Gemini Cloud Assist פועל בשני מצבי זהות שונים כדי לנהל הרשאות ולבצע ביקורת. השיטה שבה משתמשים תלויה באופן שבו מופעלת פעולה: באופן אינטראקטיבי על ידי משתמש או באופן יזום על ידי המערכת.
סיכום של מצבי הזהות
בטבלה הבאה מפורטים סיכומי מודלי האבטחה וההרשאות לכל מצב:
| מצב זהות | הטריגר | מקור ההרשאה |
|---|---|---|
| זהות משתמש הקצה | הזמנות לצ'אט והזמנות אינטראקטיביות | הרשאות ה-IAM האישיות שלכם |
| זהות הסוכן | משימות אוטונומיות ברקע | חשבון שירות ייעודי |
זהות משתמש הקצה
כשאתם משתמשים ב-Gemini Cloud Assist דרך חלונית הצ'אט, השירות משתמש בזהות של משתמש הקצה.
במצב הזה, Gemini Cloud Assist מקבל בירושה את ההרשאות הקיימות שלכם לגישה למשאבים ולביצוע פעולות. העוזר הדיגיטלי לא יכול לראות או לשנות משאבים שאין לכם הרשאה לגשת אליהם. כל הפעולות שמשנות את המצב, שנקראות שינויים במשאבים, מחייבות את ההסכמה המפורשת שלכם ומתועדות ביומני הביקורת ב-Cloud תחת הזהות שלכם.
זהות הסוכן
כש-Gemini Cloud Assist מבצע משימות אוטונומיות ברקע – כמו בדיקת התראות או ניתוח של אנומליות בעלויות – הוא משתמש בזהות סוכן ייעודית. בחקירה יזומה של התראות אין תמיכה בהתראות שמבוססות על יומנים.
זהות הסוכן היא חשבון ראשי ב-IAM שהוקצה על ידי המערכת והוא ייחודי לפרויקט שלכם. כך Gemini Cloud Assist יכול לפעול בלי סשן פעיל של משתמש, תוך שמירה על גבול אבטחה ברור.
ניהול ואמצעי בקרה
אדמינים מנהלים את זהות הסוכן באמצעות המנגנונים הבאים:
- הרשאות שאפשר להגדיר: בניגוד לזהויות משתמשים, אדמין צריך להקצות תפקידי IAM לזהות הסוכן באופן מפורש.
- גישה בהיקף מוגבל: כברירת מחדל, הגישה של הסוכן מוגבלת לטלמטריה ויומנים לקריאה בלבד. הוא לא יכול לגשת למידע אישי רגיש במסדי נתונים או בדלי אחסון, אלא אם יש לו הרשאה ספציפית לכך.
- רישום ביומן ביקורת: כל הפעולות האוטונומיות מתועדות באופן מלא ביומן הביקורת. תוצאות פרואקטיביות מתויגות כתוצאות שנוצרו על ידי המערכת במסוף Google Cloud , כדי להבדיל ביניהן לבין פעולות שהמשתמש יזם.
המאמרים הבאים
- מגדירים מצב פרואקטיבי ומקצים זהות לסוכן.
- איך מגדירים חקירות יזומות למדיניות התראות
- כדאי לעיין בדרישות של IAM למשתמשים ולסוכנים.