Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ricevere suggerimenti sui ruoli predefiniti con l'assistenza di Gemini

Questa pagina descrive come trovare e concedere ruoli predefiniti di Identity and Access Management (IAM) alle tue entità con l'assistenza di Gemini.

Il selettore dei ruoli IAM ti consente di chiedere a Gemini quali ruoli concedere alle tue entità. In genere, per trovare i ruoli predefiniti giusti da concedere, devi cercare nell'indice dei ruoli e delle autorizzazioni IAM o nella pagina Ruoli dellaCloud de Confiance console. Con il selettore dei ruoli IAM, puoi descrivere le azioni che vuoi che l'entità esegua e le risorse su cui deve eseguirle. In base all'input, Gemini suggerisce i ruoli predefiniti che ritiene appropriati.

Gemini può suggerire ruoli predefiniti per singole entità. Se Gemini suggerisce di concedere un ruolo a livello di progetto, puoi utilizzare il selettore di ruoli IAM per concedere quel ruolo.

Non puoi utilizzare il selettore dei ruoli IAM per ricevere suggerimenti per le seguenti operazioni:

Ruoli personalizzati
Ruoli per più entità (con un unico prompt)
Ruoli per i prodotti Google Workspace come Fogli Google e Documenti Google

Scopri come e quando Gemini per Cloud de Confiance utilizza i tuoi dati.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare il selettore dei ruoli IAM, chiedi all'amministratore di concederti il ruolo IAM Project IAM Admin (roles/resourcemanager.projectIamAdmin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per utilizzare il selettore di ruoli IAM. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per utilizzare il selettore di ruoli IAM sono necessarie le seguenti autorizzazioni:

resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Ricevere suggerimenti sui ruoli con l'assistenza di Gemini

Per ricevere suggerimenti sui ruoli da Gemini, puoi accedere al selettore di ruoli IAM nelle pagine della console Cloud de Confiance che ti consentono di concedere l'accesso a livello di progetto. Ad esempio, il selettore dei ruoli IAM è disponibile nelle seguenti pagine:

La pagina IAM
La pagina Service account
La pagina Dashboard della console Cloud de Confiance

La seguente procedura utilizza la pagina IAM come punto di accesso principale.

Nella console Cloud de Confiance vai alla pagina IAM.

Vai a IAM
Seleziona un progetto.
Seleziona un'entità per cui ricevere suggerimenti sui ruoli:
- Per visualizzare i suggerimenti sui ruoli per un'entità che ha già altri ruoli nella risorsa, individua una riga contenente l'entità e fai clic su Modifica entità in quella riga.
  
  Per concedere un ruolo a un agente di servizio, seleziona la casella di controllo Includi concessioni di ruoli fornite da S3NS per visualizzarne l'indirizzo email.
  
  Nota: non puoi modificare i ruoli ereditati quando gestisci l'accesso a una risorsa. Per modificare i ruoli ereditati, vai alla risorsa in cui è stato concesso il ruolo.
- Per ricevere suggerimenti sui ruoli per un'entità che non ha ruoli esistenti per la risorsa, fai clic su Concedi l'accesso, quindi inserisci un identificatore dell'entità, ad esempio //iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com o //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Per aprire la finestra di dialogo del selettore di ruoli IAM, fai clic su Aiutami a scegliere i ruoli.
Descrivi con parole tue l'azione che vuoi che il principal esegua e la risorsa nel progetto su cui deve eseguirla.
Fai clic su Suggerisci ruoli. In base al tuo input, Gemini suggerisce i ruoli predefiniti che ritiene appropriati.

Per saperne di più sui ruoli e sul motivo per cui Gemini li ha suggeriti, fai clic su Mostra ragionamento. Ti consigliamo inoltre di utilizzare il riferimento a ruoli e autorizzazioni per convalidare i ruoli suggeriti da Gemini prima di concederli all'entità.
(Facoltativo) Se Gemini non suggerisce i ruoli giusti, puoi perfezionare il prompt.
1. Per modificare il prompt, fai clic su Modifica.
2. Modifica la descrizione e poi fai clic su Aggiorna. Gemini aggiorna i suggerimenti per i ruoli in base alla nuova descrizione.
Per accettare i suggerimenti, fai clic su Aggiungi ruoli.
(Facoltativo) Aggiungi una condizione al ruolo.
Fai clic su Salva. All'entità viene concesso il ruolo sulla risorsa.

