Gemini Cloud Assist를 사용하기 위한 IAM 요구사항

이 페이지에서는 사용자가 Gemini Cloud Assist를 성공적으로 사용하는 데 필요한 Identity and Access Management 역할을 설명합니다. Gemini Cloud Assist 설정에 대한 자세한 내용은 Gemini Cloud Assist 설정을 참조하세요.

개요

Google Cloud 리소스에 대한 질문과 요청을 지원하려면 Gemini Cloud Assist에 해당 리소스에 대한 적절한 IAM 권한이 필요합니다. Gemini Cloud Assist에는 Gemini Cloud Assist를 쿼리하는 사용자와 동일한 권한이 있으므로 대부분의 경우 필요한 IAM 권한이 이미 부여되어 있습니다.

Gemini Cloud Assist 사용을 위한 IAM 역할

Gemini Cloud Assist의 일반적인 사용에는 다음 IAM 역할이 권장됩니다.

IAM 역할	참고
Gemini Cloud Assist 사용자	이 역할을 통해 사용자는 에이전트 호출, 채팅, 에이전트 아티팩트 만들기, 사용자가 소유한 아티팩트 공유를 비롯한 Gemini Cloud Assist를 사용할 수 있습니다.
Cloud 애셋 뷰어	이 역할을 사용하면 Cloud 애셋 인벤토리가 애셋 및 이러한 애셋과 연결된 메타데이터를 관리하므로 사용자의 에이전트가 사용자의 질문과 관련된 애셋의 토폴로지를 검색할 수 있습니다. Google Cloud 애셋에는 리소스, 정책, 구성이 포함됩니다. Google Cloud

Gemini Cloud Assist에 사용 가능한 IAM 역할

대부분의 경우 Gemini Cloud Assist를 사용하는 데 권장되는 IAM 역할은 Gemini Cloud Assist 사용자 입니다. 경우에 따라 이 역할을 다른 Gemini Cloud Assist 역할로 전환할 수 있습니다. 다음 표에는 사용할 수 있는 다양한 Gemini Cloud Assist 역할이 나와 있습니다.

IAM 역할	함수
Gemini Cloud Assist 뷰어	이 역할을 통해 사용자는 조사 또는 보고서와 같은 에이전트 아티팩트를 보고 에이전트 구성을 볼 수 있습니다. 이 역할 은 Gemini Cloud Assist 사용자 역할에 비해 액세스 권한이 제한적입니다. 예를 들어 Gemini Cloud Assist 뷰어 역할은 에이전트를 호출하거나 에이전트와 채팅할 수 있는 권한을 부여하지 않습니다.
Gemini Cloud Assist 사용자	이 역할을 통해 사용자는 에이전트 호출, 채팅, 에이전트 아티팩트 만들기, 사용자가 소유한 아티팩트 공유를 비롯한 Gemini Cloud Assist를 사용할 수 있습니다.
Gemini Cloud Assist 편집자	이 역할을 통해 사용자에게 Gemini Cloud Assist에 대한 편집자 권한이 부여됩니다. 편집자 역할에는 Gemini Cloud Assist 사용자 역할에 포함된 권한 외에도 채팅 주제 삭제, 에이전트 아티팩트 삭제, 특정 에이전트 구성 업데이트 권한이 포함되어 있습니다.
Gemini Cloud Assist 관리자	이 역할을 통해 사용자에게 Gemini Cloud Assist에 대한 관리 권한이 부여됩니다. 관리자 역할에는 Gemini Cloud Assist 편집자 역할에 포함된 권한 외에도 사전 예방적 에이전트 및 데이터 공유 사용 설정, 에이전트에 대한 권한 부여, 프로젝트 전반에 아티팩트 공유와 같은 Gemini Cloud Assist의 다양한 정책을 구성할 수 있는 권한이 포함되어 있습니다.

특정 IAM 권한

다음은 Gemini Cloud Assist의 작동에 중요한 특정 IAM 권한입니다. 커스텀 IAM 역할을 만들 때 이 정보를 사용하세요.

