O Gemini Cloud Assist opera usando dois modos de identidade distintos para gerenciar permissões e auditoria. O modo usado depende de como uma ação é acionada: de forma interativa por um usuário ou proativa pelo sistema.
Resumo dos modos de identidade
A tabela a seguir resume os modelos de segurança e permissão para cada modo:
| Modo de identidade | Gatilho | Origem da permissão |
|---|---|---|
| Identidade do usuário final | Solicitações interativas e de chat | Suas permissões pessoais do IAM |
| Identidade do agente | Tarefas autônomas em segundo plano | Uma conta de serviço dedicada |
Identidade do usuário final
Quando você interage com o Gemini Cloud Assist pelo painel de chat ou usa ações interativas, o serviço usa sua identidade de usuário final.
Nesse modo, o Gemini Cloud Assist herda suas permissões atuais para acessar recursos e realizar ações. O assistente não pode visualizar nem modificar nenhum recurso ao qual você não tenha permissão de acesso. Todas as ações de mudança de estado, conhecidas como mutações de recursos, exigem seu consentimento explícito e são registradas nos registros de auditoria do Cloud com sua identidade.
Identidade do agente
Quando o Gemini Cloud Assist realiza tarefas autônomas em segundo plano, como investigar alertas ou analisar anomalias de custo, ele usa uma identidade de agente dedicada. A investigação proativa de alertas não oferece suporte a alertas baseados em registros.
A identidade do agente é um principal do IAM provisionado pelo sistema, exclusivo do seu projeto. Isso permite que o Gemini Cloud Assist funcione sem uma sessão de usuário ativa, mantendo um limite de segurança rigoroso.
Governança e controles
Os administradores gerenciam a identidade do agente usando os seguintes mecanismos:
- Permissões configuráveis: ao contrário das identidades de usuário, um administrador precisa conceder explicitamente papéis do IAM à identidade do agente.
- Acesso limitado: por padrão, o agente é restrito à telemetria somente leitura e aos registros. Ele não pode acessar dados sensíveis em bancos de dados ou buckets de armazenamento, a menos que seja especificamente autorizado.
- Registro de auditoria: todas as ações autônomas são totalmente registradas em auditoria. Os resultados proativos são marcados como gerados pelo sistema no Google Cloud console para distingui-los das ações iniciadas pelo usuário.
A seguir
- Configure o modo proativo e provisione uma identidade de agente.
- Saiba como configurar investigações proativas para políticas de alertas.
- Analise os requisitos do IAM para usuários e agentes.