本頁說明如何透過 Gemini 輔助,找出並授予主體最低權限的 Identity and Access Management (IAM) 預先定義角色。
您可以透過 IAM 角色挑選器詢問 Gemini,應將哪些角色授予主體。一般來說,如要找出合適的預先定義角色並授予權限,您需要搜尋 IAM 角色和權限索引,或Trusted Cloud 控制台中的「角色」頁面。使用 IAM 角色挑選器,您可以說明要讓主體執行的動作,以及執行這些動作所需的資源。根據您的輸入內容,Gemini 會建議最嚴格的預先定義角色,並認為這些角色適合您。
Gemini 可以為個別主體建議預先定義的角色。如果 Gemini 建議在專案層級授予角色,您可以使用 IAM 角色挑選器授予該角色。
Gemini 無法建議授予下列項目:
- 自訂角色
- 多個主體的角色
瞭解 Gemini for Trusted Cloud 如何使用您的資料,以及使用時機。
事前準備
如要在專案中啟用 IAM 角色挑選器,請在 Trusted Cloud 控制台中啟用 Gemini for Google Cloud API。
如果未啟用 API, Trusted Cloud 控制台中的「幫我選擇角色」按鈕就會停用,無法存取 IAM 角色挑選器。
必要的角色
如要取得使用 IAM 角色挑選器所需的權限,請要求管理員授予您專案的下列 IAM 角色:
-
請 Gemini 提供角色建議:
Gemini for Google Cloud 使用者 (
roles/cloudaicompanion.user) -
授予建議的角色:
專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
在 Gemini 的協助下取得角色建議
如要取得 Gemini 的角色建議,請在 Trusted Cloud 控制台的頁面中存取 IAM 角色挑選器,並在專案層級授予存取權。舉例來說,您可以在下列頁面使用 IAM 角色挑選器:
- 「IAM」IAM頁面
- 「服務帳戶」頁面
- Trusted Cloud 控制台的「資訊主頁」頁面
以下程序會使用「身分與存取權管理」IAM頁面做為主要進入點。
前往 Trusted Cloud 控制台的「IAM」頁面。
選取專案。
選取要取得角色建議的主體:
如要為資源中已有其他角色的主體取得角色建議,請找出含有該主體的資料列,然後點選該列中的 「Edit principal」(編輯主體)。
如要將角色授予服務代理,請選取「IncludeS3NS-provided role grants」(包含S3NS提供的角色授權) 核取方塊,查看服務代理的電子郵件地址。
如要為資源上沒有任何角色的主體取得角色建議,請按一下 「授予存取權」,然後輸入主體 ID,例如
//iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com或//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com。
如要開啟 IAM 角色挑選器對話方塊,請按一下「幫我選取角色」。
請用自己的話說明您希望主體執行的動作,以及主體需要在專案中執行的資源。
按一下「建議角色」。Gemini 會根據您的輸入內容,建議最嚴格的適當預先定義角色。
如要進一步瞭解角色和 Gemini 建議這些角色的原因,請按一下「顯示原因」。此外,我們也建議您使用角色和權限參考資料驗證 Gemini 建議的角色,再將這些角色授予主體。
選用:如果 Gemini 建議的角色不合適,可以修正提示。
- 如要修改提示,請按一下「編輯」。
- 編輯說明,然後按一下「更新」。 Gemini 會根據新說明更新角色建議。
如要接受建議,請按一下「新增角色」。
選用:為角色新增條件。
按一下 [儲存]。主體就會取得指定資源的角色。
您可以直接從 IAM 角色挑選器,授予 Gemini 建議的專案層級角色。如要取得機構、資料夾或資源層級的角色建議,請記下建議的角色,並使用 Trusted Cloud 控制台的標準程序,在適當層級將這些角色授予主體。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」一文。
如果您沒有在機構、資料夾或資源層級授予角色的權限,請與管理員聯絡。
應用實例
下表列出一些範例用途,說明 Gemini 如何協助您為主體找出權限最少的角色。
| 用途 | 提示範例 |
