Questa pagina descrive come trovare e concedere i ruoli predefiniti di Identity and Access Management (IAM) meno permissivi alle tue entità con l'assistenza di Gemini.
Il selettore di ruoli IAM ti consente di chiedere a Gemini quali ruoli devi concedere alle tue entità. In genere, per trovare i ruoli predefiniti giusti da concedere, devi cercare nell'indice dei ruoli e delle autorizzazioni IAM o nella pagina Ruoli della consoleTrusted Cloud . Con il selettore di ruoli IAM, puoi descrivere le azioni che vuoi che l'entità esegua e le risorse su cui deve eseguirle. In base al tuo input, Gemini suggerisce i ruoli predefiniti meno permissivi che ritiene appropriati.
Gemini può suggerire ruoli predefiniti per le singole entità. Se Gemini suggerisce di concedere un ruolo a livello di progetto, puoi utilizzare il selettore dei ruoli IAM per concedere quel ruolo.
Gemini non può suggerire di concedere le seguenti autorizzazioni:
- Ruoli personalizzati
- Ruoli per più entità
Scopri come e quando Gemini per Trusted Cloud utilizza i tuoi dati.
Prima di iniziare
Per attivare il selettore dei ruoli IAM nel tuo progetto, abilita l'API Gemini for Google Cloud nella console Trusted Cloud .
Se non abiliti l'API, il pulsante Aiutami a scegliere i ruoli per accedere al selettore di ruoli IAM nella console Trusted Cloud verrà disattivato.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per utilizzare il selettore dei ruoli IAM, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:
-
Chiedi a Gemini suggerimenti sui ruoli:
Gemini for Google Cloud User (
roles/cloudaicompanion.user) -
Concedi i ruoli suggeriti:
Project IAM Admin (
roles/resourcemanager.projectIamAdmin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Ricevere suggerimenti sui ruoli con l'assistenza di Gemini
Per ricevere suggerimenti sui ruoli da Gemini, puoi accedere al selettore di ruoli IAM nelle pagine della console Trusted Cloud che ti consentono di concedere l'accesso a livello di progetto. Ad esempio, il selettore ruoli IAM è disponibile nelle seguenti pagine:
- La pagina IAM
- La pagina Service account
- Pagina Dashboard della console Trusted Cloud
La seguente procedura utilizza la pagina IAM come punto di accesso principale.
Nella console Trusted Cloud , vai alla pagina IAM.
Seleziona un progetto.
Seleziona un'entità per ricevere suggerimenti sui ruoli per:
Per ricevere suggerimenti sui ruoli per un'entità che ha già altri ruoli nella risorsa, trova una riga contenente l'entità e fai clic su Modifica entità in quella riga.
Per concedere un ruolo a un agente di servizio, seleziona la casella di controllo Includi concessioni di ruoli fornite da S3NS per visualizzarne l'indirizzo email.
Per ricevere suggerimenti sui ruoli per un'entità che non ha ruoli esistenti nella risorsa, fai clic su Concedi accesso, quindi inserisci un identificatore dell'entità, ad esempio
//iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.como//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Per aprire la finestra di dialogo del selettore di ruoli IAM, fai clic su Aiutami a scegliere i ruoli.
Descrivi con parole tue l'azione che vuoi che l'entità esegua e la risorsa nel progetto su cui deve eseguirla.
Fai clic su Suggerisci ruoli. In base al tuo input, Gemini suggerisce i ruoli predefiniti meno permissivi che ritiene appropriati.
Per saperne di più sui ruoli e sul motivo per cui Gemini li ha suggeriti, fai clic su Mostra ragionamento. Ti consigliamo inoltre di utilizzare il riferimento a ruoli e autorizzazioni per convalidare i ruoli suggeriti da Gemini prima di concederli all'entità.
(Facoltativo) Se Gemini non suggerisce i ruoli giusti, puoi perfezionare il prompt.
- Per modificare il prompt, fai clic su Modifica.
- Modifica la descrizione e fai clic su Aggiorna. Gemini aggiorna i suggerimenti sui ruoli in base alla nuova descrizione.
Per accettare i suggerimenti, fai clic su Aggiungi ruoli.
(Facoltativo) Aggiungi una condizione al ruolo.
Fai clic su Salva. All'entità viene concesso il ruolo sulla risorsa.
Puoi concedere i ruoli a livello di progetto suggeriti da Gemini direttamente dal selettore dei ruoli IAM. Per i suggerimenti sui ruoli a livello di organizzazione, cartella o risorsa, prendi nota dei ruoli suggeriti e concedili all'entità a livello appropriato utilizzando la procedura tipica nella console Trusted Cloud . Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Se non disponi delle autorizzazioni per concedere i ruoli a livello di organizzazione, cartella o risorsa, contatta l'amministratore.
