Esta página descreve como pode encontrar e conceder as funções predefinidas de gestão de identidade e acesso (IAM) menos permissivas aos seus responsáveis com a assistência do Gemini.
O selecionador de funções IAM permite-lhe perguntar ao Gemini que funções deve conceder aos seus responsáveis. Normalmente, para encontrar as funções predefinidas certas a conceder, tem de pesquisar no índice de funções e autorizações de IAM ou na página Funções na Trusted Cloud consola. Com o selecionador de funções do IAM, pode descrever as ações que o principal quer realizar e os recursos nos quais precisa de as realizar. Com base na sua entrada, o Gemini sugere as funções predefinidas menos permissivas que considera adequadas.
O Gemini pode sugerir funções predefinidas para principais individuais. Se o Gemini sugerir a concessão de uma função ao nível do projeto, pode usar o selecionador de funções do IAM para conceder essa função.
O Gemini não pode sugerir a concessão do seguinte:
- Funções personalizadas
- Funções para vários responsáveis
Saiba como e quando o Gemini para Trusted Cloud usa os seus dados.
Antes de começar
Para ativar o seletor de funções do IAM no seu projeto, ative a API Gemini for Google Cloud na Trusted Cloud consola.
Se não ativar a API, o botão Ajuda-me a escolher funções para aceder ao seletor de funções do IAM na Trusted Cloud consola é desativado.
Funções necessárias
Para obter as autorizações de que precisa para usar o selecionador de funções de IAM, peça ao seu administrador que lhe conceda as seguintes funções de IAM no seu projeto:
-
Peça sugestões de funções ao Gemini:
Utilizador do Gemini para o Google Cloud (
roles/cloudaicompanion.user) -
Conceda funções sugeridas:
Administrador de IAM do projeto (
roles/resourcemanager.projectIamAdmin)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Receba sugestões de funções com a assistência do Gemini
Para receber sugestões de funções do Gemini, pode aceder ao seletor de funções do IAM nas páginas da Trusted Cloud consola que lhe permitem conceder acesso ao nível do projeto. Por exemplo, o seletor de funções de IAM está disponível nas seguintes páginas:
- A página IAM
- A página Contas de serviço
- A página do Trusted Cloud painel de controloda consola
O procedimento seguinte usa a página IAM como ponto de entrada principal.
Na Trusted Cloud consola, aceda à página IAM.
Selecione um projeto.
Selecione um principal para receber sugestões de funções para:
Para receber sugestões de funções para um principal que já tenha outras funções no recurso, encontre uma linha que contenha o principal e, de seguida, clique em Editar principal nessa linha.
Para conceder uma função a um agente de serviço, selecione a caixa de verificação Incluir concessões de funções fornecidas pela S3NS para ver o respetivo endereço de email.
Para receber sugestões de funções para um principal que não tenha funções existentes no recurso, clique em Conceder acesso e, de seguida, introduza um identificador principal, por exemplo,
//iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.comou//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Para abrir a caixa de diálogo do seletor de funções da IAM, clique em Ajudar-me a escolher funções.
Descreva por palavras suas a ação que quer que o principal execute e o recurso no projeto no qual o principal tem de a executar.
Clique em Sugerir funções. Com base no que introduziu, o Gemini sugere as funções predefinidas menos permissivas que considera adequadas.
Para ver mais informações sobre as funções e o motivo pelo qual o Gemini as sugeriu, clique em Mostrar raciocínio. Também recomendamos que use a referência de funções e autorizações para validar as funções sugeridas pelo Gemini antes de as conceder ao principal.
Opcional: se o Gemini não sugerir as funções certas, pode refinar o comando.
- Para modificar o comando, clique em Editar.
- Edite a descrição e, de seguida, clique em Atualizar. O Gemini atualiza as sugestões de funções com base na nova descrição.
Para aceitar as sugestões, clique em Adicionar funções.
Opcional: adicione uma condição à função.
Clique em Guardar. O principal recebe a função no recurso.
Pode conceder funções ao nível do projeto sugeridas pelo Gemini diretamente no seletor de funções de IAM. Para sugestões de funções ao nível da organização, da pasta ou do recurso, tome nota das funções sugeridas e conceda-as ao principal ao nível adequado através do processo típico na Trusted Cloud consola. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Se não tiver as autorizações para conceder as funções ao nível da organização, da pasta ou do recurso, contacte o seu administrador.
