Halaman ini menjelaskan cara Anda dapat menemukan dan memberikan peran bawaan Identity and Access Management (IAM) dengan izin terendah kepada akun utama Anda dengan bantuan Gemini.
Pemilih peran IAM memungkinkan Anda bertanya kepada Gemini peran mana yang harus Anda berikan kepada akun utama Anda. Biasanya, untuk menemukan peran bawaan yang tepat untuk diberikan, Anda perlu menelusuri indeks peran dan izin IAM atau halaman Peran di Trusted Cloud konsol. Dengan pemilih peran IAM, Anda dapat menjelaskan tindakan yang ingin Anda izinkan untuk dilakukan oleh akun utama dan resource yang perlu mereka akses untuk melakukan tindakan tersebut. Berdasarkan input Anda, Gemini menyarankan peran bawaan yang paling tidak permisif yang dianggap sesuai.
Gemini dapat menyarankan peran bawaan untuk setiap akun utama. Jika Gemini menyarankan pemberian peran di level project, Anda dapat menggunakan pemilih peran IAM untuk memberikan peran tersebut.
Gemini tidak dapat menyarankan pemberian akses ke hal berikut:
- Peran khusus
- Peran untuk beberapa akun utama
Pelajari cara dan waktu Gemini untuk Trusted Cloud menggunakan data Anda.
Sebelum memulai
Untuk mengaktifkan pemilih peran IAM di project Anda, aktifkan Gemini for Google Cloud API di konsol Trusted Cloud .
Jika Anda tidak mengaktifkan API, tombol Help me choose roles untuk mengakses pemilih peran IAM di konsol Trusted Cloud akan dinonaktifkan.
Peran yang Diperlukan
Untuk mendapatkan izin yang diperlukan untuk menggunakan pemilih peran IAM, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:
-
Minta saran peran dari Gemini:
Pengguna Gemini untuk Google Cloud (
roles/cloudaicompanion.user) -
Memberikan peran yang disarankan:
Admin IAM Project (
roles/resourcemanager.projectIamAdmin)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Mendapatkan saran peran dengan bantuan Gemini
Untuk mendapatkan saran peran dari Gemini, Anda dapat mengakses pemilih peran IAM di halaman di konsol yang memungkinkan Anda memberikan akses di tingkat project. Trusted Cloud Misalnya, pemilih peran IAM tersedia di halaman berikut:
- Halaman IAM
- Halaman Akun Layanan
- Halaman Dasbor konsol Trusted Cloud
Prosedur berikut menggunakan halaman IAM sebagai titik entri utama.
Di konsol Trusted Cloud , buka halaman IAM.
Pilih project.
Pilih akun utama untuk mendapatkan saran peran:
Untuk mendapatkan saran peran bagi akun utama yang sudah memiliki peran lain pada resource, temukan baris yang berisi akun utama, lalu klik Edit akun utama di baris tersebut.
Untuk memberikan peran kepada agen layanan, pilih kotak centang Sertakan pemberian peran yang disediakan S3NS untuk melihat alamat emailnya.
Untuk mendapatkan saran peran bagi akun utama yang tidak memiliki peran yang ada di resource, klik Berikan Akses, lalu masukkan ID akun utama—misalnya,
//iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.comatau//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Untuk membuka dialog pemilih peran IAM, klik Bantu saya memilih peran.
Dengan kata-kata Anda sendiri, jelaskan tindakan yang ingin Anda lakukan untuk akun utama dan resource dalam project yang perlu mereka lakukan.
Klik Sarankan peran. Berdasarkan input Anda, Gemini menyarankan peran bawaan yang paling tidak permisif yang dianggapnya sesuai.
Untuk mendapatkan informasi selengkapnya tentang peran dan alasan Gemini menyarankannya, klik Tampilkan alasan. Sebaiknya gunakan juga referensi peran dan izin untuk memvalidasi peran yang disarankan Gemini sebelum memberikan peran tersebut kepada prinsipal.
Opsional: Jika Gemini tidak menyarankan peran yang tepat, Anda dapat memperbaiki perintah Anda.
- Untuk mengubah perintah Anda, klik Edit.
- Edit deskripsi, lalu klik Perbarui. Gemini memperbarui saran perannya berdasarkan deskripsi baru.
Untuk menerima saran, klik Tambahkan peran.
Opsional: Tambahkan kondisi ke peran.
Klik Simpan. Akun utama diberi peran pada resource.
Anda dapat memberikan peran tingkat project yang disarankan oleh Gemini langsung dari pemilih peran IAM. Untuk saran peran tingkat organisasi, folder, atau resource, catat peran yang disarankan dan berikan peran tersebut kepada prinsipal di tingkat yang sesuai menggunakan proses umum di konsol Trusted Cloud . Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Jika Anda tidak memiliki izin untuk memberikan peran di tingkat organisasi, folder, atau resource, hubungi administrator Anda.
