Es posible que parte de la información de esta página (o toda) no se aplique a Trusted Cloud de S3NS.

Se usó la API de Cloud Translation para traducir esta página.

Obtén sugerencias de roles predefinidos con la asistencia de Gemini

En esta página, se describe cómo puedes encontrar y otorgar los roles predefinidos de Identity and Access Management (IAM) con menos permisos a tus principales con la asistencia de Gemini.

El selector de roles de IAM te permite preguntarle a Gemini qué roles debes otorgar a tus principales. Por lo general, para encontrar los roles predefinidos adecuados que se deben otorgar, deberás buscar en el índice de roles y permisos de IAM o en la página Roles de laTrusted Cloud consola. Con el selector de roles de IAM, puedes describir las acciones que quieres que realice la principal y los recursos en los que debe realizarlas. Según tu entrada, Gemini sugiere los roles predefinidos menos permisivos que considera adecuados.

Gemini puede sugerir roles predefinidos para principales individuales. Si Gemini sugiere otorgar un rol a nivel del proyecto, puedes usar el selector de roles de IAM para otorgar ese rol.

Gemini no puede sugerir que se otorguen los siguientes elementos:

Funciones personalizadas
Roles para varias entidades principales

Descubre cómo y cuándo Gemini para Trusted Cloud usa tus datos.

Antes de comenzar

Para habilitar el selector de roles de IAM en tu proyecto, habilita la API de Gemini para Google Cloud en la Trusted Cloud consola.

Habilitar la API

Si no habilitas la API, se inhabilitará el botón Ayúdame a elegir roles para acceder al selector de roles de IAM en la consola de Trusted Cloud .

Funciones requeridas

Para obtener los permisos que necesitas para usar el selector de roles de IAM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

Pídele a Gemini sugerencias de roles: Usuario de Gemini para Google Cloud (roles/cloudaicompanion.user)
Otorga los roles sugeridos: Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Obtén sugerencias de roles con la asistencia de Gemini

Para obtener sugerencias de roles de Gemini, puedes acceder al selector de roles de IAM en las páginas de la consola de Trusted Cloud que te permiten otorgar acceso a nivel del proyecto. Por ejemplo, el selector de roles de IAM está disponible en las siguientes páginas:

La página IAM
La página Cuentas de servicio
La página Panel de la consola de Trusted Cloud

En el siguiente procedimiento, se usa la página IAM como punto de entrada principal.

En la consola de Trusted Cloud , ve a la página IAM.

Ir a IAM
Selecciona un proyecto.
Selecciona una principal para obtener sugerencias de roles:
- Para obtener sugerencias de roles para una principal que ya tiene otros roles en el recurso, busca una fila que contenga la principal y, luego, haz clic en Editar principal en esa fila.
  
  Para otorgar un rol a un agente de servicio, selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas porS3NS para ver su dirección de correo electrónico.
  
  Nota: No puedes editar las funciones heredadas cuando administras el acceso a un recurso. Para editar las funciones heredadas, ve al recurso en el que se otorgó la función.
- Para obtener sugerencias de roles para una principal que no tenga roles existentes en el recurso, haz clic en Otorgar acceso y, luego, ingresa un identificador de principal, por ejemplo, //iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com o //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Para abrir el diálogo del selector de roles de IAM, haz clic en Ayúdame a elegir roles.
Con tus propias palabras, describe la acción que quieres que realice el principal y el recurso del proyecto en el que debe realizarla.
Haz clic en Sugerir roles. Según tu entrada, Gemini sugiere los roles predefinidos menos permisivos que considera adecuados.

Para obtener más información sobre los roles y por qué Gemini los sugirió, haz clic en Mostrar explicación. También te recomendamos que uses la referencia de roles y permisos para validar los roles sugeridos de Gemini antes de otorgarlos a la principal.
Opcional: Si Gemini no sugiere los roles adecuados, puedes refinar tu instrucción.
1. Para modificar la instrucción, haz clic en Editar.
2. Edita la descripción y, luego, haz clic en Actualizar. Gemini actualiza sus sugerencias de roles según la nueva descripción.
Para aceptar las sugerencias, haz clic en Agregar roles.
Opcional: Agrega una condición a la función.
Haz clic en Guardar. A la principal se le otorga la función en el recurso.

Puedes otorgar funciones a nivel del proyecto sugeridas por Gemini directamente desde el selector de roles de IAM. Para obtener sugerencias de roles a nivel de la organización, la carpeta o el recurso, anota los roles sugeridos y otórgale al principal los roles al nivel adecuado con el proceso habitual en la consola de Trusted Cloud . Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Si no tienes los permisos para otorgar los roles a nivel de la organización, la carpeta o el recurso, comunícate con tu administrador.

Ejemplos de casos de uso

En la siguiente tabla, se ilustran algunos casos de uso de ejemplo en los que Gemini puede ayudarte a identificar los roles menos permisivos para tus principales.

