Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Recibir sugerencias de roles predefinidos con la ayuda de Gemini

En esta página se describe cómo puedes encontrar y asignar los roles predefinidos de Gestión de Identidades y Accesos (IAM) menos permisivos a tus principales con la ayuda de Gemini.

El selector de roles de gestión de identidades y accesos te permite preguntar a Gemini qué roles debes conceder a tus principales. Normalmente, para encontrar los roles predefinidos adecuados que se deben asignar, tendrías que buscar en el índice de roles y permisos de gestión de identidades y accesos o en la página Roles de laTrusted Cloud consola. Con el selector de roles de IAM, puedes describir las acciones que quieres que realice la entidad de seguridad y los recursos en los que debe llevarlas a cabo. Según tu petición, Gemini sugiere los roles predefinidos menos permisivos que considera adecuados.

Gemini puede sugerir roles predefinidos para principales concretos. Si Gemini sugiere asignar un rol a nivel de proyecto, puedes usar el selector de roles de gestión de identidades y accesos para asignar ese rol.

Gemini no puede sugerir que se concedan los siguientes elementos:

Roles personalizados
Roles para varios principales

Consulta cómo y cuándo Gemini Trusted Cloud usa tus datos.

Antes de empezar

Para habilitar el selector de roles de IAM en tu proyecto, habilita la API Gemini for Google Cloud en la Trusted Cloud consola.

Activar la API

Si no habilitas la API, el botón Ayúdame a elegir roles para acceder al selector de roles de gestión de identidades y accesos en la consola de Trusted Cloud estará inhabilitado.

Roles obligatorios

Para obtener los permisos que necesitas para usar el selector de roles de gestión de identidades y accesos, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:

Pide a Gemini que te sugiera roles: Usuario de Gemini para Google Cloud (roles/cloudaicompanion.user)
Concede los roles sugeridos: Administrador de gestión de identidades y accesos de proyectos (roles/resourcemanager.projectIamAdmin)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Recibir sugerencias de roles con la ayuda de Gemini

Para obtener sugerencias de roles de Gemini, puedes acceder al selector de roles de gestión de identidades y accesos en las páginas de la Trusted Cloud consola que te permiten conceder acceso a nivel de proyecto. Por ejemplo, el selector de roles de gestión de identidades y accesos está disponible en las siguientes páginas:

La página IAM
La página Cuentas de servicio
La página Panel de control de la consola Trusted Cloud

En el siguiente procedimiento se usa la página IAM como punto de entrada principal.

En la consola, ve a la página IAM. Trusted Cloud

Ir a Gestión de identidades y accesos
Selecciona un proyecto.
Selecciona una cuenta principal para obtener sugerencias de roles:
- Para obtener sugerencias de roles para un principal que ya tiene otros roles en el recurso, busque una fila que contenga el principal y, a continuación, haga clic en Editar principal en esa fila.
  
  Para conceder un rol a un agente de servicio, selecciona la casilla Incluir concesiones de roles proporcionadas por S3NS para ver su dirección de correo electrónico.
  
  Nota: No puedes editar los roles heredados al gestionar el acceso a un recurso. Para editar los roles heredados, ve al recurso en el que se concedió el rol.
- Para obtener sugerencias de roles para un principal que no tenga ningún rol en el recurso, haz clic en Conceder acceso y, a continuación, introduce un identificador de principal (por ejemplo, //iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com o //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com).
Para abrir el cuadro de diálogo del selector de roles de gestión de identidades y accesos, haz clic en Ayúdame a elegir roles.
Describe con tus propias palabras la acción que quieres que realice la cuenta principal y el recurso del proyecto en el que debe realizarla.
Haz clic en Sugerir roles. En función de lo que le indiques, Gemini te sugerirá los roles predefinidos menos permisivos que considere adecuados.

Para obtener más información sobre los roles y por qué los ha sugerido Gemini, haz clic en Mostrar motivos. También te recomendamos que uses la referencia de roles y permisos para validar los roles sugeridos por Gemini antes de asignarlos al principal.
Opcional: Si Gemini no sugiere los roles adecuados, puedes mejorar tu petición.
1. Para modificar tu petición, haz clic en Editar.
2. Edita la descripción y haz clic en Actualizar. Gemini actualiza sus sugerencias de roles en función de la nueva descripción.
Para aceptar las sugerencias, haz clic en Añadir roles.
Opcional: Añade una condición al rol.
Haz clic en Guardar. Se concede el rol a la entidad principal en el recurso.

Puedes asignar directamente los roles a nivel de proyecto que te sugiera Gemini desde el selector de roles de gestión de identidades y accesos. En el caso de las sugerencias de roles a nivel de organización, carpeta o recurso, anota los roles sugeridos y asígnalos a la entidad de seguridad en el nivel adecuado mediante el proceso habitual de la Trusted Cloud consola. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Si no tienes los permisos para conceder los roles a nivel de organización, carpeta o recurso, ponte en contacto con tu administrador.

Casos prácticos de ejemplo

En la siguiente tabla se muestran algunos ejemplos de casos prácticos en los que Gemini puede ayudarte a identificar los roles menos permisivos para tus principales.