Kasus penggunaan sampel
Tabel berikut mengilustrasikan beberapa contoh kasus penggunaan saat Gemini dapat membantu Anda mengidentifikasi peran dengan izin paling sedikit untuk pokok Anda.
| Kasus penggunaan | Contoh perintah |
|---|---|
| Mengidentifikasi peran dengan izin paling rendah yang diperlukan untuk melakukan tugas tertentu |
|
| Mengidentifikasi peran dengan izin paling rendah yang diperlukan untuk menjalankan perintah Google Cloud CLI |
|
| Mengidentifikasi peran untuk tugas yang mencakup dependensi transitif | "Saya perlu mengonfigurasi instance Compute Engine agar diskalakan secara otomatis berdasarkan penggunaan CPU. Peran IAM mana yang harus diberikan ke akun layanan yang digunakan oleh penskala otomatis instance?" |
| Mengidentifikasi peran untuk tugas yang mungkin memerlukan kombinasi beberapa peran terperinci | "Memberikan akses pengguna hanya ke set data tertentu. Kita tidak ingin membagikan akses ke semua set data, dan kita hanya mengizinkan pengguna mengakses set data tertentu dalam BigQuery. Mereka tidak boleh dapat membuat set data baru atau menghapusnya" |
Praktik terbaik
Untuk membantu Gemini memberikan saran yang paling akurat untuk kasus penggunaan Anda, sebaiknya ikuti praktik terbaik berikut saat menyusun perintah Anda.
Jelaskan kasus penggunaan Anda dengan jelas. Hindari penggunaan bahasa yang tidak jelas dalam perintah Anda. Jelaskan sejelas mungkin tindakan yang ingin Anda izinkan untuk dilakukan oleh akun utama pada layanan dan jenis resource tertentu.
Lakukan Jangan Detail "What role is required to execute SQL queries on a BigQuery table and read the data from it?" (Peran apa yang diperlukan untuk menjalankan kueri SQL pada tabel BigQuery dan membaca data dari tabel tersebut?) "Peran apa yang diperlukan untuk menjalankan pernyataan SQL?" SQL adalah bahasa umum yang digunakan di beberapa layanan Trusted Cloud . Tanpa menentukan layanan atau tindakan, Gemini tidak dapat menyarankan peran yang tepat. "Saya memerlukan peran untuk memulai, menghentikan, dan me-reboot instance virtual machine Compute Engine." "Saya perlu mengelola virtual machine saya". Istilah kelola terlalu tidak jelas. Mengelola dapat berarti membuat, menghapus, memperbarui, atau melihat VM. Mencantumkan dengan jelas tindakan spesifik yang akan dilakukan (mulai, hentikan, mulai ulang) dan jenis resource yang tepat (instance virtual machine Compute Engine) akan menghasilkan saran yang lebih akurat. "Saya perlu mengupload dan mendownload objek dari bucket Cloud Storage bernama example-bucket.""Beri saya akses ke penyimpanan." Istilah Storage saja dapat merujuk ke berbagai layanan seperti Cloud Storage, Filestore, atau Persistent Disk. Selain itu, tidak ada tindakan yang ditentukan. Tanpa menentukan layanan (Cloud Storage), nama jenis resource ( example-bucket), atau tindakan (mengupload dan mendownload objek), Gemini tidak memiliki cukup informasi untuk menyarankan peran yang tepat.Gunakan nama resmi. Gunakan nama resmi layanan, jenis resource, dan operasi API dalam perintah Anda. Trusted Cloud by S3NS Jika Anda tidak yakin dengan nama resmi layanan, jenis resource, atau operasi API, sebaiknya lihat dokumentasi produk resmi.
Lakukan Jangan Detail "What role do I need to update BigQuery datasets?" (Peran apa yang saya perlukan untuk memperbarui set data BigQuery?) "Peran apa yang saya butuhkan untuk memperbarui set data BigQuery? BigQuery adalah nama resmi produk—bukan Big query. "Peran apa yang diperlukan untuk membuat bucket Cloud Storage di project saya?" "Peran apa yang diperlukan untuk membuat bucket Storage di project saya?" Bucket penyimpanan dapat merujuk ke berbagai jenis resource dari layanan seperti Cloud Storage, Filestore, atau Persistent Disk. Menentukan nama produk dan jenis resource terkait akan memberikan saran yang lebih akurat.
Pemecahan masalah
Bagian ini menjelaskan resolusi untuk masalah umum pada pemilih peran IAM.
Gemini menyarankan peran yang tidak dapat Anda berikan di level project
Gemini dapat menyarankan peran di semua level resource; namun, Anda hanya dapat menggunakan pemilih peran IAM untuk memberikan peran level project yang disarankan. Saat Gemini menyarankan peran tingkat organisasi, folder, atau resource, pemilih peran IAM menunjukkan bahwa ada peran yang disarankan yang tidak dapat diberikan dan tombol Tambahkan peran akan dinonaktifkan.
Jika hal ini terjadi, Anda dapat menyalin peran yang disarankan dan memberikannya kepada akun utama di tingkat yang sesuai menggunakan proses umum diTrusted Cloud konsol. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Jika Anda tidak memiliki izin untuk memberikan peran di tingkat organisasi, folder, atau resource, hubungi administrator Anda.
Harga
Pemilih peran IAM ditawarkan tanpa biaya sebagai bagian dari Gemini Cloud Assist. Untuk mengetahui informasi selengkapnya tentang harga Gemini Cloud Assist, lihat Harga Gemini untuk Trusted Cloud by S3NS.
Langkah berikutnya
- Baca Ringkasan Gemini untuk Trusted Cloud Google Cloud.
- Pelajari cara Gemini untuk Trusted Cloud menggunakan data Anda.
- Pelajari cara menemukan peran bawaan yang tepat secara manual