Caso de uso	Ejemplos de solicitudes
Identificar los roles menos permisivos necesarios para realizar una tarea específica	"¿Qué rol se requiere para crear, iniciar y detener VMs?" "¿Cuáles son los roles de IAM con privilegios mínimos necesarios para crear políticas de IAM?" "Necesito permitir que un usuario cree y administre conjuntos de datos y tablas de BigQuery. ¿Qué rol debo asignar?" "Necesito otorgar acceso a una cuenta de servicio para invocar Cloud Run Functions. ¿Cuál es el rol mínimo requerido?" "¿Qué rol permite que una cuenta de servicio lea datos de Cloud Storage, pero no escriba ni borre objetos?"
Identifica los roles con menos permisos necesarios para ejecutar comandos de Google Cloud CLI	"¿Qué rol de IAM se requiere para ejecutar el siguiente comando: `gcloud compute instances create instance-1 --zone=us-central1-a`?" "Me gustaría identificar los roles necesarios para que una cuenta de servicio ejecute el siguiente comando: `gcloud datastore instances describe`".
Cómo identificar los roles para una tarea que incluye dependencias transitivas	"Necesito configurar una instancia de Compute Engine para que se ajuste automáticamente según el uso de CPU. ¿Qué roles de IAM se deben otorgar a la cuenta de servicio que usa el escalador automático de instancias?"
Identificar roles para una tarea que podría requerir una combinación de varios roles detallados	"Proporcionar a los usuarios acceso solo a un conjunto de datos en particular No queremos compartir el acceso a todos los conjuntos de datos, y solo permitimos que los usuarios accedan a un conjunto de datos en particular dentro de BigQuery. No deberían poder crear conjuntos de datos nuevos ni borrar los existentes".

Prácticas recomendadas

Para ayudar a Gemini a proporcionar las sugerencias más precisas para tu caso de uso, te recomendamos que sigas las siguientes prácticas recomendadas cuando redactes tu instrucción.

Describe claramente tu caso de uso. Evita usar lenguaje impreciso en tus instrucciones. Sé lo más claro posible sobre qué acciones quieres que realice la principal en qué servicios y tipos de recursos.

Sugerencia	Qué no debes hacer	Detalles
"¿Qué rol se requiere para ejecutar consultas en SQL en una tabla de BigQuery y leer sus datos?"	"¿Qué rol se requiere para ejecutar instrucciones SQL?"	SQL es un lenguaje genérico que se usa en varios servicios de Trusted Cloud . Sin especificar el servicio o las acciones, Gemini no puede sugerir un rol preciso.
"Necesito roles para iniciar, detener y reiniciar instancias de máquina virtual de Compute Engine".	"Necesito administrar mis máquinas virtuales".	El término administrar es demasiado vago. Administrar puede significar crear, borrar, actualizar o ver VMs. Si se enumeran claramente las acciones específicas que se deben realizar (iniciar, detener, reiniciar) y el tipo de recurso exacto (instancias de máquina virtual de Compute Engine), se obtienen sugerencias más precisas.
"Necesito subir y descargar objetos de un bucket de Cloud Storage llamado `example-bucket`".	"Dame acceso al almacenamiento".	El término Almacenamiento por sí solo podría hacer referencia a varios servicios, como Cloud Storage, Filestore o Persistent Disk. Además, no se especifican acciones. Si no especificas el servicio (Cloud Storage), el nombre del tipo de recurso (`example-bucket`) o las acciones (subir y descargar objetos), Gemini no tendrá suficiente información para sugerir los roles adecuados.

Usa nombres oficiales. Usa los nombres oficiales de los Trusted Cloud by S3NS servicios, los tipos de recursos y las operaciones de la API en tu instrucción. Si no tienes certeza sobre los nombres oficiales de los servicios, los tipos de recursos o las operaciones de la API, te recomendamos que consultes la documentación oficial del producto.

Sugerencia	Qué no debes hacer	Detalles
"¿Qué rol necesito para actualizar los conjuntos de datos de BigQuery?"	"¿Qué rol necesito para actualizar los conjuntos de datos de BigQuery?	El nombre oficial del producto es BigQuery, no Big query.
"¿Qué rol se requiere para crear un bucket de Cloud Storage en mi proyecto?"	"¿Qué rol se requiere para crear un bucket de Storage en mi proyecto?"	Bucket de almacenamiento podría hacer referencia a diferentes tipos de recursos de servicios como Cloud Storage, Filestore o Persistent Disk. Si especificas el nombre del producto y el tipo de recurso asociado, obtendrás sugerencias más precisas.

Soluciona problemas

En esta sección, se describen las resoluciones para problemas comunes con el selector de roles de IAM.

Gemini sugiere roles que no puedes otorgar a nivel del proyecto

Gemini puede sugerir roles en todos los niveles de recursos. Sin embargo, solo puedes usar el selector de roles de IAM para otorgar los roles a nivel del proyecto que se sugieren. Cuando Gemini sugiere roles a nivel de la organización, la carpeta o el recurso, el selector de roles de IAM indica que hay roles sugeridos que no se pueden otorgar y el botón Agregar roles estará inhabilitado.

Cuando esto sucede, puedes copiar los roles sugeridos y otorgarlos a la principal en el nivel adecuado con el proceso habitual en la consola deTrusted Cloud . Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Si no tienes los permisos para otorgar los roles a nivel de la organización, la carpeta o el recurso, comunícate con tu administrador.

Precios

El selector de roles de IAM se ofrece sin costo como parte de Gemini Cloud Assist. Para obtener más información sobre los precios de Gemini Cloud Assist, consulta los precios de Gemini para Trusted Cloud by S3NS.

¿Qué sigue?

Lee la descripción general de Gemini para Trusted Cloud.
Descubre cómo Gemini para Trusted Cloud usa tus datos.
Aprende a encontrar manualmente los roles predefinidos adecuados