einzelne Hauptkonten vorschlagen. Wenn Gemini vorschlägt, eine Rolle auf Projektebene zuzuweisen, können Sie die Rollenauswahl für IAM verwenden, um diese Rolle zuzuweisen.

Gemini kann nicht vorschlagen, die folgenden Dinge zu gewähren:

Benutzerdefinierte Rollen
Rollen für mehrere Hauptkonten

Weitere Informationen dazu, wie und wann Gemini für Trusted Cloud Ihre Daten verwendet

Hinweise

Wenn Sie die IAM-Rollenauswahl in Ihrem Projekt aktivieren möchten, aktivieren Sie die Gemini for Google Cloud API in der Trusted Cloud -Konsole.

API aktivieren

Wenn Sie die API nicht aktivieren, ist die Schaltfläche Rollen auswählen für den Zugriff auf die IAM-Rollenauswahl in der Trusted Cloud Console deaktiviert.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung der IAM-Rollenauswahl benötigen:

Gemini nach Rollenvorschlägen fragen: Gemini for Google Cloud User (roles/cloudaicompanion.user)
Empfohlene Rollen zuweisen: Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Rollenvorschläge mit Gemini erhalten

Wenn Sie Rollenvorschläge von Gemini erhalten möchten, können Sie auf den IAM-Rollenauswahl auf Seiten in der Trusted Cloud -Konsole zugreifen, auf denen Sie Zugriff auf Projektebene gewähren können. Die IAM-Rollenauswahl ist beispielsweise auf den folgenden Seiten verfügbar:

Die Seite IAM
Die Seite Dienstkonten
Die Seite Dashboard in der Trusted Cloud Console

Im folgenden Verfahren wird die Seite IAM als primärer Einstiegspunkt verwendet.

Rufen Sie in der Trusted Cloud Console die Seite IAM auf.

IAM aufrufen
Wählen Sie ein Projekt aus.
Wählen Sie ein Hauptkonto aus, für das Sie Rollenvorschläge erhalten möchten:
- Wenn Sie Rollenvorschläge für ein Hauptkonto erhalten möchten, das bereits andere Rollen für die Ressource hat, suchen Sie die Zeile mit dem Hauptkonto und klicken Sie in dieser Zeile auf Hauptkonto bearbeiten.
  
  Wenn Sie einem Dienst-Agent eine Rolle zuweisen möchten, müssen Sie das Kästchen VonS3NSbereitgestellte Rollenzuweisungen einschließen anklicken, um die entsprechende E-Mail-Adresse zu sehen.
  
  Hinweis: Übernommene Rollen können beim Bearbeiten des Zugriffs auf eine Ressource nicht bearbeitet werden. Zur Bearbeitung übernommener Rollen rufen Sie die Ressource auf, der die Rolle zugewiesen wurde.
- Wenn Sie Rollenvorschläge für ein Hauptkonto erhalten möchten, das noch keine Rollen für die Ressource hat, klicken Sie auf Zugriff gewähren und geben Sie dann eine Hauptkonto-ID ein, z. B. //iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com oder //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Klicken Sie auf Hilfe beim Auswählen von Rollen, um das Dialogfeld zur Auswahl von IAM-Rollen zu öffnen.
Beschreiben Sie mit Ihren eigenen Worten die Aktion, die das Hauptkonto ausführen soll, und die Ressource im Projekt, für die die Aktion ausgeführt werden soll.
Klicken Sie auf Rollen vorschlagen. Gemini schlägt basierend auf Ihrer Eingabe die vordefinierten Rollen mit den geringsten Berechtigungen vor, die es für angemessen hält.