Esempi di casi d'uso
La tabella seguente illustra alcuni casi d'uso di esempio in cui Gemini può aiutarti a identificare i ruoli meno permissivi per i tuoi principali.
| Caso d'uso | Esempi di prompt |
|---|---|
| Identificare i ruoli con privilegi minimi necessari per eseguire un'attività specifica |
|
| Identificare i ruoli meno permissivi necessari per eseguire i comandi Google Cloud CLI |
|
| Identificazione dei ruoli per un'attività che include dipendenze transitive | "Devo configurare un'istanza Compute Engine per la scalabilità automatica in base all'utilizzo della CPU. Quali ruoli IAM devono essere concessi al account di servizio utilizzato dallo strumento di scalabilità automatica dell'istanza?" |
| Identificare i ruoli per un'attività che potrebbe richiedere una combinazione di più ruoli granulari | "Consenti agli utenti di accedere solo a un determinato set di dati. Non vogliamo condividere l'accesso a tutti i set di dati e consentiamo agli utenti di accedere solo a un particolare set di dati in BigQuery. Non dovrebbero essere in grado di creare nuovi set di dati o eliminarli" |
Best practice
Per aiutare Gemini a fornire i suggerimenti più accurati per il tuo caso d'uso, ti consigliamo di rispettare le seguenti best practice quando crei il prompt.
Descrivi chiaramente il tuo caso d'uso. Evita di utilizzare un linguaggio vago nei prompt. Sii il più chiaro possibile sulle azioni che vuoi che l'entità esegua su quali servizi e tipi di risorse.
Azione Cosa non fare Dettagli "Quale ruolo è necessario per eseguire query SQL su una tabella BigQuery e leggere i dati?" "Quale ruolo è necessario per eseguire le istruzioni SQL?" SQL è un linguaggio generico utilizzato in più servizi Trusted Cloud . Senza specificare il servizio o le azioni, Gemini non può suggerire un ruolo preciso. "Ho bisogno di ruoli per avviare, arrestare e riavviare le istanze di macchine virtuali Compute Engine." "Devo gestire le mie macchine virtuali." Il termine gestire è troppo vago. Gestire potrebbe significare creare, eliminare, aggiornare o visualizzare le VM. L'elenco chiaro delle azioni specifiche da eseguire (avvio, arresto, riavvio) e del tipo di risorsa esatto (istanze di macchine virtuali Compute Engine) produce suggerimenti più accurati. "Devo caricare e scaricare oggetti da un bucket Cloud Storage denominato example-bucket.""Dammi l'accesso allo spazio di archiviazione." Il termine Storage da solo potrebbe fare riferimento a vari servizi come Cloud Storage, Filestore o Persistent Disk. Inoltre, non sono specificate azioni. Senza specificare il servizio (Cloud Storage), il nome del tipo di risorsa ( example-bucket) o le azioni (caricamento e download di oggetti), Gemini non dispone di informazioni sufficienti per suggerire i ruoli giusti.Utilizza i nomi ufficiali. Utilizza i nomi ufficiali di Trusted Cloud by S3NS servizi, tipi di risorse e operazioni API nel prompt. Se non hai la certezza dei nomi ufficiali di servizi, tipi di risorse o operazioni API, ti consigliamo di consultare la documentazione ufficiale del prodotto.
Azione Cosa non fare Dettagli "Quale ruolo devo avere per aggiornare i set di dati BigQuery?" "Quale ruolo mi serve per aggiornare i set di dati BigQuery? BigQuery è il nome ufficiale del prodotto, non Big query. "Quale ruolo è necessario per creare un bucket Cloud Storage nel mio progetto?" "Quale ruolo è necessario per creare un bucket Storage nel mio progetto?" Bucket di archiviazione potrebbe fare riferimento a diversi tipi di risorse di servizi come Cloud Storage, Filestore o Persistent Disk. Specificare il nome del prodotto e il tipo di risorsa associato consente di ottenere suggerimenti più accurati.
Risoluzione dei problemi
Questa sezione descrive le soluzioni per i problemi comuni relativi al selettore di ruoli IAM.
Gemini suggerisce ruoli che non puoi concedere a livello di progetto
Gemini può suggerire ruoli a tutti i livelli di risorse; tuttavia, puoi utilizzare il selettore di ruoli IAM solo per concedere i ruoli a livello di progetto suggeriti. Quando Gemini suggerisce ruoli a livello di organizzazione, cartella o risorsa, il selettore dei ruoli IAM indica che sono presenti ruoli suggeriti che non possono essere concessi e il pulsante Aggiungi ruoli sarà disattivato.
In questo caso, puoi copiare i ruoli suggeriti e concederli all'entità al livello appropriato utilizzando la procedura tipica nella consoleTrusted Cloud . Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Se non disponi delle autorizzazioni per concedere i ruoli a livello di organizzazione, cartella o risorsa, contatta l'amministratore.
Prezzi
Il selettore dei ruoli IAM è offerto senza costi aggiuntivi nell'ambito di Gemini Cloud Assist. Per maggiori informazioni sui prezzi di Gemini Cloud Assist, consulta la pagina Prezzi di Gemini per Trusted Cloud by S3NS.
Passaggi successivi
- Leggi la panoramica di Gemini per Trusted Cloud.
- Scopri in che modo Gemini per Trusted Cloud utilizza i tuoi dati.
- Scopri come trovare manualmente i ruoli predefiniti giusti