Nesta página, descrevemos como encontrar e conceder aos seus principais os papéis predefinidos do Identity and Access Management (IAM) com menos permissões usando a assistência do Gemini.
Com o seletor de papéis do IAM, você pode perguntar ao Gemini quais papéis conceder aos seus principais. Normalmente, para encontrar os papéis predefinidos certos a serem concedidos, é necessário pesquisar no índice de papéis e permissões do IAM ou na página Papéis no Trusted Cloud console. Com o seletor de papéis do IAM, você pode descrever as ações que quer que o principal realize e os recursos necessários para isso. Com base na sua entrada, o Gemini sugere os papéis predefinidos menos permissivos que considera adequados.
O Gemini pode sugerir papéis predefinidos para principais individuais. Se o Gemini sugerir conceder uma função no nível do projeto, use o seletor de funções do IAM para fazer isso.
O Gemini não pode sugerir a concessão do seguinte:
- Papéis personalizados
- Funções para várias entidades de segurança
Saiba como e quando o Gemini para Trusted Cloud usa seus dados.
Antes de começar
Para ativar o seletor de papéis do IAM no seu projeto, ative a API Gemini para Google Cloud no console Trusted Cloud .
Se você não ativar a API, o botão Me ajude a escolher papéis para acessar o seletor de papéis do IAM no console do Trusted Cloud será desativado.
Papéis necessários
Para receber as permissões necessárias para usar o seletor de papéis do IAM, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Peça sugestões de função ao Gemini:
Usuário do Gemini para Google Cloud (
roles/cloudaicompanion.user) -
Conceder papéis sugeridos:
Administrador do IAM do projeto (
roles/resourcemanager.projectIamAdmin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Receber sugestões de função com a ajuda do Gemini
Para receber sugestões de papéis do Gemini, acesse o seletor de papéis do IAM nas páginas do console do Trusted Cloud que permitem conceder acesso no nível do projeto. Por exemplo, o seletor de papéis do IAM está disponível nas seguintes páginas:
- A página IAM
- A página Contas de serviço
- A página Painel do console Trusted Cloud
O procedimento a seguir usa a página IAM como o principal ponto de entrada.
No console Trusted Cloud , acesse a página IAM.
Selecione um projeto.
Selecione um principal para receber sugestões de papéis:
Para receber sugestões de papéis para um principal que já tenha outros papéis no recurso, encontre uma linha com o principal e clique em Editar principal nessa linha.
Para conceder um papel a um agente de serviço, marque a caixa de seleção Incluir concessões de papel fornecidas peloS3NS para ver o endereço de e-mail dele.
Para receber sugestões de papéis para um principal que não tem papéis no recurso, clique em Conceder acesso e insira um identificador principal, por exemplo,
//iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.comou//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Para abrir a caixa de diálogo do seletor de papéis do IAM, clique em Ajude-me a escolher papéis.
Descreva com suas próprias palavras a ação que você quer que o principal execute e o recurso no projeto em que ela precisa ser realizada.
Clique em Sugerir funções. Com base na sua entrada, o Gemini sugere os papéis predefinidos menos permissivos que ele considera adequados.
Para mais informações sobre as funções e por que o Gemini as sugeriu, clique em Mostrar justificativa. Também recomendamos usar a referência de papéis e permissões para validar os papéis sugeridos pelo Gemini antes de concedê-los ao principal.
Opcional: se o Gemini não sugerir os papéis certos, você pode refinar o comando.
- Para modificar o comando, clique em Editar.
- Edite a descrição e clique em Atualizar. O Gemini atualiza as sugestões de função com base na nova descrição.
Para aceitar as sugestões, clique em Adicionar papéis.
Opcional: adicione uma condição ao papel.
Clique em Salvar. O principal recebe o papel no recurso.
É possível conceder papéis no nível do projeto sugeridos pelo Gemini diretamente no seletor de papéis do IAM. Para sugestões de papéis no nível da organização, pasta ou recurso, observe os papéis sugeridos e conceda-os ao principal no nível adequado usando o processo típico no console Trusted Cloud . Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Se você não tiver permissões para conceder papéis nos níveis da organização, pasta ou recurso, entre em contato com o administrador.
