使用 Gemini Cloud Assist 的预览版产品受 协议的约束,包括 Google Cloud 服务专用条款中的非正式版产品使用条款, 如 Gemini for Google Cloud 可信测试员计划条款的增补内容所述。 Google Cloud
设置主动模式,以允许 Gemini Cloud Assist 在后台自主运行,持续调查提醒并分析费用异常情况。
启用主动模式会为 Gemini Cloud Assist 预配专用服务帐号。通过配置此账号,您可以授予 Gemini Cloud Assist 分析环境遥测数据和日志所需的访问权限,而无需用户主动干预。
启用所需的 API
确保在项目中启用以下 API:
- Gemini Cloud Assist:
geminicloudassist.googleapis.com - App Optimize API:
appoptimize.googleapis.com
如需详细了解如何启用这些 API,请参阅 设置 Gemini Cloud Assist 和 启用 App Optimize API。
为了生成主动式费用分析洞见,Gemini Cloud Assist 依赖于 结算生成的费用异常提醒 。默认情况下,系统会为所有项目启用这些提醒。
启用主动模式
项目管理员需要明确启用主动模式。启用主动模式后,Gemini Cloud Assist 会自动预配一个名为“代理身份”的专用服务帐号。
- 在 Google Cloud 控制台中,前往 Cloud Assist 设置 在 Gemini Cloud Assist 聊天面板中。
- 在主动式代理 部分,选择启用主动式 代理 ,然后点击授予访问权限 。
- 在授予访问权限 面板中,点击保存 。
- 在管理 Gemini Cloud Assist 面板底部,点击保存 。
配置权限
如需设置主动模式,您需要向用户和代理身份授予 IAM 角色。
代理身份角色
当代理在后台自主运行时,它会使用代理身份。启用主动模式后,系统会自动预配代理身份,因此无需执行任何操作即可创建代理身份。不过,您必须向此代理身份授予执行后台任务所需的 IAM 角色;Gemini Cloud Assist 仅访问您通过授予其代理身份的 IAM 角色明确授权的数据。
这仅限于对 Cloud Monitoring、Cloud Logging 和 Cloud Asset Inventory 等服务的只读访问权限。除非您明确授予这些权限,否则它无法访问数据库或存储分区中的数据。
为了提高可解释性,Gemini Cloud Assist 生成的每条分析洞见都包含引用,这些引用会链接回源数据,例如提醒或特定日志。
代理身份主账号的格式如下:
agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud
其中,ORG_NUMBER 是您的
Google Cloud 组织的数字标识符,PROJECT_NUMBER 是
您的 Google Cloud 项目的数字标识符。
代理身份所需的权限取决于您计划使用的主动模式功能。以下角色根据您的使用场景提供了一个良好的起点,但您可能需要根据环境的具体情况以及您希望主动模式执行的任务授予其他角色。
如需获得有关特定于任务的角色的更多指导,请参阅 作业职能的角色。 如需获得有关 Gemini Cloud Assist 的权限和角色的其他指导,请参阅 IAM 要求。
根据您的应用场景,向代理身份正文授予以下角色:
- 主动问题排查:授予支持用户 (
roles/iam.supportUser) 和 Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)。 - 主动费用优化:除了用于主动问题排查的角色之外,还需授予以下角色:
- Cloud Hub Operator (
roles/cloudhub.operator),用于访问资源费用。 - App Optimize Admin (
roles/appoptimize.admin),用于生成费用优化研究。
- Cloud Hub Operator (
您可以使用 Google Cloud CLI 授予这些角色。如需安装和 初始化 gcloud CLI 以便将其与主动模式搭配使用,请参阅 安装 Google Cloud CLI。
运行以下 gcloud CLI 命令以授予代理身份角色:
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/iam.supportUser' \
--member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/cloudhub.operator' \
--member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/appoptimize.admin' \
--member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/serviceusage.serviceUsageConsumer' \
--member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'
替换以下内容:
PROJECT_ID:项目的 ID。 Google CloudORG_NUMBER:您的 Google Cloud 组织的数字标识符。PROJECT_NUMBER:您的 Google Cloud 项目的数字标识符。
您可以在Google Cloud 控制台中找到这些标识符。
自定义限制条件
如果您有组织政策
自定义限制条件,用于
限制允许授予角色的
正文类型,则尝试向
代理身份授予 IAM 角色可能会导致错误。如果发生这种情况,请将代理身份主账号类型 iam.googleapis.com/AgenticIdentityPoolPrincipal 添加到自定义限制条件的 MemberTypeMatches 部分,该部分负责限制可以授予 IAM 角色的主账号类型。
用户角色
与主动式结果交互的用户需要具有以下角色:
roles/geminicloudassist.user(用于与代理聊天)roles/geminicloudassist.viewer(用于查看主动式调查和费用优化研究)。
使用以下 gcloud CLI 命令授予这些角色:
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/geminicloudassist.user' \
--member='user:EMAIL_ADDRESS'
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/geminicloudassist.viewer' \
--member='user:EMAIL_ADDRESS'
将 EMAIL_ADDRESS 替换为需要获得与代理聊天和查看主动式调查结果权限的用户的电子邮件地址。
后续步骤
- 了解代理身份。
- 了解如何使用主动模式进行问题排查。
- 了解如何使用主动模式进行费用优化。