利用 Gemini 协助获取预定义角色建议

本页面介绍了如何利用 Gemini 协助找到并向主账号授予最小权限的 Identity and Access Management (IAM) 预定义角色。

借助 IAM 角色选择器，您可以询问 Gemini 应向主账号授予哪些角色。通常，如需找到要授予的合适预定义角色，您需要搜索 IAM 角色和权限索引或Trusted Cloud 控制台中的角色页面。借助 IAM 角色选择器，您可以描述希望主账号执行的操作以及他们需要对其执行这些操作的资源。根据您的输入，Gemini 会建议它认为合适的最小权限的预定义角色。

Gemini 可以为各个主账号建议预定义角色。如果 Gemini 建议在项目级层授予角色，您可以使用 IAM 角色选择器来授予该角色。

Gemini 无法建议授予以下角色：

• 自定义角色
• 多个主账号的角色

了解 Gemini for Trusted Cloud 如何以及何时使用您的数据。

准备工作

如需在项目中启用 IAM 角色选择器，请在 Trusted Cloud 控制台中启用 Gemini for Google Cloud API。

启用 API

如果您不启用该 API， Trusted Cloud 控制台中用于访问 IAM 角色选择器的帮我选择角色按钮会被停用。

所需的角色

如需获得使用 IAM 角色选择器所需的权限，请让您的管理员为您授予项目的以下 IAM 角色：

• 向 Gemini 询问角色建议：Gemini for Google Cloud User (roles/cloudaicompanion.user)
• 授予建议的角色：Project IAM Admin (roles/resourcemanager.projectIamAdmin)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

利用 Gemini 协助获取角色建议

如需从 Gemini 获取角色建议，您可以访问 Trusted Cloud 控制台中可让您在项目级层授予访问权限的页面上的 IAM 角色选择器。例如，IAM 角色选择器可在以下页面上找到：

• IAM 页面
• 服务账号页面
• Trusted Cloud 控制台信息中心页面

以下过程使用 IAM 页面作为主要入口点。

1. 在 Trusted Cloud 控制台中，前往 IAM 页面。

   转到 IAM

2. 选择一个项目。

3. 选择要获取其角色建议的主账号：

   • 如需获取已拥有资源的其他角色的主账号的角色建议，请找到包含该主账号的行，然后点击该行中的 edit 修改主账号。

     如需向服务代理授予角色，请选中包括S3NS提供的角色授权复选框以查看其电子邮件地址。

   • 如需获取尚未拥有资源的任何角色的主账号的角色建议，请点击 person_add 授予访问权限，然后输入主账号标识符，例如 //iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com 或 //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com。

4. 如需打开 IAM 角色选择器对话框，请点击帮我选择角色。

5. 用自己的语言描述您希望主账号执行的操作，以及他们需要对项目中的哪个资源执行该操作。

6. 点击建议角色。根据您的输入，Gemini 会建议它认为合适的最小权限的预定义角色。

   如需详细了解这些角色以及 Gemini 为何建议这些角色，请点击显示推理。我们还建议您参阅角色和权限参考文档来验证 Gemini 建议的角色，然后再将其授予主账号。

7. 可选：如果 Gemini 未建议合适的角色，您可以优化提示。

   1. 如需修改提示，请点击修改。
   2. 修改说明，然后点击更新。Gemini 会根据新说明更新角色建议。

8. 如需接受建议，请点击添加角色。

9. 可选：为角色添加条件。

10. 点击保存。将向主账号授予资源上的角色。

您可以直接从 IAM 角色选择器中授予 Gemini 建议的项目级角色。对于组织级、文件夹级或资源级角色建议，请记下建议的角色，然后按照 Trusted Cloud 控制台中的典型流程在适当级层向主账号授予这些角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