|---|---|
| 找出執行特定工作所需的最低權限角色 |
|
| 找出執行 Google Cloud CLI 指令所需的最低權限角色 |
|
| 識別包含遞移依附元件的工作的角色 | 「我需要設定 Compute Engine 執行個體,根據 CPU 使用率自動調度資源。應將哪些 IAM 角色授予執行個體自動調整程式使用的服務帳戶? |
| 找出工作適用的角色,這項工作可能需要多個精細角色組合 | 「只允許使用者存取特定資料集。我們不想共用所有資料集的存取權,只允許使用者存取 BigQuery 中的特定資料集。他們不應能夠建立新資料集或刪除資料集」 |
最佳做法
為確保 Gemini 根據您的用途提供最準確的建議,建議您撰寫提示時遵循下列最佳做法。
清楚說明用途。請避免在提示中使用含糊不清的語言。盡可能清楚說明您希望主體在哪些服務和資源類型上執行哪些動作。
正確做法 錯誤做法 詳細資料 「What role is required to execute SQL queries on a BigQuery table and read the data from it?」(如要在 BigQuery 資料表上執行 SQL 查詢並讀取資料,需要什麼角色?) 「執行 SQL 陳述式需要什麼角色?」 SQL 是多項 Trusted Cloud 服務通用的語言。如果沒有指定服務或動作,Gemini 就無法建議確切的角色。 「我需要角色來啟動、停止及重新啟動 Compute Engine 虛擬機器執行個體。」 「I need to manage my virtual machines」(我需要管理虛擬機器)。 「管理」一詞過於籠統。管理可能包括建立、刪除、更新或查看 VM。清楚列出要執行的特定動作 (啟動、停止、重新啟動) 和確切的資源類型 (Compute Engine 虛擬機器執行個體),可獲得更準確的建議。 「我需要從名為 example-bucket的 Cloud Storage bucket 上傳及下載物件。」「Give me access to storage.」(授予儲存空間存取權)。 單獨使用「儲存空間」一詞時,可能指的是各種服務,例如 Cloud Storage、Filestore 或永久磁碟。此外,系統未指定任何動作。如果沒有指定服務 (Cloud Storage)、資源類型名稱 ( example-bucket) 或動作 (上傳和下載物件),Gemini 就沒有足夠的資訊來建議合適的角色。使用官方名稱。在提示中,請使用 Trusted Cloud by S3NS 服務、資源類型和 API 作業的正式名稱。如果您不確定服務、資源類型或 API 作業的正式名稱,建議參閱正式產品文件。
正確做法 錯誤做法 詳細資料 「What role do I need to update BigQuery datasets?」(我需要什麼角色才能更新 BigQuery 資料集?) 「我需要什麼角色才能更新 BigQuery 資料集? BigQuery 是產品的正式名稱,而非 Big query。 「在專案中建立 Cloud Storage bucket 需要什麼角色?」 「在專案中建立 Storage bucket 需要什麼角色?」 儲存空間值區可能指的是來自 Cloud Storage、Filestore 或 Persistent Disk 等服務的不同資源類型。指定產品名稱和相關資源類型,可獲得更準確的建議。
疑難排解
本節說明如何解決 IAM 角色挑選器常見問題。
Gemini 建議您無法在專案層級授予的角色
Gemini 可以在所有資源層級建議角色,但您只能使用 IAM 角色挑選器,授予建議的專案層級角色。如果 Gemini 建議機構、資料夾或資源層級的角色,IAM 角色挑選器會指出有建議角色無法授予,且「新增角色」按鈕會停用。
發生這種情況時,您可以複製建議的角色,並使用Trusted Cloud 控制台中的一般程序,在適當層級將角色授予主體。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」一文。
如果您沒有在機構、資料夾或資源層級授予角色的權限,請與管理員聯絡。
定價
IAM 角色挑選器是 Gemini Cloud Assist 的一部分,無須額外付費。如要進一步瞭解 Gemini Cloud Assist 定價,請參閱 Gemini for Trusted Cloud by S3NS定價。