Puoi concedere i ruoli a livello di progetto suggeriti da Gemini direttamente dal selettore dei ruoli IAM. Per i suggerimenti sui ruoli a livello di organizzazione, cartella o risorsa, prendi nota dei ruoli suggeriti e concedili all'entità a livello appropriato utilizzando la procedura tipica nella console Cloud de Confiance . Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Se non disponi delle autorizzazioni per concedere i ruoli a livello di organizzazione, cartella o risorsa, contatta l'amministratore.

Esempi di casi d'uso

La seguente tabella illustra alcuni casi d'uso di esempio per il selettore di ruoli IAM. Per impostazione predefinita, Gemini suggerisce ruoli progettati per coprire i percorsi utente comuni all'interno di un servizio. Ad esempio, Gemini spesso suggerisce i ruoli Amministratore, Editor o Visualizzatore di un servizio.

Se vuoi che Gemini suggerisca i ruoli più granulari e con meno privilegi, devi specificare questa preferenza nel prompt utilizzando parole chiave specifiche. Per un elenco di parole chiave che puoi utilizzare, consulta Parole chiave per i ruoli con meno privilegi. Tieni presente, tuttavia, che i ruoli con meno privilegi potrebbero non essere sufficienti per le esigenze future di un utente.

Caso d'uso	Esempi di prompt
Identificazione dei ruoli per la gestione generale dei servizi	"Quali autorizzazioni mi servono per gestire la nostra configurazione di AlloyDB per PostgreSQL?" "Quali ruoli mi servono per lavorare con BigQuery?" "Come faccio a concedere a qualcuno l'accesso per eseguire ed eseguire il debug dei servizi Cloud Run?"
Identificare i ruoli necessari per eseguire attività specifiche	"Quale ruolo è necessario per creare, avviare e arrestare le VM?" "Devo consentire a un utente di creare e gestire set di dati e tabelle BigQuery." "Devo concedere a un account di servizio l'accesso per richiamare le funzioni Cloud Run." Prompt che generano suggerimenti per ruoli con privilegi minimi: "Qual è il ruolo minimo richiesto per creare, avviare e arrestare le VM?" "Quali sono i ruoli IAM con privilegi minimi necessari per creare policy IAM?" "Devo concedere a un account di servizio l'accesso per richiamare le funzioni Cloud Run. Qual è l'accesso più limitato richiesto?"
Identificare i ruoli necessari per eseguire i comandi Google Cloud CLI	"Quale ruolo IAM è necessario per eseguire: `gcloud compute instances create instance-1`?" Prompt che genera suggerimenti sui ruoli con privilegi minimi: "Qual è il ruolo più piccolo di cui un account di servizio ha bisogno per eseguire: `gcloud datastore instances describe`?"
Identificazione dei ruoli per un'attività che include dipendenze transitive	"Devo configurare un'istanza di Compute Engine per la scalabilità automatica in base all'utilizzo della CPU. Quali ruoli IAM devo concedere al account di servizio?" Prompt che genera suggerimenti sui ruoli con privilegi minimi: "Devo configurare un'istanza di Compute Engine per la scalabilità automatica in base all'utilizzo della CPU. Quali sono le autorizzazioni minime che devo concedere a un account di servizio utilizzato da uno strumento di scalabilità automatica delle istanze di Compute Engine?"
Identificare i ruoli per un'attività che potrebbe richiedere una combinazione di più ruoli granulari	"Consenti agli utenti di accedere solo a un determinato set di dati in BigQuery. Non dovrebbero essere in grado di creare o eliminare set di dati". Prompt che genera suggerimenti sui ruoli con privilegi minimi: "Qual è il ruolo più sicuro per concedere agli utenti l'accesso in sola lettura a un singolo set di dati in BigQuery, senza consentire azioni di creazione o eliminazione su alcun set di dati?"

Best practice

Per aiutare Gemini a fornire i suggerimenti più accurati per il tuo caso d'uso, ti consigliamo di rispettare le seguenti best practice quando crei il prompt.

Descrivi chiaramente il tuo caso d'uso.Evita di utilizzare un linguaggio vago nei prompt. Sii il più chiaro possibile in merito alle azioni che vuoi che il principal esegua su quali servizi e tipi di risorse. Se vuoi che Gemini suggerisca i ruoli con privilegi minimi, assicurati di creare il prompt con parole chiave specifiche che descrivano la tua intenzione di rispettare il principio del privilegio minimo.

