Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS.

Cette page a été traduite par l'API Cloud Translation.

Obtenir des suggestions de rôles prédéfinis avec l'aide de Gemini

Cette page explique comment trouver et attribuer les rôles prédéfinis Identity and Access Management (IAM) les moins permissifs à vos comptes principaux avec l'aide de Gemini.

Le sélecteur de rôle IAM vous permet de demander à Gemini quels rôles attribuer à vos comptes principaux. En règle générale, pour trouver les rôles prédéfinis appropriés à accorder, vous devez parcourir l'index des rôles et autorisations IAM ou la page Rôles de laTrusted Cloud console. Le sélecteur de rôles IAM vous permet de décrire les actions que vous souhaitez que le compte principal effectue et les ressources sur lesquelles il doit les effectuer. En fonction de vos saisies, Gemini suggère les rôles prédéfinis les moins permissifs qu'il juge appropriés.

Gemini peut suggérer des rôles prédéfinis pour des comptes principaux individuels. Si Gemini suggère d'attribuer un rôle au niveau du projet, vous pouvez utiliser le sélecteur de rôle IAM pour attribuer ce rôle.

Gemini ne peut pas suggérer d'accorder les éléments suivants :

Rôles personnalisés
Rôles pour plusieurs comptes principaux

Découvrez comment et quand Gemini pour Trusted Cloud utilise vos données.

Avant de commencer

Pour activer le sélecteur de rôle IAM dans votre projet, activez l'API Gemini pour Google Cloud dans la console Trusted Cloud .

Activer l'API

Si vous n'activez pas l'API, le bouton M'aider à choisir des rôles permettant d'accéder au sélecteur de rôles IAM dans la console Trusted Cloud sera désactivé.

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser le sélecteur de rôle IAM, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

Demandez à Gemini de vous suggérer des rôles : Utilisateur Gemini pour Google Cloud (roles/cloudaicompanion.user)
Attribuer les rôles suggérés : Administrateur de projet IAM (roles/resourcemanager.projectIamAdmin)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Obtenir des suggestions de rôles avec l'aide de Gemini

Pour obtenir des suggestions de rôles de Gemini, vous pouvez accéder au sélecteur de rôles IAM sur les pages de la console Trusted Cloud qui vous permettent d'accorder l'accès au niveau du projet. Par exemple, le sélecteur de rôle IAM est disponible sur les pages suivantes :

Page IAM
Page Comptes de service
Page Tableau de bord de la console Trusted Cloud

La procédure suivante utilise la page IAM comme point d'entrée principal.

Dans la console Trusted Cloud , accédez à la page IAM.

Accéder à IAM
Sélectionnez un projet.
Sélectionnez un compte principal pour lequel obtenir des suggestions de rôle :
- Pour obtenir des suggestions de rôles pour un compte principal qui dispose déjà d'autres rôles sur la ressource, recherchez la ligne contenant le compte principal, puis cliquez sur Modifier le compte principal sur cette ligne.
  
  Pour attribuer un rôle à un agent de service, cochez la case Inclure les attributions de rôles fournies parS3NS pour afficher son adresse e-mail.
  
  Remarque : Vous ne pouvez pas modifier les rôles hérités lorsque vous gérez l'accès à une ressource. Pour modifier les rôles hérités, accédez à la ressource où le rôle a été accordé.
- Pour obtenir des suggestions de rôles pour un compte principal qui ne dispose d'aucun rôle sur la ressource, cliquez sur Accorder l'accès, puis saisissez un identifiant de compte principal (par exemple, //iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com ou //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com).
Pour ouvrir la boîte de dialogue du sélecteur de rôle IAM, cliquez sur Aide concernant le choix des rôles.
Décrivez avec vos propres mots l'action que vous souhaitez que le compte principal effectue et la ressource du projet sur laquelle il doit l'effectuer.
Cliquez sur Suggérer des rôles. En fonction de vos saisies, Gemini suggère les rôles prédéfinis les moins permissifs qu'il juge appropriés.