Exemplos de casos de uso
A tabela a seguir ilustra alguns exemplos de casos de uso em que o Gemini pode ajudar você a identificar as funções menos permissivas para seus principais.
| Caso de uso | Exemplos de prompt |
|---|---|
| Identificar os papéis menos permissivos necessários para realizar uma tarefa específica |
|
| Identificar os papéis de menor permissão necessários para executar comandos da Google Cloud CLI |
|
| Identificar papéis para uma tarefa que inclui dependências transitivas | "Preciso configurar uma instância do Compute Engine para escalonar automaticamente com base na utilização da CPU. Quais papéis do IAM devem ser concedidos à conta de serviço usada pelo escalonador automático de instâncias?" |
| Identificar papéis para uma tarefa que pode exigir uma combinação de vários papéis granulares | "Conceda aos usuários acesso apenas a um conjunto de dados específico. Não queremos compartilhar o acesso a todos os conjuntos de dados, e só permitimos que os usuários acessem um conjunto de dados específico no BigQuery. Não é possível criar ou excluir conjuntos de dados" |
Práticas recomendadas
Para ajudar o Gemini a dar as sugestões mais precisas para seu caso de uso, recomendamos que você siga as práticas recomendadas ao criar seu comando.
Descreva claramente seu caso de uso. Evite usar linguagem vaga nos comandos. Seja o mais claro possível sobre quais ações você quer que o principal execute em quais serviços e tipos de recursos.
O que fazer O que não fazer Detalhes "Qual função é necessária para executar consultas SQL em uma tabela do BigQuery e ler os dados dela?" "Qual função é necessária para executar instruções SQL?" O SQL é uma linguagem genérica usada em vários serviços do Trusted Cloud . Sem especificar o serviço ou as ações, o Gemini não pode sugerir uma função precisa. "Preciso de papéis para iniciar, interromper e reiniciar instâncias de máquina virtual do Compute Engine." "Preciso gerenciar minhas máquinas virtuais." O termo gerenciar é muito vago. Gerenciar pode significar criar, excluir, atualizar ou visualizar VMs. Listar claramente as ações específicas a serem realizadas (iniciar, parar, reiniciar) e o tipo de recurso exato (instâncias de máquina virtual do Compute Engine) gera sugestões mais precisas. "Preciso fazer upload e download de objetos de um bucket do Cloud Storage chamado example-bucket.""Me dê acesso ao armazenamento." O termo Storage sozinho pode se referir a vários serviços, como Cloud Storage, Filestore ou Persistent Disk. Além disso, nenhuma ação é especificada. Sem especificar o serviço (Cloud Storage), o nome do tipo de recurso ( example-bucket) ou as ações (upload e download de objetos), o Gemini não tem informações suficientes para sugerir as funções certas.Use nomes oficiais. Use os nomes oficiais dos serviços, tipos de recursos e operações de API do Trusted Cloud by S3NS no seu comando. Se você não tiver certeza sobre os nomes oficiais de serviços, tipos de recursos ou operações de API, consulte a documentação oficial do produto.
O que fazer O que não fazer Detalhes "Qual função preciso ter para atualizar conjuntos de dados do BigQuery?" "Qual função preciso ter para atualizar conjuntos de dados do BigQuery? BigQuery é o nome oficial do produto, não Big query. "Qual função é necessária para criar um bucket do Cloud Storage no meu projeto?" "Qual função é necessária para criar um bucket do Storage no meu projeto?" Bucket de armazenamento pode se referir a diferentes tipos de recursos de serviços como Cloud Storage, Filestore ou Persistent Disk. Especificar o nome do produto e o tipo de recurso associado gera sugestões mais precisas.
Solução de problemas
Esta seção descreve soluções para problemas comuns com o seletor de papéis do IAM.
O Gemini sugere papéis que não podem ser concedidos no nível do projeto
O Gemini pode sugerir papéis em todos os níveis de recursos, mas só é possível usar o seletor de papéis do IAM para conceder os papéis no nível do projeto sugeridos. Quando o Gemini sugere papéis no nível da organização, da pasta ou do recurso, o seletor de papéis do IAM indica que há papéis sugeridos que não podem ser concedidos, e o botão Adicionar papéis fica desativado.
Quando isso acontecer, copie os papéis sugeridos e conceda-os ao principal no nível adequado usando o processo típico no consoleTrusted Cloud . Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Se você não tiver permissões para conceder papéis nos níveis da organização, pasta ou recurso, entre em contato com o administrador.
Preços
O seletor de papéis do IAM é oferecido sem custo financeiro como parte do Gemini Cloud Assist. Para mais informações sobre os preços do Gemini Cloud Assist, consulte Preços do Gemini para Trusted Cloud by S3NS.
A seguir
- Leia a visão geral do Gemini para Trusted Cloud.
- Saiba como o Gemini para Trusted Cloud usa seus dados.
- Saiba como encontrar manualmente os papéis predefinidos certos