Cosa fare	Cosa non fare	Dettagli
"Quale ruolo è necessario per eseguire query SQL su una tabella BigQuery e leggere i dati al suo interno?"	"Quale ruolo è necessario per eseguire le istruzioni SQL?"	SQL è un linguaggio generico utilizzato in più servizi Cloud de Confiance . Senza specificare il servizio o le azioni, Gemini non può suggerire un ruolo preciso.
"Ho bisogno di ruoli per avviare, arrestare e riavviare le istanze di macchine virtuali Compute Engine."	"Ho bisogno di gestire le mie macchine virtuali."	Il termine gestisci è troppo vago. Gestisci potrebbe significare creare, eliminare, aggiornare o visualizzare le VM. L'elenco chiaro delle azioni specifiche da eseguire (avvia, arresta, riavvia) e del tipo di risorsa esatto (istanze di macchine virtuali Compute Engine) fornisce suggerimenti più precisi.
"Devo caricare e scaricare oggetti da un bucket Cloud Storage denominato `example-bucket`."	"Give me access to storage." (dammi l'accesso allo spazio di archiviazione)	Il termine Storage da solo potrebbe fare riferimento a vari servizi come Cloud Storage, Filestore o Persistent Disk. Inoltre, non sono specificate azioni. Senza specificare il servizio (Cloud Storage), il nome del tipo di risorsa (`example-bucket`) o le azioni (caricamento e download di oggetti), Gemini non dispone di informazioni sufficienti per suggerire i ruoli giusti.
"Ho bisogno del ruolo meno permissivo che fornisca l'accesso di sola lettura a Secret Manager."	"Ho bisogno di un accesso limitato per gestire i miei segreti."	La frase accesso limitato non definisce chiaramente le limitazioni richieste. Gestisci i miei secret copre un'ampia gamma di azioni (creazione, elenco, aggiornamento, eliminazione, accesso alle versioni). Senza utilizzare parole chiave esplicite come privilegio minimo, Gemini suggerisce per impostazione predefinita ruoli di amministratore, editor o visualizzatore più generici specifici per il servizio.

Utilizza i nomi ufficiali.Utilizza i nomi ufficiali di Cloud de Confiance by S3NS servizi, tipi di risorse e operazioni API nel prompt. Se non conosci i nomi ufficiali di servizi, tipi di risorse o operazioni API, ti consigliamo di consultare la documentazione ufficiale del prodotto.

Cosa fare	Cosa non fare	Dettagli
"Quale ruolo devo avere per aggiornare i set di dati BigQuery?"	"Quale ruolo mi serve per aggiornare i set di dati BigQuery?	BigQuery è il nome ufficiale del prodotto, non Big query.
"Quale ruolo è necessario per creare un bucket Cloud Storage nel mio progetto?"	"Quale ruolo è necessario per creare un bucket Storage nel mio progetto?"	Bucket di archiviazione potrebbe fare riferimento a diversi tipi di risorse di servizi come Cloud Storage, Filestore o Persistent Disk. Se specifichi il nome del prodotto e il tipo di risorsa associato, i suggerimenti saranno più accurati.

Parole chiave per i ruoli con privilegi minimi

Se hai bisogno di suggerimenti sui ruoli da Gemini che rispettino il principio del privilegio minimo, devi utilizzare parole chiave specifiche nel prompt. Di seguito è riportato un elenco non esaustivo di parole chiave che puoi utilizzare per richiedere ruoli con privilegi minimi:

meno permissiva
più sicuro
ruolo più piccolo
privilegi minimi
autorizzazioni minime
strettamente granulare
accesso più ristretto
solo il minimo indispensabile
solo con le autorizzazioni esatte

Risoluzione dei problemi

Questa sezione descrive le soluzioni per i problemi comuni relativi al selettore dei ruoli IAM.

Gemini suggerisce ruoli che non puoi concedere a livello di progetto

Gemini può suggerire ruoli a tutti i livelli di risorse, ma puoi utilizzare il selettore di ruoli IAM solo per concedere i ruoli a livello di progetto suggeriti. Quando Gemini suggerisce ruoli a livello di organizzazione, cartella o risorsa, il selettore dei ruoli IAM indica che sono presenti ruoli suggeriti che non possono essere concessi e il pulsante Aggiungi ruoli sarà disattivato.

In questo caso, puoi copiare i ruoli suggeriti e concederli all'entità a livello appropriato utilizzando la procedura tipica nella consoleCloud de Confiance . Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Se non disponi delle autorizzazioni per concedere i ruoli a livello di organizzazione, cartella o risorsa, contatta l'amministratore.

Passaggi successivi

Leggi la panoramica di Gemini per Cloud de Confiance.
Scopri in che modo Gemini per Cloud de Confiance utilizza i tuoi dati.
Scopri come trovare manualmente i ruoli predefiniti giusti.