Pour en savoir plus sur les rôles et les raisons pour lesquelles Gemini les a suggérés, cliquez sur Afficher le raisonnement. Nous vous recommandons également d'utiliser la documentation de référence sur les rôles et les autorisations pour valider les rôles suggérés par Gemini avant de les accorder au principal.
Facultatif : Si Gemini ne suggère pas les bons rôles, vous pouvez affiner votre requête.
1. Pour modifier votre requête, cliquez sur Modifier.
2. Modifiez la description, puis cliquez sur Mettre à jour. Gemini met à jour ses suggestions de rôles en fonction de la nouvelle description.
Pour accepter les suggestions, cliquez sur Ajouter des rôles.
Facultatif : ajoutez une condition au rôle.
Cliquez sur Enregistrer. Le rôle est attribué au compte principal sur la ressource.

Vous pouvez attribuer des rôles au niveau du projet suggérés par Gemini directement depuis le sélecteur de rôles IAM. Pour les suggestions de rôles au niveau de l'organisation, du dossier ou de la ressource, notez les rôles suggérés et attribuez-les au compte principal au niveau approprié en suivant la procédure habituelle dans la console Trusted Cloud . Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Si vous ne disposez pas des autorisations nécessaires pour attribuer les rôles au niveau de l'organisation, du dossier ou de la ressource, contactez votre administrateur.

Exemples de cas d'utilisation

Le tableau suivant illustre quelques exemples de cas d'utilisation dans lesquels Gemini peut vous aider à identifier les rôles les moins permissifs pour vos comptes principaux.

Cas d'utilisation	Exemples d'invites
Identifier les rôles les moins permissifs nécessaires pour effectuer une tâche spécifique	"Quel rôle est requis pour créer, démarrer et arrêter des VM ?" "Quels sont les rôles IAM au niveau d'accès le plus faible requis pour créer des règles IAM ?" "J'ai besoin d'autoriser un utilisateur à créer et à gérer des ensembles de données et des tables BigQuery. Quel rôle dois-je attribuer ?" "J'ai besoin d'accorder à un compte de service l'accès à l'appel de fonctions Cloud Run. Quel est le rôle minimal requis ?" "Quel rôle permet à un compte de service de lire des données depuis Cloud Storage, mais pas d'écrire ni de supprimer des objets ?"
Identifier les rôles les moins permissifs nécessaires pour exécuter les commandes Google Cloud CLI	"Quel rôle IAM est requis pour exécuter la commande suivante : `gcloud compute instances create instance-1 --zone=us-central1-a`" "J'aimerais identifier les rôles nécessaires pour qu'un compte de service exécute la commande suivante : `gcloud datastore instances describe`"
Identifier les rôles pour une tâche qui inclut des dépendances transitives	"J'ai besoin de configurer une instance Compute Engine pour qu'elle évolue automatiquement en fonction de l'utilisation du processeur. Quels rôles IAM doivent être accordés au compte de service utilisé par le scaling automatique d'instance ?"
Identifier les rôles pour une tâche qui peut nécessiter une combinaison de plusieurs rôles précis	"N'autorise l'accès des utilisateurs qu'à un ensemble de données spécifique. Nous ne souhaitons pas partager l'accès à tous les ensembles de données. Nous autorisons uniquement les utilisateurs à accéder à un ensemble de données spécifique dans BigQuery. Ils ne devraient pas pouvoir créer d'ensembles de données ni les supprimer."

Bonnes pratiques

Pour aider Gemini à vous fournir les suggestions les plus précises pour votre cas d'utilisation, nous vous recommandons de respecter les bonnes pratiques suivantes lorsque vous rédigez votre requête.

Décrivez clairement votre cas d'utilisation. Évitez d'utiliser un langage vague dans vos requêtes. Soyez aussi clair que possible sur les actions que vous souhaitez que le compte principal effectue sur les services et les types de ressources.