Caso práctico	Ejemplos de peticiones
Identificar los roles con los permisos mínimos necesarios para realizar una tarea específica	"¿Qué rol se necesita para crear, iniciar y detener VMs?" "¿Cuáles son los roles de IAM con los mínimos privilegios necesarios para crear políticas de IAM?" "Necesito permitir que un usuario cree y gestione conjuntos de datos y tablas de BigQuery. ¿Qué rol debo asignar?" "Necesito conceder acceso a una cuenta de servicio para invocar funciones de Cloud Run. ¿Cuál es el rol mínimo necesario?" "¿Qué rol permite a una cuenta de servicio leer datos de Cloud Storage, pero no escribir ni eliminar objetos?"
Identificar los roles con los permisos mínimos necesarios para ejecutar comandos de la CLI de Google Cloud	"¿Qué rol de gestión de identidades y accesos se necesita para ejecutar el siguiente comando: `gcloud compute instances create instance-1 --zone=us-central1-a`?" "Quiero identificar los roles necesarios para que una cuenta de servicio ejecute el siguiente comando: `gcloud datastore instances describe`"
Identificar los roles de una tarea que incluye dependencias transitivas	"Necesito configurar una instancia de Compute Engine para que se escale automáticamente en función del uso de la CPU. ¿Qué roles de gestión de identidades y accesos se deben conceder a la cuenta de servicio que usa el escalador automático de instancias?"
Identificar los roles de una tarea que puede requerir una combinación de varios roles granulares	"Proporcionar a los usuarios acceso solo a un conjunto de datos concreto. No queremos compartir el acceso a todos los conjuntos de datos y solo permitimos que los usuarios accedan a un conjunto de datos concreto en BigQuery. No deberían poder crear conjuntos de datos ni eliminarlos"

Prácticas recomendadas

Para que Gemini te proporcione las sugerencias más precisas para tu caso práctico, te recomendamos que sigas estas prácticas recomendadas al redactar tu petición.

Describe claramente tu caso práctico. Evita usar un lenguaje ambiguo en tus peticiones. Sé lo más claro posible sobre las acciones que quieres que realice la entidad principal en los servicios y tipos de recursos.

Qué debes hacer	Qué no debes hacer	Detalles
"¿Qué rol se necesita para ejecutar consultas de SQL en una tabla de BigQuery y leer los datos de ella?"	"¿Qué rol se necesita para ejecutar instrucciones SQL?"	SQL es un lenguaje genérico que se usa en varios servicios de Trusted Cloud . Si no especificas el servicio o las acciones, Gemini no podrá sugerirte un rol preciso.
"Necesito roles para iniciar, detener y reiniciar instancias de máquina virtual de Compute Engine".	"Necesito gestionar mis máquinas virtuales".	El término gestionar es demasiado ambiguo. Gestionar puede significar crear, eliminar, actualizar o ver máquinas virtuales. Si se indican claramente las acciones específicas que se deben realizar (iniciar, detener o reiniciar) y el tipo de recurso exacto (instancias de máquina virtual de Compute Engine), se obtendrán sugerencias más precisas.
"Necesito subir y descargar objetos de un segmento de Cloud Storage llamado `example-bucket`".	"Dame acceso al almacenamiento".	El término Almacenamiento por sí solo podría hacer referencia a varios servicios, como Cloud Storage, Filestore o Persistent Disk. Además, no se ha especificado ninguna acción. Si no se especifica el servicio (Cloud Storage), el nombre del tipo de recurso (`example-bucket`) o las acciones (subir y descargar objetos), Gemini no tendrá suficiente información para sugerir los roles adecuados.

Usa los nombres oficiales. Usa los nombres oficiales de los Trusted Cloud by S3NS servicios, tipos de recursos y operaciones de la API en tu petición. Si no tiene claro cuáles son los nombres oficiales de los servicios, los tipos de recursos o las operaciones de la API, le recomendamos que consulte la documentación oficial del producto.

Qué debes hacer	Qué no debes hacer	Detalles
"¿Qué rol necesito para actualizar conjuntos de datos de BigQuery?"	"¿Qué rol necesito para actualizar conjuntos de datos de BigQuery?	BigQuery es el nombre oficial del producto, no Big query.
"¿Qué rol se necesita para crear un segmento de Cloud Storage en mi proyecto?"	"¿Qué rol se necesita para crear un segmento de Storage en mi proyecto?"	Segmento de almacenamiento puede hacer referencia a diferentes tipos de recursos de servicios como Cloud Storage, Filestore o Persistent Disk. Si especifica el nombre del producto y el tipo de recurso asociado, obtendrá sugerencias más precisas.

Solución de problemas

En esta sección se describen soluciones para problemas habituales con el selector de roles de IAM.

Gemini sugiere roles que no puedes conceder a nivel de proyecto

Gemini puede sugerir roles en todos los niveles de recursos. Sin embargo, solo puedes usar el selector de roles de gestión de identidades y accesos para conceder los roles a nivel de proyecto que se sugieran. Cuando Gemini sugiere roles a nivel de organización, carpeta o recurso, el selector de roles de gestión de identidades y accesos indica que hay roles sugeridos que no se pueden conceder y el botón Añadir roles estará inhabilitado.

Cuando esto ocurre, puedes copiar los roles sugeridos y concedérselos al principal en el nivel adecuado mediante el proceso habitual en laTrusted Cloud consola. Para obtener más información sobre cómo conceder roles, consulta el artículo Administra el acceso a proyectos, carpetas y organizaciones.

Si no tienes los permisos para conceder los roles a nivel de organización, carpeta o recurso, ponte en contacto con tu administrador.

Precios

El selector de roles de IAM se ofrece sin coste económico como parte de Gemini Cloud Assist. Para obtener más información sobre los precios de Gemini Cloud Assist, consulta la página de precios de Gemini para Trusted Cloud by S3NS.

Siguientes pasos

Consulta la descripción general de Gemini para Trusted Cloud.
Consulta cómo usa Gemini para Trusted Cloud tus datos.
Consulta cómo encontrar manualmente los roles predefinidos adecuados.