如果您没有在组织、文件夹或资源级层授予角色的权限，请与您的管理员联系。

示例应用场景

下表列出了一些应用场景示例，说明 Gemini 如何帮助您确定主账号的最小权限的角色。

使用场景	提示示例
确定执行特定任务所需的最小权限角色	"What role is required to create, start, and stop VMs?" "What are the least-privileged IAM roles required to create IAM policies?" "I need to allow a user to create and manage BigQuery datasets and tables. What role should I assign?" "I need to grant a service account access to invoke Cloud Run functions. What's the minimal role required?" "Which role allows a service account to read data from Cloud Storage but not write or delete objects?"
Identifying least-permissive roles necessary to run Google Cloud CLI commands	"What IAM role is required to run the following command: gcloud compute instances create instance-1 --zone=us-central1-a" "I would like to identify the necessary roles for a service account to execute the following command: gcloud datastore instances describe"
确定包含传递依赖项的任务的角色	"I need to configure a Compute Engine instance to automatically scale based on CPU utilization. Which IAM role(s) should be granted to the service account used by the instance autoscaler?"
确定可能需要多个精细角色组合的任务的角色	"Provide users access only to a particular dataset. We don't want to share the access to all datasets, and we only allow users to access a particular dataset within BigQuery. They shouldn't be able to create new datasets or delete it"

最佳做法

为了帮助 Gemini 针对您的应用场景提供最准确的建议，我们建议您在撰写提示时遵循以下最佳实践。

• 清楚描述您的应用场景。避免在提示中使用模糊不清的语言。尽可能清楚地说明您希望主账号对哪些服务和资源类型执行哪些操作。

  正确做法	错误做法	详细信息
  "What role is required to execute SQL queries on a BigQuery table and read the data from it?"	"What role is required to execute SQL statements?"	SQL 是一种通用语言，可用于多种 Trusted Cloud 服务。如果不指定服务或操作，Gemini 就无法建议确切的角色。
  "I need roles to start, stop, and reboot Compute Engine virtual machine instances."	"I need to manage my virtual machines."	“管理”一词过于模糊。管理可能意味着创建、删除、更新或查看虚拟机。明确列出要执行的具体操作（启动、停止、重新启动）和确切的资源类型（Compute Engine 虚拟机实例）可获得更准确的建议。
  "I need to upload and download objects from a Cloud Storage bucket named example-bucket."	"Give me access to storage."	“存储”一词本身可能指的是各种服务，例如 Cloud Storage、Filestore 或 Persistent Disk。此外，未指定任何操作。如果未指定服务 (Cloud Storage)、资源类型名称 (example-bucket) 或操作（上传和下载对象），Gemini 就没有足够的信息来建议合适的角色。

• 使用官方名称。在提示中使用 Trusted Cloud by S3NS 服务、资源类型和 API 操作的官方名称。如果您不确定服务、资源类型或 API 操作的官方名称，建议您查阅官方产品文档。

  正确做法	错误做法	详细信息
  "What role do I need to update BigQuery datasets?"	"What role do I need to update Big query datasets?	BigQuery 是官方产品名称，而不是 Big query。
  "What role is required to create a Cloud Storage bucket in my project?"	"What role is required to create a Storage bucket in my project?"	存储桶可能指的是 Cloud Storage、Filestore 或 Persistent Disk 等服务中的不同资源类型。指定产品名称和关联的资源类型可获得更准确的建议。

问题排查

本部分介绍了有关 IAM 角色选择器的常见问题的解决方法。

Gemini 建议的角色无法在项目级层授予

Gemini 可以在所有资源级层建议角色；但是，您只能使用 IAM 角色选择器授予建议的项目级角色。当 Gemini 建议组织级、文件夹级或资源级角色时，IAM 角色选择器会指示存在无法授予的建议角色，并且添加角色按钮会被停用。

发生这种情况时，您可以复制建议的角色，并按照Trusted Cloud 控制台中的典型流程在适当的级层向主账号授予这些角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

如果您没有在组织、文件夹或资源级层授予角色的权限，请与您的管理员联系。

价格

IAM 角色选择器作为 Gemini Cloud Assist 的一部分免费提供。如需详细了解 Gemini Cloud Assist 价格，请参阅 Gemini for Trusted Cloud by S3NS价格。

后续步骤

• 阅读 Gemini for Trusted Cloud概览。
• 了解 Gemini for Trusted Cloud 如何使用您的数据。
• 了解如何手动查找合适的预定义角色