À faire	À éviter	Détails
"Quel rôle est requis pour exécuter des requêtes SQL sur une table BigQuery et lire les données qu'elle contient ?"	"Quel rôle est requis pour exécuter des instructions SQL ?"	SQL est un langage générique utilisé dans plusieurs services Trusted Cloud . Sans spécifier le service ni les actions, Gemini ne peut pas suggérer de rôle précis.
"J'ai besoin de rôles pour démarrer, arrêter et redémarrer des instances de machines virtuelles Compute Engine."	"J'ai besoin de gérer mes machines virtuelles."	Le terme gérer est trop vague. Gérer peut signifier créer, supprimer, mettre à jour ou afficher des VM. En indiquant clairement les actions spécifiques à effectuer (démarrer, arrêter, redémarrer) et le type de ressource exact (instances de machines virtuelles Compute Engine), vous obtiendrez des suggestions plus précises.
"J'ai besoin d'importer et de télécharger des objets à partir d'un bucket Cloud Storage nommé `example-bucket`."	"Donne-moi accès au stockage."	Le terme Stockage seul peut faire référence à différents services tels que Cloud Storage, Filestore ou Persistent Disk. De plus, aucune action n'est spécifiée. Sans spécifier le service (Cloud Storage), le nom du type de ressource (`example-bucket`) ni les actions (importer et télécharger des objets), Gemini ne dispose pas de suffisamment d'informations pour suggérer les bons rôles.

Utilisez les noms officiels. Utilisez les noms officiels des services Trusted Cloud by S3NS , des types de ressources et des opérations d'API dans votre requête. Si vous n'êtes pas sûr des noms officiels des services, des types de ressources ou des opérations d'API, nous vous recommandons de consulter la documentation officielle du produit.

À faire	À éviter	Détails
"Quel rôle dois-je avoir pour modifier des ensembles de données BigQuery ?"	"Quel rôle dois-je avoir pour modifier les ensembles de données BigQuery ?	BigQuery est le nom officiel du produit, et non Big Query.
"Quel rôle est requis pour créer un bucket Cloud Storage dans mon projet ?"	"Quel rôle est requis pour créer un bucket Storage dans mon projet ?"	Le bucket de stockage peut faire référence à différents types de ressources provenant de services tels que Cloud Storage, Filestore ou Persistent Disk. Si vous spécifiez le nom du produit et le type de ressource associé, vous obtiendrez des suggestions plus précises.

Dépannage

Cette section décrit les solutions aux problèmes courants liés au sélecteur de rôle IAM.

Gemini suggère des rôles que vous ne pouvez pas accorder au niveau du projet

Gemini peut suggérer des rôles à tous les niveaux de ressources. Toutefois, vous ne pouvez utiliser le sélecteur de rôle IAM que pour attribuer les rôles au niveau du projet qui sont suggérés. Lorsque Gemini suggère des rôles au niveau de l'organisation, du dossier ou de la ressource, le sélecteur de rôle IAM indique qu'il existe des rôles suggérés qui ne peuvent pas être accordés et le bouton Ajouter des rôles est désactivé.

Dans ce cas, vous pouvez copier les rôles suggérés et les accorder au compte principal au niveau approprié en suivant la procédure habituelle dans la consoleTrusted Cloud . Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Si vous ne disposez pas des autorisations nécessaires pour attribuer les rôles au niveau de l'organisation, du dossier ou de la ressource, contactez votre administrateur.

Tarifs

Le sélecteur de rôles IAM est proposé sans frais dans Gemini Cloud Assist. Pour en savoir plus sur les tarifs de Gemini Cloud Assist, consultez Tarifs de Gemini pour Trusted Cloud by S3NS.

Étapes suivantes

Consultez la présentation de Gemini pour Trusted Cloud.
Découvrez comment Gemini pour Trusted Cloud utilise vos données.
Découvrez comment trouver manuellement les rôles prédéfinis appropriés.