En esta página, se describen los roles de Identity and Access Management que los usuarios necesitan para usar Gemini Cloud Assist correctamente. Para obtener información sobre cómo configurar Gemini Cloud Assist, consulta Configura Gemini Cloud Assist.
Descripción general
Para responder preguntas y solicitudes sobre tus recursos de Google Cloud , Gemini Cloud Assist necesita los permisos de IAM adecuados para esos recursos. Gemini Cloud Assist tiene los mismos permisos que el usuario que realiza la consulta, por lo que, en muchos casos, los permisos de IAM necesarios ya se otorgan.
Roles de IAM para usar Gemini Cloud Assist
Se recomiendan los siguientes roles de IAM para el uso general de Gemini Cloud Assist:
| Rol de IAM | Notas |
|---|---|
| Usuario de Gemini Cloud Assist | Este rol otorga a los usuarios permiso para usar Gemini Cloud Assist, lo que incluye invocar agentes, chatear, crear artefactos de agentes y compartir artefactos que son propiedad del usuario. |
| Visualizador de Cloud Asset | Este rol permite que el agente del usuario descubra la topología de los recursos relevantes para la pregunta del usuario, ya que Cloud Asset Inventory administra Google Cloud recursos y los metadatos asociados a ellos. Los recursos incluyen tus recursos, políticas y configuraciones de Google Cloud . |
Roles de IAM disponibles para Gemini Cloud Assist
En la mayoría de los casos, el rol de IAM recomendado para usar Gemini Cloud Assist es Usuario de Gemini Cloud Assist. En algunos casos, es posible que desees cambiar este rol por otro rol de Gemini Cloud Assist. En la siguiente tabla, se enumeran los diferentes roles de Gemini Cloud Assist que puedes usar:
| Rol de IAM | Función |
|---|---|
| Visualizador de Gemini Cloud Assist | Este rol otorga a los usuarios permiso para ver artefactos del agente, como investigaciones o informes, y ver la configuración del agente. Este rol otorga un acceso más limitado en comparación con el rol de Usuario de Gemini Cloud Assist. Por ejemplo, el rol de Visualizador de Gemini Cloud Assist no otorga permiso para invocar al agente ni chatear con él. |
| Usuario de Gemini Cloud Assist | Este rol otorga a los usuarios permiso para usar Gemini Cloud Assist, lo que incluye invocar agentes, chatear, crear artefactos de agentes y compartir artefactos que son propiedad del usuario. |
| Editor de Gemini Cloud Assist | Este rol otorga a los usuarios permisos de editor para Gemini Cloud Assist. Además de los permisos incluidos en el rol de Usuario de Gemini Cloud Assist, el rol de editor contiene permisos para borrar temas de chat, borrar artefactos de agentes y actualizar configuraciones específicas de agentes. |
| Administrador de Gemini Cloud Assist | Este rol otorga a los usuarios permisos de administrador para Gemini Cloud Assist. Además de los permisos incluidos en el rol de Editor de Gemini Cloud Assist, el rol de administrador contiene permisos que te permiten configurar diferentes políticas de Gemini Cloud Assist, como habilitar agentes proactivos y el uso compartido de datos, otorgar permisos en agentes y compartir artefactos en todo el proyecto. |
Permisos de IAM específicos
A continuación, se indican permisos específicos de IAM que son importantes para el funcionamiento de Gemini Cloud Assist. Usa esta información cuando crees roles personalizados de IAM.
| Permisos de IAM | Función |
|---|---|
geminicloudassist.agents.invoke
|
Enviar y recibir mensajes a los agentes de Gemini Cloud Assist |
cloudaicompanion.topics.create
|
Se inicia un chat con Gemini Cloud Assist. |
cloudaicompanion.geminiGcpEnablementSettings.update
|
Configura los parámetros de administrador de Gemini Cloud Assist. |
mcp.tools.call
|
Envío y recepción de mensajes a los agentes de Gemini Cloud Assist a través de MCP. |
Permisos necesarios para el chat
El panel de chat de Gemini Cloud Assist usa un recurso de backend llamado tema. Cuando inicias un chat, Gemini Cloud Assist crea un recurso de tema y te otorga el rol roles/cloudaicompanion.topicAdmin para ese tema, que incluye el permiso cloudaicompanion.topics.update. Este comportamiento significa que solo el usuario que creó el tema puede ver y actualizar el chat.
Si tu organización tiene una restricción personalizada que impide que Gemini Cloud Assist otorgue roles/cloudaicompanion.topicAdmin a los usuarios, tu intento de iniciar una sesión de chat fallará. Para solucionar el problema, pídele a tu administrador que actualice las restricciones personalizadas de la organización para permitir que se otorguen roles específicos.
Recomendaciones de roles de IAM para diferentes casos de uso
Además del acceso que se otorga a través de los roles de IAM para usar Gemini Cloud Assist, las tareas que se realizan a través de Gemini Cloud Assist requieren acceso a los recursos deGoogle Cloud que son relevantes para esa tarea. Por ejemplo:
Si usas agentes para comprender el estado de las aplicaciones de GKE, los permisos de IAM para GKE y sus recursos asociados son los más importantes.
Si usas agentes para implementar trabajos de procesamiento de datos, los permisos de IAM para Dataflow, Managed Service para Apache Spark o BigQuery podrían ser los más importantes.
Los permisos de IAM necesarios dependen del dominio específico en el que se encuentran tus tareas. A su vez, los roles de IAM adecuados que contienen estos permisos varían según el caso de uso. Los siguientes roles de IAM basados en la función laboral proporcionan un buen punto de partida si no sabes qué roles deben tener los usuarios o las identidades de agentes.
| Tarea | Roles relevantes |
|---|---|
| Solucionar problemas y garantizar la confiabilidad y la escalabilidad de la infraestructura de Google Cloud de forma general en varios dominios, tanto de forma proactiva como interactiva |
roles/iam.siteReliabilityEngineerroles/iam.supportUser |
| Implementar, actualizar y explorar la infraestructura de Google Cloud manera general en varios dominios |
roles/iam.infrastructureAdminroles/iam.devOpsroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| Explora, comprende y soluciona problemas de tu infraestructura de red |
roles/iam.networkAdminroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| Interactuar con los datos y analizarlos a través de canalizaciones de procesamiento, transformación y análisis de datos |
roles/iam.dataScientistroles/logging.viewerroles/monitoring.viewer |
| Implementación, actualización y solución de problemas de bases de datos |
roles/iam.databaseAdminroles/logging.viewerroles/monitoring.viewer |
| Comprende y analiza en detalle los costos de tu aplicación |
roles/cloudhub.operatorroles/monitoring.viewerroles/logging.viewer |
| Explorar y ver Google Cloud recursos, jerarquía de carpetas, registros, configuración de seguridad y metadatos clave de los recursos |
roles/iam.securityAuditor |
| Usa Cloud Storage con conjuntos de datos de Storage Insights para comprender tu uso del almacenamiento en la nube. |
roles/bigquery.jobUserroles/bigquery.dataViewerroles/storageinsights.viewer |