Gemini Cloud Assist opera utilizzando due modalità di identità distinte per gestire le autorizzazioni e l'audit. La modalità utilizzata dipende da come viene attivata un'azione: in modo interattivo da un utente o in modo proattivo dal sistema.
Riepilogo delle modalità di identità
La tabella seguente riassume i modelli di sicurezza e autorizzazioni per ogni modalità:
| Modalità Identità | Trigger | Origine autorizzazione |
|---|---|---|
| Identità utente finale | Richieste di chat e interattive | Le tue autorizzazioni IAM personali |
| Identità dell'agente | Attività in background autonome | Un account di servizio dedicato |
Identità utente finale
Quando interagisci con Gemini Cloud Assist tramite il pannello della chat o utilizzi le azioni interattive, il servizio utilizza la tua identità di utente finale.
In questa modalità, Gemini Cloud Assist eredita le tue autorizzazioni esistenti per accedere alle risorse ed eseguire azioni. L'assistente non può vedere o modificare alcuna risorsa a cui non hai l'autorizzazione di accedere. Tutte le azioni che modificano lo stato, note come mutazioni delle risorse, richiedono il tuo consenso esplicito e vengono registrate in Cloud Audit Logs con la tua identità.
Identità dell'agente
Quando Gemini Cloud Assist esegue attività autonome in background, ad esempio l'analisi degli avvisi o l'analisi delle anomalie dei costi, utilizza un'identità agente dedicata. L'analisi proattiva degli avvisi non supporta gli avvisi basati su log.
L'identità dell'agente è un'entità IAM univoca di cui è stato eseguito il provisioning dal sistema per il tuo progetto. In questo modo Gemini Cloud Assist può funzionare senza una sessione utente attiva, mantenendo un limite di sicurezza rigoroso.
Governance e controlli
Gli amministratori gestiscono l'identità dell'agente tramite i seguenti meccanismi:
- Autorizzazioni configurabili: a differenza delle identità utente, un amministratore deve concedere esplicitamente i ruoli IAM all'identità dell'agente.
- Accesso con ambito: per impostazione predefinita, l'agente è limitato alla telemetria e ai log di sola lettura. Non può accedere a dati sensibili in database o bucket di archiviazione se non espressamente autorizzato.
- Audit logging: tutte le azioni autonome vengono registrate completamente nel log di controllo. I risultati proattivi sono contrassegnati come generati dal sistema nella console Google Cloud per distinguerli dalle azioni avviate dagli utenti.
Passaggi successivi
- Configura la modalità proattiva e fornisci un'identità dell'agente.
- Scopri come configurare le indagini proattive per le policy di avviso.
- Esamina i requisiti IAM per utenti e agenti.