本頁面說明使用者必須具備哪些 Identity and Access Management 角色,才能順利使用 Gemini Cloud Assist。如要瞭解如何設定 Gemini Cloud Assist,請參閱「設定 Gemini Cloud Assist」。
總覽
如要支援有關 Google Cloud 資源的問題和要求,Gemini Cloud Assist 必須具備這些資源的適當 IAM 權限。Gemini Cloud Assist 具有查詢 Gemini Cloud Assist 的使用者權限,因此在許多情況下,必要的 IAM 權限已授予。
使用 Gemini Cloud Assist 的 IAM 角色
一般使用 Gemini Cloud Assist 時,建議採用下列 IAM 角色:
| IAM 角色 | 附註 |
|---|---|
| Gemini Cloud Assist 使用者 | 這個角色可授予使用者 Gemini Cloud Assist 的使用權限,包括呼叫代理程式、對話、建立代理程式構件,以及分享使用者擁有的構件。 |
| Cloud Asset Viewer | 這個角色可讓使用者代理程式探索與使用者問題相關的資產拓撲,因為 Cloud Asset Inventory 會管理資產和與這些資產相關聯的中繼資料。 Google Cloud 資產包括 Google Cloud 資源、政策和設定。 |
Gemini Cloud Assist 適用的 IAM 角色
在大部分情況下,建議您使用 Gemini Cloud Assist 使用者 IAM 角色。在某些情況下,您可能想將這個角色切換為其他 Gemini Cloud Assist 角色。下表列出可使用的不同 Gemini Cloud Assist 角色:
| IAM 角色 | 函式 |
|---|---|
| Gemini Cloud Assist 檢視者 | 這個角色可授予使用者權限,查看代理程式構件 (例如調查或報表) 和代理程式設定。相較於 Gemini Cloud Assist 使用者角色,這個角色授予的存取權較為有限。舉例來說,Gemini Cloud Assist 檢視者角色不會授予叫用或與代理程式對話的權限。 |
| Gemini Cloud Assist 使用者 | 這個角色可授予使用者 Gemini Cloud Assist 的使用權限,包括呼叫代理程式、對話、建立代理程式構件,以及分享使用者擁有的構件。 |
| Gemini Cloud Assist 編輯者 | 這個角色會授予使用者 Gemini Cloud Assist 的編輯器權限。 除了 Gemini Cloud Assist 使用者角色所含的權限外,編輯者角色還包含刪除對話主題、刪除代理程式構件,以及更新特定代理程式設定的權限。 |
| Gemini Cloud Assist 管理員 | 使用者具備這項角色後,就能取得 Gemini Cloud Assist 的管理員權限。除了 Gemini Cloud Assist 編輯者角色所含的權限外,管理員角色還包含可設定 Gemini Cloud Assist 各項政策的權限,例如啟用主動式代理程式和資料共用、授予代理程式權限,以及在專案中分享構件。 |
特定 IAM 權限
以下是 Gemini Cloud Assist 運作時需要的重要 IAM 權限。建立自訂 IAM 角色時,請使用這項資訊。
| IAM 權限 | 函式 |
|---|---|
geminicloudassist.agents.invoke
|
與 Gemini Cloud Assist 服務專員收發訊息。 |
cloudaicompanion.topics.create
|
發起與 Gemini Cloud Assist 的對話。 |
cloudaicompanion.geminiGcpEnablementSettings.update
|
設定 Gemini Cloud Assist 的管理員設定。 |
mcp.tools.call
|
透過 MCP 傳送訊息給 Gemini Cloud Assist 代理程式,並接收回覆。 |
即時通訊所需的權限
Gemini Cloud Assist 對話面板會使用名為「主題」的後端資源。開始對話時,Gemini Cloud Assist 會建立主題資源,並授予您該主題的 roles/cloudaicompanion.topicAdmin 角色,其中包含 cloudaicompanion.topics.update 權限。也就是說,只有建立主題的使用者可以查看及更新對話。
如果貴機構有自訂限制,禁止 Gemini Cloud Assist 授予使用者 roles/cloudaicompanion.topicAdmin,您就無法啟動即時通訊工作階段。如要修正這個問題,請管理員更新機構的自訂限制,允許授予特定角色。
不同用途的 IAM 角色建議
除了使用 Gemini Cloud Assist 的 IAM 角色授予的存取權之外,透過 Gemini Cloud Assist 執行的工作也需要存取Google Cloud 與該工作相關的資源。例如:
如果您使用代理程式瞭解 GKE 應用程式的健康狀態,那麼 GKE 及其相關聯資源的 IAM 權限就非常重要。
如果您使用代理程式部署資料處理工作,則 Dataflow、Managed Service for Apache Spark 或 BigQuery 的 IAM 權限可能最為重要。
必要的 IAM 權限取決於工作所在的特定網域。因此,包含這些權限的適當 IAM 角色會因用途而異。如果您不確定使用者或代理程式身分應具備哪些角色,下列職務 IAM 角色可做為良好的起點。
| 工作 | 相關角色 |
|---|---|
| 疑難排解,並確保多個網域的基礎架構在廣泛範圍內具有可靠性和擴充性,包括主動和互動式 Google Cloud |
roles/iam.siteReliabilityEngineerroles/iam.supportUser |
| 在多個網域中廣泛部署、更新及探索基礎架構 Google Cloud |
roles/iam.infrastructureAdminroles/iam.devOpsroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| 探索、瞭解及排解網路基礎架構問題 |
roles/iam.networkAdminroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| 透過資料處理、轉換和分析管道與資料互動及分析資料 |
roles/iam.dataScientistroles/logging.viewerroles/monitoring.viewer |
| 部署、更新及排解資料庫問題 |
roles/iam.databaseAdminroles/logging.viewerroles/monitoring.viewer |
| 詳細瞭解及分析應用程式的費用 |
roles/cloudhub.operatorroles/monitoring.viewerroles/logging.viewer |
| 瀏覽及查看 Google Cloud 資源、資料夾階層、記錄、安全性設定和重要資源中繼資料。 |
roles/iam.securityAuditor |
| 使用 Gemini Cloud Assist 和 儲存空間分析資料集,瞭解 Cloud Storage 儲存空間用量。 |
roles/bigquery.jobUserroles/bigquery.dataViewerroles/storageinsights.viewer |