Persyaratan IAM untuk menggunakan Gemini Cloud Assist

Halaman ini membahas peran Identity and Access Management yang diperlukan pengguna agar berhasil menggunakan Gemini Cloud Assist. Untuk mengetahui informasi tentang cara menyiapkan Gemini Cloud Assist, lihat Menyiapkan Gemini Cloud Assist.

Ringkasan

Untuk mendukung pertanyaan dan permintaan tentang Google Cloud resource Anda, Gemini Cloud Assist memerlukan izin IAM yang sesuai untuk resource tersebut. Gemini Cloud Assist memiliki izin yang sama dengan pengguna yang membuat kueri Gemini Cloud Assist, sehingga dalam banyak kasus, izin IAM yang diperlukan sudah diberikan.

Peran IAM untuk menggunakan Gemini Cloud Assist

Peran IAM berikut direkomendasikan untuk penggunaan umum Gemini Cloud Assist:

Peran IAM Catatan
Pengguna Gemini Cloud Assist Peran ini memberi pengguna izin untuk menggunakan Gemini Cloud Assist, yang mencakup memanggil agen, melakukan chat, membuat artefak agen, dan membagikan artefak milik pengguna.
Cloud Asset Viewer Peran ini memungkinkan agen pengguna menemukan topologi aset yang relevan dengan pertanyaan pengguna, karena Cloud Asset Inventory mengelola Google Cloud aset dan metadata yang terkait dengan aset tersebut. Aset mencakup Google Cloud resource, kebijakan, dan konfigurasi Anda.

Peran IAM yang tersedia untuk Gemini Cloud Assist

Dalam kebanyakan kasus, peran IAM yang direkomendasikan untuk menggunakan Gemini Cloud Assist adalah Pengguna Gemini Cloud Assist. Dalam beberapa kasus, Anda mungkin ingin mengganti peran ini dengan peran Gemini Cloud Assist yang berbeda. Tabel berikut mencantumkan berbagai peran Gemini Cloud Assist yang dapat Anda gunakan:

Peran IAM Fungsi
Gemini Cloud Assist Viewer Peran ini memberi pengguna izin untuk melihat artefak agen, seperti investigasi atau laporan, dan melihat konfigurasi agen. Peran ini memberikan akses yang lebih terbatas jika dibandingkan dengan Pengguna Gemini Cloud Assist peran; misalnya, peran Gemini Cloud Assist Viewer tidak memberikan izin untuk memanggil atau melakukan chat dengan agen.
Pengguna Gemini Cloud Assist Peran ini memberi pengguna izin untuk menggunakan Gemini Cloud Assist, yang mencakup memanggil agen, melakukan chat, membuat artefak agen, dan membagikan artefak milik pengguna.
Gemini Cloud Assist Editor Peran ini memberi pengguna izin editor untuk Gemini Cloud Assist. Selain izin yang terdapat dalam peran Pengguna Gemini Cloud Assist, peran editor berisi izin untuk menghapus topik chat, menghapus artefak agen, dan memperbarui konfigurasi agen tertentu.
Gemini Cloud Assist Admin Peran ini memberi pengguna izin administratif untuk Gemini Cloud Assist. Selain izin yang terdapat dalam peran Gemini Cloud Assist Editor, peran administrator berisi izin yang memungkinkan Anda mengonfigurasi berbagai kebijakan Gemini Cloud Assist, seperti mengaktifkan agen proaktif dan berbagi data, memberikan izin pada agen, dan membagikan artefak di seluruh project.

Izin IAM tertentu

Berikut adalah izin IAM tertentu yang penting untuk fungsi Gemini Cloud Assist. Gunakan informasi ini saat membuat peran IAM kustom.

Izin IAM Fungsi
geminicloudassist.agents.invoke Mengirim dan menerima pesan ke agen Gemini Cloud Assist.
cloudaicompanion.topics.create Memulai chat dengan Gemini Cloud Assist.
cloudaicompanion.geminiGcpEnablementSettings.update Mengonfigurasi setelan administrator untuk Gemini Cloud Assist.
mcp.tools.call Mengirim dan menerima pesan ke agen Gemini Cloud Assist melalui MCP.

