本页介绍了用户需要具备的 Identity and Access Management 角色,才能成功使用 Gemini Cloud Assist。如需了解如何设置 Gemini Cloud Assist,请参阅设置 Gemini Cloud Assist。
概览
为了支持与您的 Google Cloud 资源相关的问题和请求,Gemini Cloud Assist 需要获得这些资源的适当 IAM 权限。Gemini Cloud Assist 具有与查询 Gemini Cloud Assist 的用户相同的权限,因此在许多情况下,系统已授予必要的 IAM 权限。
使用 Gemini Cloud Assist 的 IAM 角色
建议您使用以下 IAM 角色来使用 Gemini Cloud Assist:
| IAM 角色 | 备注 |
|---|---|
| Gemini Cloud Assist User | 此角色可授予用户使用 Gemini Cloud Assist 的权限,其中 包括调用代理、聊天、创建代理工件以及 共享用户拥有的工件。 |
| Cloud Asset Viewer | 此角色允许用户代理发现与用户问题相关的资产拓扑,因为Cloud Asset Inventory管理资产以及与那些资产关联的元数据。 Google Cloud 资产包括您的 Google Cloud 资源、政策和 配置。 |
适用于 Gemini Cloud Assist 的 IAM 角色
在大多数情况下,使用 Gemini Cloud Assist 的建议 IAM 角色是 Gemini Cloud Assist User 。在某些情况下,您可能需要将此角色切换为其他 Gemini Cloud Assist 角色。下表列出了您可以使用的不同 Gemini Cloud Assist 角色:
| IAM 角色 | 函数 |
|---|---|
| Gemini Cloud Assist Viewer | 此角色可授予用户查看代理工件(例如 调查或报告)以及查看代理配置的权限。与 Gemini Cloud Assist User 角色相比,此角色授予的访问权限更为有限;例如,Gemini Cloud Assist Viewer 角色不会授予调用代理或与代理聊天的权限。 |
| Gemini Cloud Assist User | 此角色可授予用户使用 Gemini Cloud Assist 的权限,其中 包括调用代理、聊天、创建代理工件以及 共享用户拥有的工件。 |
| Gemini Cloud Assist Editor | 此角色可授予用户 Gemini Cloud Assist 的编辑者权限。 除了 Gemini Cloud Assist User 角色中包含的权限之外,编辑者角色还包含 删除聊天主题、删除代理工件和更新 特定代理配置的权限。 |
| Gemini Cloud Assist Admin | 此角色可授予用户 Gemini Cloud Assist 的管理员权限。除了 Gemini Cloud Assist Editor 角色中包含的权限之外,管理员角色 还包含以下权限:配置 Gemini Cloud Assist 的不同政策(例如启用主动代理和数据 共享)、授予代理权限,以及在整个项目中共享工件。 |
特定 IAM 权限
以下是对于 Gemini Cloud Assist 的正常运行至关重要的特定 IAM 权限。创建自定义 IAM 角色时,请使用此信息 。
| IAM 权限 | 函数 |
|---|---|
geminicloudassist.agents.invoke
|
向 Gemini Cloud Assist 代理发送消息和从 Gemini Cloud Assist 代理接收消息。 |
cloudaicompanion.topics.create
|
与 Gemini Cloud Assist 启动聊天。 |
cloudaicompanion.geminiGcpEnablementSettings.update
|
配置 Gemini Cloud Assist 的管理员设置。 |
mcp.tools.call
|
通过 MCP 向 Gemini Cloud Assist 代理发送消息和从 Gemini Cloud Assist 代理接收消息。 |
聊天所需的权限
Gemini Cloud Assist 聊天面板
使用名为“主题”的后端资源。当您开始聊天时,Gemini Cloud Assist
会创建一个主题资源,并授予您该主题的 roles/cloudaicompanion.topicAdmin 角色,其中包括
cloudaicompanion.topics.update 权限。此行为意味着只有创建主题的用户才能查看和更新聊天。
如果您的组织有
自定义限制,阻止 Gemini Cloud Assist 向用户授予
roles/cloudaicompanion.topicAdmin,则您尝试启动聊天
会话的操作会失败。如需解决此问题,请让您的管理员更新
组织的自定义限制,以
允许授予特定角色。
针对不同用例的 IAM 角色建议
除了使用 Gemini Cloud Assist的 IAM 角色授予的访问权限之外, 通过 Gemini Cloud Assist 执行的任务还需要访问与该任务相关的 Google Cloud 资源。例如:
如果您使用代理来了解 GKE 应用的运行状况,那么 GKE 及其关联资源的 IAM 权限至关重要。
如果您使用代理来部署数据处理作业,那么 Dataflow、Managed Service for Apache Spark 或 BigQuery 的 IAM 权限可能至关重要。
必要的 IAM 权限取决于任务所在的特定网域。反过来,包含这些权限的适当 IAM 角色因用例而异。如果您不确定用户或代理身份应具有哪些角色,可以从以下按工作职能划分的 IAM 角色入手。
| 任务 | 相关角色 |
|---|---|
| 主动和互动式地排查问题,并确保基础设施在多个网域中的可靠性和可伸缩性 Google Cloud |
roles/iam.siteReliabilityEngineerroles/iam.supportUser |
| 在多个网域中广泛部署、更新和探索 Google Cloud 基础设施 在多个网域中 |
roles/iam.infrastructureAdminroles/iam.devOpsroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| 探索、了解和排查网络基础设施问题 |
roles/iam.networkAdminroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| 通过数据处理、 转换和分析流水线 与数据互动并分析数据 |
roles/iam.dataScientistroles/logging.viewerroles/monitoring.viewer |
| 部署、更新和排查数据库问题 |
roles/iam.databaseAdminroles/logging.viewerroles/monitoring.viewer |
| 详细了解和分析应用的费用 |
roles/cloudhub.operatorroles/monitoring.viewerroles/logging.viewer |
| 浏览和查看 Google Cloud 资源、文件夹层次结构、日志、 安全配置和关键资源元数据。 |
roles/iam.securityAuditor |
| 将 Gemini Cloud Assist 与 Storage Insights 数据集 搭配使用,以了解 Cloud Storage 存储空间用量。 |
roles/bigquery.jobUserroles/bigquery.dataViewerroles/storageinsights.viewer |