このページでは、Gemini Cloud Assist を正常に使用するためにユーザーが必要とする Identity and Access Management のロールについて説明します。Gemini Cloud Assist の設定については、Gemini Cloud Assist を設定するをご覧ください。
概要
Google Cloud リソースに関する質問やリクエストをサポートするには、Gemini Cloud Assist にそれらのリソースに対する適切な IAM 権限が必要です。Gemini Cloud Assist には、Gemini Cloud Assist にクエリを実行するユーザーと同じ権限が付与されているため、多くの場合、必要な IAM 権限はすでに付与されています。
Gemini Cloud Assist の使用のための IAM ロール
Gemini Cloud Assist の一般的な使用には、次の IAM ロールをおすすめします。
| IAM ロール | メモ |
|---|---|
| Gemini Cloud Assist ユーザー | このロールにより、Gemini Cloud Assist の使用権限がユーザーに付与されます。これには、エージェントの呼び出し、チャット、エージェント アーティファクトの作成、ユーザーが所有するアーティファクトの共有が含まれます。 |
| Cloud Asset 閲覧者 | このロールにより、ユーザーの質問に関連するアセットのトポロジをユーザーのエージェントが検出できます。これは、Cloud Asset Inventory が Google Cloud アセットとそれに関連するメタデータを管理しているためです。アセットには、 Google Cloud リソース、ポリシー、構成が含まれます。 |
Gemini Cloud Assist で使用可能な IAM ロール
通常、Gemini Cloud Assist の使用におすすめの IAM ロールは Gemini Cloud Assist ユーザーです。場合によっては、このロールを別の Gemini Cloud Assist ロールに切り替える必要があります。次の表に、使用できるさまざまな Gemini Cloud Assist のロールを示します。
| IAM ロール | 関数 |
|---|---|
| Gemini Cloud Assist 閲覧者 | このロールにより、ユーザーは調査やレポートなどのエージェント アーティファクトを表示し、エージェント構成を表示できます。このロールは、Gemini Cloud Assist ユーザーロールよりも制限されたアクセス権を付与します。たとえば、Gemini Cloud Assist 閲覧者ロールでは、エージェントの呼び出しやエージェントとのチャットの権限は付与されません。 |
| Gemini Cloud Assist ユーザー | このロールにより、Gemini Cloud Assist の使用権限がユーザーに付与されます。これには、エージェントの呼び出し、チャット、エージェント アーティファクトの作成、ユーザーが所有するアーティファクトの共有が含まれます。 |
| Gemini Cloud Assist 編集者 | このロールにより、Gemini Cloud Assist の編集権限がユーザーに付与されます。編集者ロールには、Gemini Cloud Assist ユーザーロールに含まれる権限に加えて、チャット トピックの削除、エージェント アーティファクトの削除、特定のエージェント構成の更新を行う権限が含まれています。 |
| Gemini Cloud Assist 管理者 | このロールにより、Gemini Cloud Assist の管理者権限がユーザーに付与されます。管理者ロールには、Gemini Cloud Assist 編集者ロールに含まれる権限に加えて、事前対応型エージェントとデータ共有の有効化、エージェントに対する権限の付与、アーティファクトのプロジェクト全体での共有など、Gemini Cloud Assist のさまざまなポリシーを構成できる権限が含まれています。 |
特定の IAM 権限
Gemini Cloud Assist の機能に重要な特定の IAM 権限は次のとおりです。この情報は、カスタム IAM ロールを作成する際に使用します。
| IAM 権限 | 関数 |
|---|---|
geminicloudassist.agents.invoke
|
Gemini Cloud Assist エージェントとのメッセージの送受信。 |
cloudaicompanion.topics.create
|
Gemini Cloud Assist とのチャットを開始します。 |
cloudaicompanion.geminiGcpEnablementSettings.update
|
Gemini Cloud Assist の管理者設定を構成します。 |
mcp.tools.call
|
MCP を介して Gemini Cloud Assist エージェントにメッセージを送受信します。 |
チャットに必要な権限
Gemini Cloud Assist のチャットパネルでは、トピックと呼ばれるバックエンド リソースが使用されます。チャットを開始すると、Gemini Cloud Assist はトピック リソースを作成し、そのトピックに対する roles/cloudaicompanion.topicAdmin ロールを付与します。このロールには cloudaicompanion.topics.update 権限が含まれています。この動作は、トピックを作成したユーザーのみがチャットを表示して更新できることを意味します。
Gemini Cloud Assist がユーザーに roles/cloudaicompanion.topicAdmin を付与できないようにするカスタム制約が組織に設定されている場合、チャット セッションを開始しようとすると失敗します。この問題を解決するには、特定のロールの付与を許可するように組織のカスタム制約を更新するよう管理者に依頼してください。
さまざまなユースケースでの IAM ロールの推奨事項
Gemini Cloud Assist の使用のための IAM ロールから付与されたアクセス権に加えて、Gemini Cloud Assist を介して実行されるタスクには、そのタスクに関連するGoogle Cloud リソースへのアクセス権が必要です。次に例を示します。
エージェントを使用して GKE アプリケーションの健全性を把握している場合は、GKE とその関連リソースの IAM 権限が最も重要です。
エージェントを使用してデータ処理ジョブをデプロイしている場合は、Dataflow、Managed Service for Apache Spark、BigQuery の IAM 権限が最も重要になる可能性があります。
必要な IAM 権限は、タスクが存在する特定のドメインによって異なります。これらの権限を含む適切な IAM ロールは、ユースケースによって異なります。ユーザーまたはエージェント ID に必要なロールがわからない場合は、次の職務機能 IAM ロールから始めることをおすすめします。
| タスク | 関連するロール |
|---|---|
| 複数のドメインにわたる Google Cloud インフラストラクチャの信頼性とスケーラビリティのトラブルシューティングと確保(事前対応とインタラクティブ対応の両方) |
roles/iam.siteReliabilityEngineerroles/iam.supportUser |
| 複数のドメインにわたって Google Cloud インフラストラクチャを幅広くデプロイ、更新、探索する |
roles/iam.infrastructureAdminroles/iam.devOpsroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| ネットワーク インフラストラクチャの確認、理解、トラブルシューティング |
roles/iam.networkAdminroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| データ処理、変換、分析パイプラインを介してデータを操作し、分析する |
roles/iam.dataScientistroles/logging.viewerroles/monitoring.viewer |
| データベースのデプロイ、更新、トラブルシューティング |
roles/iam.databaseAdminroles/logging.viewerroles/monitoring.viewer |
| アプリケーションの費用を詳細に把握して分析する |
roles/cloudhub.operatorroles/monitoring.viewerroles/logging.viewer |
| Google Cloud リソース、フォルダ階層、ログ、セキュリティ構成、キーリソースのメタデータを閲覧して確認する。 |
roles/iam.securityAuditor |
| Storage Insights データセットで Gemini Cloud Assist を使用して Cloud Storage の使用状況を把握する。 |
roles/bigquery.jobUserroles/bigquery.dataViewerroles/storageinsights.viewer |