Gemini Cloud Assist는 권한 및 감사를 관리하기 위해 두 가지 고유한 ID 모드를 사용하여 작동합니다. 사용되는 모드는 작업이 트리거되는 방식에 따라 달라집니다. 사용자가 대화형으로 트리거하거나 시스템이 사전 예방적으로 트리거합니다.
ID 모드 요약
다음 표에는 각 모드의 보안 및 권한 모델이 요약되어 있습니다.
| ID 모드 | 트리거 | 권한 소스 |
|---|---|---|
| 최종 사용자 ID | 채팅 및 대화형 요청 | 개인 IAM 권한 |
| 에이전트 ID | 자율 백그라운드 작업 | 전용 서비스 계정 |
최종 사용자 ID
채팅 패널을 통해 Gemini Cloud Assist와 상호작용하거나 대화형 작업을 사용하면 서비스에서 최종 사용자 ID를 사용합니다.
이 모드에서 Gemini Cloud Assist는 리소스에 액세스하고 작업을 실행하기 위한 기존 권한을 상속합니다. 어시스턴트는 사용자가 액세스할 권한이 없는 리소스를 보거나 수정할 수 없습니다. 리소스 변이로 알려진 모든 상태 변경 작업에는 명시적인 동의가 필요하며 내 ID로 Cloud 감사 로그에 기록됩니다.
에이전트 ID
Gemini Cloud Assist가 알림 조사 또는 비용 이상치 분석과 같은 자율 백그라운드 작업을 실행할 때는 전용 에이전트 ID를 사용합니다. 알림의 사전 조사에서는 로그 기반 알림을 지원하지 않습니다.
에이전트 ID는 시스템에서 프로비저닝한 IAM 주 구성원으로, 프로젝트에 고유합니다. 이를 통해 Gemini Cloud Assist는 활성 사용자 세션 없이도 엄격한 보안 경계를 유지하면서 작동할 수 있습니다.
거버넌스 및 제어
관리자는 다음 메커니즘을 통해 에이전트 ID를 관리합니다.
- 구성 가능한 권한: 사용자 ID와 달리 관리자는 에이전트 ID에 IAM 역할을 명시적으로 부여해야 합니다.
- 범위가 지정된 액세스: 기본적으로 에이전트는 읽기 전용 원격 분석 및 로그로 제한됩니다. 특별히 승인되지 않는 한 데이터베이스나 스토리지 버킷의 민감한 정보에 액세스할 수 없습니다.
- 감사 로깅: 모든 자율 작업은 완전히 감사 로깅됩니다. 사전 대응 결과는 사용자 시작 작업과 구분하기 위해 Google Cloud 콘솔에서 시스템 생성으로 태그됩니다.
다음 단계
- 사전 대응 모드를 설정하고 에이전트 ID를 프로비저닝합니다.
- 알림 정책에 대해 선제적 조사를 구성하는 방법을 알아보세요.
- 사용자 및 상담사의 IAM 요구사항을 검토합니다.