Exemplos de utilização
A tabela seguinte ilustra alguns exemplos de utilização em que o Gemini pode ajudar a identificar as funções menos permissivas para os seus principais.
| Exemplo de utilização | Exemplos de comandos |
|---|---|
| Identificar as funções menos permissivas necessárias para realizar uma tarefa específica |
|
| Identificar as funções menos permissivas necessárias para executar comandos da CLI gcloud |
|
| Identificar funções para uma tarefa que inclui dependências transitivas | "Preciso de configurar uma instância do Compute Engine para criar automaticamente uma escala com base na utilização da CPU. Que funções do IAM devem ser concedidas à conta de serviço usada pelo escalador automático de instâncias?" |
| Identificar funções para uma tarefa que possa exigir uma combinação de várias funções detalhadas | "Conceder aos utilizadores acesso apenas a um conjunto de dados específico. Não queremos partilhar o acesso a todos os conjuntos de dados e apenas permitimos que os utilizadores acedam a um conjunto de dados específico no BigQuery. Não devem poder criar novos conjuntos de dados nem eliminá-los" |
Práticas recomendadas
Para ajudar o Gemini a fornecer as sugestões mais precisas para o seu exemplo de utilização, recomendamos que siga as práticas recomendadas abaixo ao criar o seu comando.
Descreva claramente o seu exemplo de utilização. Evite usar linguagem vaga nos seus comandos. Seja o mais claro possível sobre as ações que quer que o principal execute nos serviços e tipos de recursos.
O que fazer O que não deve fazer Detalhes "Que função é necessária para executar consultas SQL numa tabela do BigQuery e ler os dados da mesma?" "Que função é necessária para executar declarações SQL?" O SQL é uma linguagem genérica usada em vários serviços Trusted Cloud . Sem especificar o serviço ou as ações, o Gemini não pode sugerir uma função precisa. "Preciso de funções para iniciar, parar e reiniciar instâncias de máquinas virtuais do Compute Engine." "Preciso de gerir as minhas máquinas virtuais." O termo gerir é demasiado vago. Gerir pode significar criar, eliminar, atualizar ou ver VMs. Indicar claramente as ações específicas a realizar (iniciar, parar, reiniciar) e o tipo de recurso exato (instâncias de máquinas virtuais do Compute Engine) gera sugestões mais precisas. "Preciso de carregar e transferir objetos de um contentor do Cloud Storage com o nome example-bucket.""Dá-me acesso ao armazenamento." O termo Armazenamento sozinho pode referir-se a vários serviços, como o Cloud Storage, o Filestore ou o disco persistente. Além disso, não são especificadas ações. Sem especificar o serviço (Cloud Storage), o nome do tipo de recurso ( example-bucket) ou as ações (carregar e transferir objetos), o Gemini não tem informações suficientes para sugerir as funções certas.Use nomes oficiais. Use os nomes oficiais dos Trusted Cloud by S3NS serviços, tipos de recursos e operações da API no seu comando. Se não tiver a certeza dos nomes oficiais dos serviços, dos tipos de recursos ou das operações da API, recomendamos que consulte a documentação oficial do produto.
O que fazer O que não deve fazer Detalhes "Que função preciso para atualizar conjuntos de dados do BigQuery?" "Que função preciso para atualizar conjuntos de dados do BigQuery? BigQuery é o nome oficial do produto e não Big query. "Que função é necessária para criar um contentor do Cloud Storage no meu projeto?" "Que função é necessária para criar um contentor de armazenamento no meu projeto?" O contentor de armazenamento pode referir-se a diferentes tipos de recursos de serviços como o Cloud Storage, o Filestore ou o disco persistente. A especificação do nome do produto e do tipo de recurso associado gera sugestões mais precisas.
Resolução de problemas
Esta secção descreve resoluções para problemas comuns com o selecionador de funções do IAM.
O Gemini sugere funções que não pode conceder ao nível do projeto
O Gemini pode sugerir funções em todos os níveis de recursos. No entanto, só pode usar o selecionador de funções do IAM para conceder as funções ao nível do projeto que são sugeridas. Quando o Gemini sugere funções ao nível da organização, da pasta ou do recurso, o selecionador de funções do IAM indica que existem funções sugeridas que não podem ser concedidas e o botão Adicionar funções está desativado.
Quando isto ocorre, pode copiar as funções sugeridas e concedê-las ao principal no nível adequado através do processo típico naTrusted Cloud consola. Para mais informações sobre a concessão de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Se não tiver as autorizações para conceder as funções ao nível da organização, da pasta ou do recurso, contacte o seu administrador.
Preços
O selecionador de funções de IAM é oferecido sem custo financeiro como parte do Gemini Cloud Assist. Para mais informações sobre os preços do Gemini Cloud Assist, consulte os preços do Gemini para Trusted Cloud by S3NS o Google Cloud.
O que se segue?
- Leia a vista geral do Gemini para Trusted Cloud Android.
- Saiba como o Gemini para Trusted Cloud usa os seus dados.
- Saiba como encontrar manualmente as funções predefinidas certas