Gemini Cloud Assist opera con dos modos de identidad distintos para administrar los permisos y la auditoría. El modo que se usa depende de cómo se activa una acción: de forma interactiva por un usuario o de forma proactiva por el sistema.
Resumen de los modos de identidad
En la siguiente tabla, se resumen los modelos de seguridad y permisos para cada modo:
| Modo de identidad | Activador | Fuente de permisos |
|---|---|---|
| Identidad del usuario final | Chat y solicitudes interactivas | Tus permisos personales de IAM |
| Identidad del agente | Tareas autónomas en segundo plano | Una cuenta de servicio dedicada |
Identidad del usuario final
Cuando interactúas con Gemini Cloud Assist a través del panel de chat o usas acciones interactivas, el servicio usa tu identidad de usuario final.
En este modo, Gemini Cloud Assist hereda tus permisos existentes para acceder a los recursos y realizar acciones. El asistente no puede ver ni modificar ningún recurso al que no tengas permiso para acceder. Todas las acciones que cambian el estado, conocidas como mutaciones de recursos, requieren tu consentimiento explícito y se registran en los registros de auditoría de Cloud con tu identidad.
Identidad del agente
Cuando Gemini Cloud Assist realiza tareas autónomas en segundo plano, como investigar alertas o analizar anomalías de costos, usa una identidad de agente dedicada. La investigación proactiva de alertas no admite alertas basadas en registros.
La identidad del agente es una principal de IAM aprovisionada por el sistema que es única para tu proyecto. Esto permite que Gemini Cloud Assist funcione sin una sesión de usuario activa y, al mismo tiempo, mantenga un límite de seguridad estricto.
Administración y controles
Los administradores administran la identidad del agente a través de los siguientes mecanismos:
- Permisos configurables: A diferencia de las identidades de usuario, un administrador debe otorgar explícitamente roles de IAM a la identidad del agente.
- Acceso con alcance: De forma predeterminada, el agente está restringido a la telemetría de solo lectura y los registros. No puede acceder a datos sensibles en bases de datos ni buckets de almacenamiento, a menos que se autorice específicamente.
- Registro de auditoría: Todas las acciones autónomas se registran por completo en la auditoría. Los resultados proactivos se etiquetan como generados por el sistema en la Google Cloud consola para distinguirlos de las acciones iniciadas por el usuario.
¿Qué sigue?
- Configura el modo proactivo y aprovisiona una identidad de agente.
- Obtén información para configurar investigaciones proactivas para políticas de alertas.
- Revisa los requisitos de IAM para usuarios y agentes.