Wenn Sie weitere Informationen zu den Rollen und dazu erhalten möchten, warum Gemini sie vorgeschlagen hat, klicken Sie auf Begründung einblenden. Wir empfehlen außerdem, die von Gemini vorgeschlagenen Rollen anhand der Referenz für Rollen und Berechtigungen zu prüfen, bevor Sie sie dem Prinzipal zuweisen.
Optional: Wenn Gemini nicht die richtigen Rollen vorschlägt, können Sie Ihren Prompt verfeinern.
1. Wenn Sie Ihren Prompt ändern möchten, klicken Sie auf Bearbeiten.
2. Bearbeiten Sie die Beschreibung und klicken Sie dann auf Aktualisieren. Gemini aktualisiert die Vorschläge für Rollen auf Grundlage der neuen Beschreibung.
Klicken Sie auf Rollen hinzufügen, um die Vorschläge anzunehmen.
Optional: Fügen Sie der Rolle eine Bedingung hinzu.
Klicken Sie auf Speichern. Dem Hauptkonto wird die Rolle für die Ressource zugewiesen.

Sie können von Gemini vorgeschlagene Rollen auf Projektebene direkt über die IAM-Rollenauswahl zuweisen. Bei Rollenvorschlägen auf Organisations-, Ordner- oder Ressourcenebene notieren Sie sich die vorgeschlagenen Rollen und weisen Sie sie dem Prinzipal auf der entsprechenden Ebene über den üblichen Prozess in der Trusted Cloud Konsole zu. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Wenn Sie nicht die Berechtigungen haben, die Rollen auf Organisations-, Ordner- oder Ressourcenebene zu gewähren, wenden Sie sich an Ihren Administrator.

Beispiele für Anwendungsfälle

In der folgenden Tabelle finden Sie einige Beispiele für Anwendungsfälle, in denen Gemini Ihnen helfen kann, die am wenigsten restriktiven Rollen für Ihre Hauptkonten zu ermitteln.

Anwendungsfall	Beispiele für Aufforderungen
Rollen mit den geringsten Berechtigungen ermitteln, die zum Ausführen einer bestimmten Aufgabe erforderlich sind	„Welche Rolle ist zum Erstellen, Starten und Beenden von VMs erforderlich?“ „Welche IAM-Rollen mit den geringsten Berechtigungen sind zum Erstellen von IAM-Richtlinien erforderlich?“ „Ich muss einem Nutzer erlauben, BigQuery-Datasets und ‑Tabellen zu erstellen und zu verwalten. Welche Rolle soll ich zuweisen?“ „Ich muss einem Dienstkonto Zugriff zum Aufrufen von Cloud Run-Funktionen gewähren. Welche Mindestrolle ist erforderlich?“ „Welche Rolle ermöglicht es einem Dienstkonto, Daten aus Cloud Storage zu lesen, aber keine Objekte zu schreiben oder zu löschen?“
Rollen mit den geringsten Berechtigungen ermitteln, die zum Ausführen von Google Cloud CLI-Befehlen erforderlich sind	„Welche IAM-Rolle ist erforderlich, um den folgenden Befehl auszuführen: `gcloud compute instances create instance-1 --zone=us-central1-a`“ „Ich möchte die erforderlichen Rollen für ein Dienstkonto ermitteln, um den folgenden Befehl auszuführen: `gcloud datastore instances describe`“
Rollen für eine Aufgabe mit transitiven Abhängigkeiten identifizieren	„Ich muss eine Compute Engine-Instanz so konfigurieren, dass sie basierend auf der CPU-Auslastung automatisch skaliert wird. Welche IAM-Rolle(n) sollte dem Dienstkonto zugewiesen werden, das vom Autoscaler der Instanz verwendet wird?“
Rollen für eine Aufgabe identifizieren, für die möglicherweise eine Kombination aus mehreren detaillierten Rollen erforderlich ist	„Nutzern nur Zugriff auf ein bestimmtes Dataset gewähren. Wir möchten den Zugriff auf alle Datasets nicht freigeben und Nutzern nur den Zugriff auf ein bestimmtes Dataset in BigQuery erlauben. Sie sollten keine neuen Datasets erstellen oder löschen können.“

Best Practices

Damit Gemini möglichst genaue Vorschläge für Ihren Anwendungsfall machen kann, empfehlen wir Ihnen, beim Verfassen Ihres Prompts die folgenden Best Practices zu beachten.

