Gemini Cloud Assist는 권한 및 감사를 관리하기 위해 두 가지 고유한 ID 모드를 사용하여 작동합니다. 사용되는 모드는 작업이 트리거되는 방식(사용자가 대화형으로 트리거하는지 또는 시스템이 사전 예방적으로 트리거하는지)에 따라 다릅니다.
ID 모드 요약
다음 표에는 각 모드의 보안 및 권한 모델이 요약되어 있습니다.
| ID 모드 | 트리거 | 권한 소스 |
|---|---|---|
| 최종 사용자 ID | 채팅 및 대화형 요청 | 개인 IAM 권한 |
| 에이전트 ID | 자율 백그라운드 작업 | 전용 서비스 계정 |
최종 사용자 ID
채팅 패널을 통해 Gemini Cloud Assist와 상호작용하면 서비스에서 최종 사용자 ID를 사용합니다.
이 모드에서 Gemini Cloud Assist는 리소스에 액세스하고 작업을 수행하기 위해 기존 권한을 상속합니다. 어시스턴트는 사용자에게 액세스 권한이 없는 리소스를 보거나 수정할 수 없습니다. 리소스 변경이라고 하는 모든 상태 변경 작업에는 명시적인 동의가 필요하며 ID에 따라 Cloud 감사 로그에 기록됩니다.
에이전트 ID
Gemini Cloud Assist가 자율 백그라운드 작업을 수행할 때(예: 알림 조사 또는 비용 이상 분석) 전용 에이전트 ID를 사용합니다. 사전 예방적 알림 조사는 로그 기반 알림을 지원하지 않습니다.
에이전트 ID는 프로젝트에 고유한 시스템 프로비저닝 IAM 보안 주체입니다. 이를 통해 Gemini Cloud Assist는 엄격한 보안 경계를 유지하면서 활성 사용자 세션 없이도 작동할 수 있습니다.
거버넌스 및 제어
관리자는 다음 메커니즘을 통해 에이전트 ID를 관리합니다.
- 구성 가능한 권한: 사용자 ID와 달리 관리자는 에이전트 ID에 IAM 역할을 명시적으로 부여해야 합니다.
- 범위 지정 액세스: 기본적으로 에이전트는 읽기 전용 원격 분석 및 로그로 제한됩니다. 특별히 승인되지 않는 한 데이터베이스 또는 스토리지 버킷의 민감한 정보에 액세스할 수 없습니다.
- 감사 로깅: 모든 자율 작업은 완전히 감사 로깅됩니다. 사전 예방적 결과는 사용자 시작 작업과 구분하기 위해 Google Cloud 콘솔에서 시스템 생성으로 태그 지정됩니다.
다음 단계
- 사전 예방적 모드를 설정하고 에이전트 ID를 프로비저닝합니다.
- 알림 정책에 대한 사전 예방적 조사를 구성하는 방법을 알아봅니다.
- 사용자 및 에이전트의 IAM 요구사항을 검토합니다.