Gemini Cloud Assist のこのプレビュー版の使用には、 契約(サービス固有の利用規約の Google Cloud 一般提供前サービス利用規約、 および Gemini for Google Cloud Trusted Tester プログラムの利用規約を含む)が適用されます。 Google Cloud
Gemini Cloud Assist は、権限と監査を管理するために、2 つの異なる ID モードで動作します。使用されるモードは、アクションがトリガーされる方法によって異なります。ユーザーによるインタラクティブなトリガーと、システムによる事前対応型のトリガーがあります。
ID モードの概要
次の表に、各モードのセキュリティ モデルと権限モデルの概要を示します。
| ID モード | トリガー | 権限ソース |
|---|---|---|
| エンドユーザー ID | チャットとインタラクティブ リクエスト | 個人の IAM 権限 |
| エージェント ID | 自律的なバックグラウンド タスク | 専用サービス アカウント |
エンドユーザー ID
チャットパネルから Gemini Cloud Assist とやり取りする場合、サービスはエンドユーザー ID を使用します。
このモードでは、Gemini Cloud Assist は、リソースにアクセスしてアクションを実行するための既存の権限を継承します。アシスタントは、ユーザーがアクセス権を持っていないリソースを表示または変更できません。 リソースの変更と呼ばれる状態変更アクションには、明示的な同意が必要であり、ID の下で Cloud Audit Logs に記録されます。
エージェント ID
Gemini Cloud Assist がアラートの調査や費用の異常の分析などの自律的な バックグラウンド タスクを実行する場合、専用の エージェント ID を使用します。アラートの事前対応型の調査では、ログベースのアラートはサポートされていません。
エージェント ID は、プロジェクトに固有のシステム プロビジョニング IAM プリンシパルです。これにより、Gemini Cloud Assist は、厳格なセキュリティ境界を維持しながら、アクティブなユーザー セッションなしで機能できます。
ガバナンスと管理
管理者は、次のメカニズムを使用してエージェント ID を管理します。
- 構成可能な権限: ユーザー ID とは異なり、管理者はエージェント ID に IAM ロールを 明示的に付与する 必要があります。
- スコープ付きアクセス: デフォルトでは、エージェントは読み取り専用のテレメトリー とログに制限されます。明示的に承認されていない限り、データベースやストレージ バケット内のセンシティブ データにアクセスすることはできません。
- 監査ロギング: すべての自律的なアクションは完全に監査ログに記録されます。事前対応型 の結果は、ユーザーが開始したアクションと区別するために、 Google Cloud コンソールでSystem生成として タグ付けされます。
次のステップ
- 事前対応型モードを設定して、エージェント ID をプロビジョニングする。
- アラート ポリシーの事前対応型調査を構成する方法を学習する。
- ユーザーとエージェントのIAM 要件を確認する。