Cette page décrit les rôles Identity and Access Management dont les utilisateurs ont besoin pour utiliser Gemini Cloud Assist. Pour savoir comment configurer Gemini Cloud Assist, consultez Configurer Gemini Cloud Assist.
Présentation
Pour répondre aux questions et aux demandes concernant vos ressources Google Cloud , Gemini Cloud Assist a besoin des autorisations IAM appropriées pour ces ressources. Gemini Cloud Assist dispose des mêmes autorisations que l'utilisateur qui interroge Gemini Cloud Assist. Dans de nombreux cas, les autorisations IAM nécessaires sont donc déjà accordées.
Rôles IAM pour utiliser Gemini Cloud Assist
Les rôles IAM suivants sont recommandés pour une utilisation générale de Gemini Cloud Assist :
| Rôle IAM | Notes |
|---|---|
| Utilisateur Gemini Cloud Assist | Ce rôle permet aux utilisateurs d'utiliser Gemini Cloud Assist, y compris d'appeler des agents, de discuter, de créer des artefacts d'agent et de partager des artefacts appartenant à l'utilisateur. |
| Lecteur d'éléments Cloud | Ce rôle permet à l'agent de l'utilisateur de découvrir la topologie des composants pertinents pour la question de l'utilisateur, car Cloud Asset Inventory gère les composants Google Cloud et les métadonnées associées. Les composants incluent vos ressources, vos règles et vos configurations Google Cloud . |
Rôles IAM disponibles pour Gemini Cloud Assist
Dans la plupart des cas, le rôle IAM recommandé pour utiliser Gemini Cloud Assist est Utilisateur Gemini Cloud Assist. Dans certains cas, vous pouvez remplacer ce rôle par un autre rôle Gemini Cloud Assist. Le tableau suivant liste les différents rôles Gemini Cloud Assist que vous pouvez utiliser :
| Rôle IAM | Fonction |
|---|---|
| Lecteur Gemini Cloud Assist | Ce rôle permet aux utilisateurs d'afficher les artefacts d'agent, tels que les investigations ou les rapports, ainsi que les configurations d'agent. Ce rôle accorde un accès plus limité que le rôle Utilisateur Gemini Cloud Assist. Par exemple, le rôle Lecteur Gemini Cloud Assist n'autorise pas l'appel de l'agent ni la discussion avec lui. |
| Utilisateur Gemini Cloud Assist | Ce rôle permet aux utilisateurs d'utiliser Gemini Cloud Assist, y compris d'appeler des agents, de discuter, de créer des artefacts d'agent et de partager des artefacts appartenant à l'utilisateur. |
| Éditeur Gemini Cloud Assist | Ce rôle permet aux utilisateurs de modifier Gemini Cloud Assist. En plus des autorisations contenues dans le rôle Utilisateur Gemini Cloud Assist, le rôle d'éditeur contient les autorisations permettant de supprimer des thèmes de discussion et des artefacts d'agent, et de mettre à jour des configurations d'agent spécifiques. |
| Administrateur Gemini Cloud Assist | Ce rôle accorde aux utilisateurs des autorisations d'administrateur pour Gemini Cloud Assist. En plus des autorisations contenues dans le rôle Éditeur Gemini Cloud Assist, le rôle Administrateur contient des autorisations qui vous permettent de configurer différentes règles de Gemini Cloud Assist, comme l'activation des agents proactifs et du partage de données, d'accorder des autorisations sur les agents et de partager des artefacts à l'échelle du projet. |
Autorisations IAM spécifiques
Voici des autorisations IAM spécifiques qui sont importantes pour le fonctionnement de Gemini Cloud Assist. Utilisez ces informations lorsque vous créez des rôles IAM personnalisés.
| Autorisation IAM | Fonction |
|---|---|
geminicloudassist.agents.invoke
|
Envoyer et recevoir des messages aux agents Gemini Cloud Assist. |
cloudaicompanion.topics.create
|
Démarrer une discussion avec Gemini Cloud Assist. |
cloudaicompanion.geminiGcpEnablementSettings.update
|
Configurer les paramètres d'administrateur pour Gemini Cloud Assist |
mcp.tools.call
|
Envoyer et recevoir des messages aux agents Gemini Cloud Assist via MCP. |
Autorisations requises pour le chat
Le panneau de chat Gemini Cloud Assist utilise une ressource de backend appelée thème. Lorsque vous démarrez une discussion, Gemini Cloud Assist crée une ressource de sujet et vous attribue le rôle roles/cloudaicompanion.topicAdmin pour ce sujet, qui inclut l'autorisation cloudaicompanion.topics.update. Cela signifie qu'une discussion n'est visible et modifiable que par l'utilisateur qui a créé le sujet.
Si votre organisation dispose d'une contrainte personnalisée qui empêche Gemini Cloud Assist d'accorder roles/cloudaicompanion.topicAdmin aux utilisateurs, votre tentative de démarrage d'une session de chat échoue. Pour résoudre le problème, demandez à votre administrateur de mettre à jour les contraintes personnalisées de l'organisation afin d'autoriser l'attribution de rôles spécifiques.
Recommandations de rôles IAM pour différents cas d'utilisation
En plus de l'accès accordé par les rôles IAM pour utiliser Gemini Cloud Assist, les tâches effectuées avec Gemini Cloud Assist nécessitent d'accéder aux ressourcesGoogle Cloud qui leur sont associées. Exemple :
Si vous utilisez des agents pour comprendre l'état des applications GKE, les autorisations IAM pour GKE et ses ressources associées sont les plus importantes.
Si vous utilisez des agents pour déployer des jobs de traitement de données, les autorisations IAM pour Dataflow, Managed Service pour Apache Spark ou BigQuery peuvent être les plus importantes.
Les autorisations IAM nécessaires dépendent du domaine spécifique dans lequel se trouvent vos tâches. Les rôles IAM appropriés qui contiennent ces autorisations varient selon le cas d'utilisation. Les rôles IAM suivants basés sur les fonctions constituent un bon point de départ si vous ne savez pas quels rôles attribuer aux utilisateurs ou aux identités d'agent.
| Tâche | Rôles concernés |
|---|---|
| Résoudre les problèmes et assurer la fiabilité et l'évolutivité de l'infrastructure Google Cloud dans plusieurs domaines, de manière proactive et interactive |
roles/iam.siteReliabilityEngineerroles/iam.supportUser |
| Déployer, mettre à jour et explorer l'infrastructure Google Cloud de manière générale dans plusieurs domaines |
roles/iam.infrastructureAdminroles/iam.devOpsroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| Explorer, comprendre et dépanner votre infrastructure réseau |
roles/iam.networkAdminroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| Interagir avec les données et les analyser à l'aide de pipelines de traitement, de transformation et d'analyse des données |
roles/iam.dataScientistroles/logging.viewerroles/monitoring.viewer |
| Déployer, mettre à jour et dépanner des bases de données |
roles/iam.databaseAdminroles/logging.viewerroles/monitoring.viewer |
| Comprendre et analyser en détail les coûts de votre application |
roles/cloudhub.operatorroles/monitoring.viewerroles/logging.viewer |
| Parcourir et afficher les ressources Google Cloud , la hiérarchie des dossiers, les journaux, la configuration de sécurité et les principales métadonnées des ressources. |
roles/iam.securityAuditor |
| Utiliser Gemini Cloud Assist avec les ensembles de données Storage Insights pour comprendre votre utilisation de Cloud Storage. |
roles/bigquery.jobUserroles/bigquery.dataViewerroles/storageinsights.viewer |