Gemini Cloud Assist beroperasi menggunakan dua mode identitas yang berbeda untuk mengelola izin dan audit. Mode yang digunakan bergantung pada cara tindakan dipicu: secara interaktif oleh pengguna atau secara proaktif oleh sistem.
Ringkasan mode identitas
Tabel berikut merangkum model keamanan dan izin untuk setiap mode:
| Mode identitas | Pemicu | Sumber izin |
|---|---|---|
| Identitas pengguna akhir | Chat dan permintaan interaktif | Izin IAM pribadi Anda |
| Identitas agen | Tugas latar belakang otonom | Akun layanan khusus |
Identitas pengguna akhir
Saat Anda berinteraksi dengan Gemini Cloud Assist melalui panel chat atau menggunakan tindakan interaktif, layanan ini menggunakan identitas pengguna akhir Anda.
Dalam mode ini, Gemini Cloud Assist mewarisi izin yang ada untuk mengakses resource dan melakukan tindakan. Asisten tidak dapat melihat atau mengubah resource apa pun yang tidak Anda izinkan untuk diakses. Semua tindakan yang mengubah status, yang dikenal sebagai mutasi resource, memerlukan izin eksplisit Anda dan dicatat di Cloud Audit Logs dengan identitas Anda.
Identitas agen
Saat melakukan tugas latar belakang secara mandiri, seperti menyelidiki pemberitahuan atau menganalisis anomali biaya, Gemini Cloud Assist menggunakan identitas agen khusus. Investigasi proaktif pemberitahuan tidak mendukung pemberitahuan berbasis log.
Identitas agen adalah akun utama IAM yang disediakan sistem dan unik untuk project Anda. Hal ini memungkinkan Gemini Cloud Assist berfungsi tanpa sesi pengguna aktif sekaligus mempertahankan batas keamanan yang ketat.
Tata kelola dan kontrol
Administrator mengelola identitas agen melalui mekanisme berikut:
- Izin yang dapat dikonfigurasi: Tidak seperti identitas pengguna, administrator harus memberikan peran IAM secara eksplisit kepada identitas agen.
- Akses yang diberi cakupan: Secara default, agen dibatasi untuk membaca telemetri dan log saja. Aplikasi ini tidak dapat mengakses data sensitif dalam database atau bucket penyimpanan kecuali jika diberi otorisasi secara khusus.
- Pencatatan log audit: Semua tindakan otonom dicatat sepenuhnya dalam log audit. Hasil proaktif diberi tag sebagai dihasilkan Sistem di konsol Google Cloud untuk membedakannya dari tindakan yang dimulai pengguna.
Langkah berikutnya
- Siapkan Mode Proaktif dan sediakan identitas agen.
- Pelajari cara mengonfigurasi penyelidikan proaktif untuk kebijakan pemberitahuan.
- Tinjau persyaratan IAM untuk pengguna dan agen.