Nesta página, discutimos os papéis do Identity and Access Management (IAM) que os usuários precisam para usar o Gemini Cloud Assist. Para informações sobre como configurar o Gemini Cloud Assist, consulte Configurar o Gemini Cloud Assist.
Visão geral
Para responder a perguntas e solicitações sobre seus recursos do Google Cloud , o Gemini Cloud Assist precisa das permissões do IAM adequadas para esses recursos. O Gemini Cloud Assist tem as mesmas permissões do usuário que faz a consulta. Portanto, em muitos casos, as permissões necessárias do IAM já estão concedidas.
Papéis do IAM para usar o Gemini Cloud Assist
Os seguintes papéis do IAM são recomendados para uso geral do Gemini Cloud Assist:
| Papel do IAM | Observações |
|---|---|
| Usuário do Gemini Cloud Assist | Esse papel concede aos usuários permissão para usar o Gemini Cloud Assist, que inclui invocar agentes, conversar, criar artefatos de agentes e compartilhar artefatos de propriedade do usuário. |
| Leitor de recursos do Cloud | Esse papel permite que o agente do usuário descubra a topologia de recursos relevantes para a pergunta do usuário, porque o Inventário de recursos do Cloud gerencia Google Cloud recursos e metadados associados a eles. Os recursos incluem seus Google Cloud recursos, políticas e configurações. |
Papéis do IAM disponíveis para o Gemini Cloud Assist
Na maioria dos casos, o papel do IAM recomendado para usar o Gemini Cloud Assist é o Usuário do Gemini Cloud Assist. Em alguns casos, talvez você queira trocar esse papel por outro do Gemini Cloud Assist. A tabela a seguir lista diferentes papéis do Gemini Cloud Assist que podem ser usados:
| Papel do IAM | Função |
|---|---|
| Leitor do Gemini Cloud Assist | Esse papel concede aos usuários permissão para visualizar artefatos de agentes, como investigações ou relatórios, e configurações de agentes. Esse papel concede acesso mais limitado em comparação com o papel de Usuário do Gemini Cloud Assist. Por exemplo, o papel de Leitor do Gemini Cloud Assist não concede permissão para invocar ou conversar com o agente. |
| Usuário do Gemini Cloud Assist | Esse papel concede aos usuários permissão para usar o Gemini Cloud Assist, que inclui invocar agentes, conversar, criar artefatos de agentes e compartilhar artefatos de propriedade do usuário. |
| Editor do Gemini Cloud Assist | Esse papel concede aos usuários permissões de editor para o Gemini Cloud Assist. Além das permissões contidas no papel de Usuário do Gemini Cloud Assist , o papel de editor contém permissões para excluir tópicos de chat, excluir artefatos de agentes e atualizar configurações específicas de agentes. |
| Admin do Gemini Cloud Assist | Esse papel concede aos usuários permissões administrativas para o Gemini Cloud Assist. Além das permissões contidas na função de Editor do Gemini Cloud Assist , a função de administrador contém permissões que permitem configurar diferentes políticas do Gemini Cloud Assist, como ativar agentes proativos e compartilhamento de dados, conceder permissões em agentes e compartilhar artefatos em todo o projeto. |
Permissões específicas do IAM
A seguir estão as permissões específicas do IAM que são importantes para o funcionamento do Gemini Cloud Assist. Use essas informações ao criar papéis personalizados do IAM.
| Permissão do IAM | Função |
|---|---|
geminicloudassist.agents.invoke
|
Enviar e receber mensagens para agentes do Gemini Cloud Assist. |
cloudaicompanion.topics.create
|
Iniciar um chat com o Gemini Cloud Assist. |
cloudaicompanion.geminiGcpEnablementSettings.update
|
Configurar as configurações de administrador do Gemini Cloud Assist. |
mcp.tools.call
|
Enviar e receber mensagens para agentes do Gemini Cloud Assist pelo MCP. |
Permissões necessárias para o chat
O painel de chat do Gemini Cloud Assist usa um recurso de back-end chamado tópico. Ao iniciar um chat, o Gemini Cloud Assist cria um recurso de tópico e concede a você o papel roles/cloudaicompanion.topicAdmin para esse tópico, que inclui a permissão cloudaicompanion.topics.update. Esse comportamento significa que um chat só pode ser visualizado e atualizado pelo usuário que criou o tópico.
Se a organização tiver uma
restrição personalizada que
impeça o Gemini Cloud Assist de conceder
roles/cloudaicompanion.topicAdmin aos usuários, a tentativa de iniciar uma
sessão de chat falhará. Para corrigir o problema, peça ao administrador para atualizar as
restrições personalizadas da organização para
permitir que papéis específicos sejam concedidos.
Recomendações de papéis do IAM para diferentes casos de uso
Além do acesso concedido pelos papéis do IAM para usar o Gemini Cloud Assist, as tarefas realizadas pelo Gemini Cloud Assist exigem acesso aos Google Cloud recursos relevantes para essa tarefa. Exemplo:
Se você estiver usando agentes para entender a integridade dos aplicativos do GKE, as permissões do IAM para o GKE e os recursos associados serão mais importantes.
Se você estiver usando agentes para implantar jobs de processamento de dados, as permissões do IAM para o Dataflow, o Serviço Gerenciado para Apache Spark ou o BigQuery poderão ser mais importantes.
As permissões necessárias do IAM dependem do domínio específico em que as tarefas estão. Por sua vez, os papéis do IAM adequados que contêm essas permissões variam de acordo com o caso de uso. Os papéis do IAM de função de trabalho a seguir fornecem um bom ponto de partida se você não tiver certeza de quais papéis os usuários ou identidades de agentes devem ter.
| Tarefa | Papéis relevantes |
|---|---|
| Solução de problemas e garantia da confiabilidade e escalonabilidade da Google Cloud infraestrutura em vários domínios, de forma proativa e interativa |
roles/iam.siteReliabilityEngineerroles/iam.supportUser |
| Implantação, atualização e exploração Google Cloud de infraestrutura em vários domínios |
roles/iam.infrastructureAdminroles/iam.devOpsroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| Explorar, entender e solucionar problemas da infraestrutura de rede |
roles/iam.networkAdminroles/logging.viewerroles/monitoring.viewerroles/cloudtrace.userroles/apptopology.viewer |
| Interagir e analisar dados por meio de pipelines de processamento, transformação e análise de dados |
roles/iam.dataScientistroles/logging.viewerroles/monitoring.viewer |
| Implantar, atualizar e solucionar problemas de bancos de dados |
roles/iam.databaseAdminroles/logging.viewerroles/monitoring.viewer |
| Entender e analisar os custos do aplicativo em detalhes |
roles/cloudhub.operatorroles/monitoring.viewerroles/logging.viewer |
| Navegar e visualizar Google Cloud recursos, hierarquia de pastas, registros, configuração de segurança e metadados de recursos principais. |
roles/iam.securityAuditor |
| Usar o Gemini Cloud Assist com conjuntos de dados do Storage Insights para entender o uso do Cloud Storage. |
roles/bigquery.jobUserroles/bigquery.dataViewerroles/storageinsights.viewer |