IAM 권한	함수
geminicloudassist.agents.invoke	Gemini Cloud Assist 에이전트로 메시지를 보내고 받습니다.
cloudaicompanion.topics.create	Gemini Cloud Assist와 채팅을 시작합니다.
cloudaicompanion.geminiGcpEnablementSettings.update	Gemini Cloud Assist의 관리자 설정을 구성합니다.
mcp.tools.call	MCP를 통해 Gemini Cloud Assist 에이전트로 메시지를 보내고 받습니다.

채팅에 필요한 권한

Gemini Cloud Assist 채팅 패널 은 주제라는 백엔드 리소스를 사용합니다. 채팅을 시작하면 Gemini Cloud Assist에서 주제 리소스를 만들고 해당 주제에 대해 cloudaicompanion.topics.update 권한이 포함된 roles/cloudaicompanion.topicAdmin 역할을 부여합니다. 이 동작은 주제를 만든 사용자만 채팅을 보고 업데이트할 수 있음을 의미합니다.

조직에 Gemini Cloud Assist가 사용자에게 roles/cloudaicompanion.topicAdmin을 부여하지 못하도록 하는 커스텀 제약조건이 있는 경우 채팅 세션을 시작하려는 시도가 실패합니다. 이 문제를 해결하려면 관리자에게 조직의 커스텀 제약조건을 업데이트하여 특정 역할을 부여할 수 있도록요청하세요.

다양한 사용 사례에 대한 IAM 역할 권장사항

Gemini Cloud Assist 사용을 위한 IAM 역할에서 부여된 액세스 권한 외에도, Gemini Cloud Assist를 통해 수행되는 작업에는 해당 작업과 관련된 Google Cloud 리소스에 대한 액세스 권한이 필요합니다. 예를 들면 다음과 같습니다.

• 에이전트를 사용하여 GKE 애플리케이션의 상태를 파악하는 경우 GKE 및 관련 리소스에 대한 IAM 권한이 가장 중요합니다.

• 에이전트를 사용하여 데이터 처리 작업을 배포하는 경우 Dataflow, Managed Service for Apache Spark 또는 BigQuery에 대한 IAM 권한이 가장 중요할 수 있습니다.

필요한 IAM 권한은 작업이 속한 특정 도메인에 따라 다릅니다. 이러한 권한이 포함된 적절한 IAM 역할은 사용 사례에 따라 다릅니다. 사용자 또는 에이전트 ID에 어떤 역할이 있어야 하는지 잘 모르는 경우 다음 직무 IAM 역할이 좋은 시작점이 됩니다.

작업	관련 직무
여러 도메인에서 사전 예방적 및 대화형으로 Google Cloud 인프라의 안정성과 확장성을 광범위하게 문제 해결하고 보장	roles/iam.siteReliabilityEngineer roles/iam.supportUser
여러 도메인에서 인프라를 광범위하게 배포, 업데이트, 탐색 Google Cloud	roles/iam.infrastructureAdmin roles/iam.devOps roles/logging.viewer roles/monitoring.viewer roles/cloudtrace.user roles/apptopology.viewer
네트워크 인프라 탐색, 이해, 문제 해결	roles/iam.networkAdmin roles/logging.viewer roles/monitoring.viewer roles/cloudtrace.user roles/apptopology.viewer
데이터 처리, 변환, 분석 파이프라인을 통해 데이터와 상호작용하고 분석	roles/iam.dataScientist roles/logging.viewer roles/monitoring.viewer
데이터베이스 배포, 업데이트, 문제 해결	roles/iam.databaseAdmin roles/logging.viewer roles/monitoring.viewer
애플리케이션 비용을 자세히 파악하고 분석	roles/cloudhub.operator roles/monitoring.viewer roles/logging.viewer
리소스, 폴더 계층 구조, 로그, 보안 구성, 주요 리소스 메타데이터를 탐색하고 확인 Google Cloud	roles/iam.securityAuditor
Storage Insights 데이터 세트와 함께 Gemini Cloud Assist 를 사용하여 Cloud Storage 사용량을 파악	roles/bigquery.jobUser roles/bigquery.dataViewer roles/storageinsights.viewer