Beschreiben Sie Ihren Anwendungsfall klar. Vermeiden Sie vage Formulierungen in Ihren Prompts. Geben Sie so genau wie möglich an, welche Aktionen das Hauptkonto für welche Dienste und Ressourcentypen ausführen soll.

Do	Nicht erlaubt	Details
„Welche Rolle ist erforderlich, um SQL-Abfragen für eine BigQuery-Tabelle auszuführen und die Daten daraus zu lesen?“	„Welche Rolle ist zum Ausführen von SQL-Anweisungen erforderlich?“	SQL ist eine generische Sprache, die in mehreren Trusted Cloud -Diensten verwendet wird. Ohne Angabe des Dienstes oder der Aktionen kann Gemini keine genaue Rolle vorschlagen.
„Ich benötige Rollen zum Starten, Beenden und Neustarten von Compute Engine-VM-Instanzen.“	„Ich muss meine virtuellen Maschinen verwalten.“	Der Begriff verwalten ist zu vage. „Verwalten“ kann das Erstellen, Löschen, Aktualisieren oder Ansehen von VMs bedeuten. Wenn Sie die auszuführenden Aktionen (starten, beenden, neu starten) und den genauen Ressourcentyp (Compute Engine-VM-Instanzen) angeben, erhalten Sie genauere Vorschläge.
„Ich muss Objekte in einen Cloud Storage-Bucket namens `example-bucket` hochladen und daraus herunterladen.“	„Gib mir Zugriff auf den Speicher.“	Der Begriff Speicher allein kann sich auf verschiedene Dienste wie Cloud Storage, Filestore oder Persistent Disk beziehen. Außerdem sind keine Aktionen angegeben. Wenn Sie den Dienst (Cloud Storage), den Namen des Ressourcentyps (`example-bucket`) oder die Aktionen (Objekte hochladen und herunterladen) nicht angeben, hat Gemini nicht genügend Informationen, um die richtigen Rollen vorzuschlagen.

Offizielle Namen verwenden: Verwenden Sie in Ihrem Prompt die offiziellen Namen von Trusted Cloud by S3NS Diensten, Ressourcentypen und API-Vorgängen. Wenn Sie sich nicht sicher sind, wie die offiziellen Namen von Diensten, Ressourcentypen oder API-Vorgängen lauten, empfehlen wir, die offizielle Produktdokumentation zu lesen.

Do	Nicht erlaubt	Details
„Welche Rolle benötige ich, um BigQuery-Datasets zu aktualisieren?“	„Welche Rolle benötige ich, um BigQuery-Datasets zu aktualisieren?	BigQuery ist der offizielle Name des Produkts, nicht Big query.
„Welche Rolle ist erforderlich, um einen Cloud Storage-Bucket in meinem Projekt zu erstellen?“	„Welche Rolle ist erforderlich, um einen Storage-Bucket in meinem Projekt zu erstellen?“	Speicher-Bucket kann sich auf verschiedene Ressourcentypen aus Diensten wie Cloud Storage, Filestore oder Persistent Disk beziehen. Wenn Sie den Produktnamen und den zugehörigen Ressourcentyp angeben, erhalten Sie genauere Vorschläge.

Fehlerbehebung

In diesem Abschnitt werden Lösungen für häufige Probleme mit der IAM-Rollenauswahl beschrieben.

Gemini schlägt Rollen vor, die Sie nicht auf Projektebene zuweisen können

Gemini kann Rollen auf allen Ressourcenebenen vorschlagen. Sie können jedoch nur die vorgeschlagenen Rollen auf Projektebene über die IAM-Rollenauswahl zuweisen. Wenn Gemini Rollen auf Organisations-, Ordner- oder Ressourcenebene vorschlägt, wird in der IAM-Rollenauswahl angezeigt, dass es vorgeschlagene Rollen gibt, die nicht gewährt werden können, und die Schaltfläche Rollen hinzufügen ist deaktiviert.

In diesem Fall können Sie die vorgeschlagenen Rollen kopieren und dem Hauptkonto auf der entsprechenden Ebene über den üblichen Prozess in derTrusted Cloud -Konsole zuweisen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.