Izin yang diperlukan untuk chat

Panel chat Gemini Cloud Assist menggunakan resource backend yang disebut topik. Saat Anda memulai chat, Gemini Cloud Assist akan membuat resource topik dan memberi Anda peran roles/cloudaicompanion.topicAdmin untuk topik tersebut, yang mencakup izin cloudaicompanion.topics.update. Perilaku ini berarti chat hanya dapat dilihat dan diperbarui oleh pengguna yang membuat topik.

Jika organisasi Anda memiliki batasan kustom yang mencegah Gemini Cloud Assist memberikan roles/cloudaicompanion.topicAdmin kepada pengguna, upaya Anda untuk memulai sesi chat akan gagal. Untuk memperbaiki masalah ini, minta administrator Anda untuk memperbarui batasan kustom organisasi agar peran tertentu dapat diberikan.

Rekomendasi peran IAM untuk berbagai kasus penggunaan

Selain akses yang diberikan dari peran IAM untuk menggunakan Gemini Cloud Assist, tugas yang dilakukan melalui Gemini Cloud Assist memerlukan akses ke Google Cloud resource yang relevan dengan tugas tersebut. Contoh:

  • Jika Anda menggunakan agen untuk memahami kondisi aplikasi GKE, izin IAM untuk GKE dan resource terkaitnya adalah yang paling penting.

  • Jika Anda menggunakan agen untuk men-deploy tugas pemrosesan data, izin IAM untuk Dataflow, Managed Service untuk Apache Spark, atau BigQuery mungkin yang paling penting.

Izin IAM yang diperlukan bergantung pada domain tertentu tempat tugas Anda berada. Selanjutnya, peran IAM yang sesuai yang berisi izin ini akan bervariasi menurut kasus penggunaan. Peran IAM fungsi tugas berikut memberikan titik awal yang baik jika Anda tidak yakin peran apa yang harus dimiliki pengguna atau identitas agen.

Tugas Peran yang Relevan
Memecahkan masalah dan memastikan keandalan serta skalabilitas Google Cloud infrastruktur secara luas di beberapa domain, baik secara proaktif maupun interaktif
  • roles/iam.siteReliabilityEngineer
  • roles/iam.supportUser
    		•
    Men-deploy, memperbarui, dan menjelajahi Google Cloud infrastruktur secara luas di beberapa domain
  • roles/iam.infrastructureAdmin
  • roles/iam.devOps
  • roles/logging.viewer
  • roles/monitoring.viewer
  • roles/cloudtrace.user
  • roles/apptopology.viewer
    		•
    Menjelajahi, memahami, dan memecahkan masalah infrastruktur jaringan Anda
  • roles/iam.networkAdmin
  • roles/logging.viewer
  • roles/monitoring.viewer
  • roles/cloudtrace.user
  • roles/apptopology.viewer
    		•
    Berinteraksi dengan dan menganalisis data melalui pipeline pemrosesan, transformasi, dan analisis data
  • roles/iam.dataScientist
  • roles/logging.viewer
  • roles/monitoring.viewer
    		•
    Men-deploy, memperbarui, dan memecahkan masalah database
  • roles/iam.databaseAdmin
  • roles/logging.viewer
  • roles/monitoring.viewer
    		•
    Memahami dan menganalisis biaya aplikasi Anda secara mendetail
  • roles/cloudhub.operator
  • roles/monitoring.viewer
  • roles/logging.viewer
    		•
    Menjelajahi dan melihat Google Cloud resource, hierarki folder, log, konfigurasi keamanan, dan metadata resource utama.
  • roles/iam.securityAuditor
    		•
    Menggunakan Gemini Cloud Assist dengan set data Storage Insights untuk memahami penggunaan Cloud Storage Anda.
  • roles/bigquery.jobUser
  • roles/bigquery.dataViewer
  • roles/storageinsights.viewer
    		•