Empfohlene Nutzergruppen und IAM-Rollen (Identity and Access Management) für generative KI

In der folgenden Tabelle werden die IAM-Rollen (Identity and Access Management) beschrieben, die wir als Ausgangspunkt für die Ausführung von generativen KI-Arbeitslasten aufGoogle Cloudempfehlen. Konfigurieren Sie Ihre IAM-Rollen, um die Funktionstrennung in Ihrer Umgebung zu implementieren und an Ihre Risikobereitschaft und Organisationsstruktur anzupassen.

Wenn Sie diese Rollen den Nutzergruppen in Ihrer Organisation zuweisen, sollten Sie überlegen, wo Sie detailliertere Rollen anwenden müssen, um bestimmte Anwendungsfälle für generative KI und Anforderungen an den Datenzugriff zu berücksichtigen. Weitere Informationen zu den Rollen, mit denen Sie den Zugriff auf gespeicherte Daten zulassen können, finden Sie unter Daten in ein gesichertes BigQuery-Data Warehouse importieren.

In der folgenden Tabelle werden die Rollempfehlungen beschrieben. Wenden Sie grundlegende Empfehlungen auf alle Workloads mit generativer KI und Vertex AI-spezifische Empfehlungen auf Workloads mit generativer KI an, die Vertex AI verwenden.

Dienst Gruppe Beschreibung IAM-Rollen

Grundlegend

grp-gcp-org-admin

Diese Gruppe verwaltet die Ressourcen, die zur Organisation gehören. Weisen Sie diese Rolle nur sparsam zu. Organisationsadministratoren haben Zugriff auf alle Ihre Google Cloud Ressourcen. Da diese Funktion stark privilegiert ist, können Sie auch einzelne Konten verwenden, anstatt eine Gruppe zu erstellen.
  • Organisationsadministrator (roles/resourcemanager.organizationAdmin)
  • Ordneradministrator (roles/resourcemanager.folderAdmin)
  • Projektersteller (roles/resourcemanager.projectCreator)
  • Rechnungskontonutzer (roles/billing.user)
  • Administrator für Organisationsrollen (roles/iam.organizationRoleAdmin)
  • Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin)
  • Sicherheitscenter-Administrator (roles/securitycenter.admin)
  • Supportkontoadministrator (roles/cloudsupport.admin)

Grundlegend

grp-gcp-network-admins

Mitglieder dieser Gruppe können Netzwerke, Subnetze, Firewallregeln und Netzwerkgeräte wie Cloud Router, Cloud VPN und Cloud-Load-Balancer erstellen.
  • Compute-Netzwerkadminstrator (roles/compute.networkAdmin)
  • Administrator für freigegebene Compute-VPC (roles/compute.xpnAdmin)
  • Compute-Sicherheitsadministrator (roles/compute.securityAdmin)
  • Ordnerbetrachter (roles/resourcemanager.folderViewer)

Grundlegend

grp-gcp-billing-admin

Diese Gruppe richtet Rechnungskonten ein und überwacht deren Nutzung.
  • Rechnungskontoadministrator (roles/billing.admin)
  • Rechnungskontoersteller (roles/billing.creator)
  • Organisationsbetrachter (roles/resourcemanager.organizationViewer)

Grundlegend

grp-gcp-security-admins

Diese Gruppe legt Sicherheitsrichtlinien für die gesamte Organisation fest und verwaltet sie, einschließlich Zugriffsverwaltung und Organisationseinschränkungsrichtlinien. Informationen zur Planung Ihrer Google Cloud Sicherheitsinfrastruktur finden Sie im Blueprint zu Unternehmensgrundlagen.
  • BigQuery Datenbetrachter (roles/bigquery.dataViewer)
  • Compute-Betrachter (roles/compute.viewer)
  • Ordner-IAM-Administrator (roles/resourcemanager.folderIamAdmin)
  • Kubernetes Engine-Betrachter (roles/container.viewer)
  • Autor von Log-Konfigurationen (roles/logging.configWriter)
  • Organisationsrollen-Betrachter (roles/iam.organizationRoleViewer)
  • Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin)
  • Organisationsrichtlinien-Betrachter (roles/orgpolicy.policyViewer)
  • Betrachter privater Logs (roles/logging.privateLogViewer)
  • Sicherheitscenter-Administrator (roles/securitycenter.admin)
  • Sicherheitsprüfer (roles/iam.securityReviewer)

Grundlegend

grp-gcp-billing-viewer

Diese Gruppe überwacht die Ausgaben für Projekte. In der Regel sind Gruppenmitglieder Teil der Finanzabteilung.
  • Rechnungskontobetrachter (roles/billing.viewer)

Grundlegend

grp-gcp-platform-viewer

Diese Gruppe prüft Ressourceninformationen in der Organisation Google Cloud.
  • Betrachter (roles/viewer)

Grundlegend

grp-gcp-security-reviewer

Diese Gruppe prüft die Cloud-Sicherheit.
  • Sicherheitsprüfer (roles/iam.securityReviewer)

Grundlegend

grp-gcp-network-viewer

Diese Gruppe prüft Netzwerkkonfigurationen.
  • Compute-Netzwerkbetrachter (roles/compute.networkViewer)

Grundlegend

grp-gcp-audit-viewer

Diese Gruppe kann Audit-Logs ansehen.
  • Betrachter privater Logs (roles/logging.privateLogViewer)
  • Betrachter (roles/viewer)

Grundlegend

grp-gcp-scc-admin

Diese Gruppe verwaltet Security Command Center.
  • Sicherheitscenter-Administrator (roles/securitycenter.admin)

Grundlegend

grp-gcp-secrets-admin

Diese Gruppe verwaltet Secrets in Secret Manager.
  • Secret Manager-Administrator (roles/secretmanager.admin)

Vertex AI-Administratoren

grp-gcp-vertex-ai-admin

Diese Gruppe hat vollständigen Zugriff auf alle Ressourcen in Vertex AI.
  • Vertex AI-Administrator (roles/aiplatform.admin))

Vertex AI-Betrachter

grp-gcp-vertex-ai-viewer

Diese Gruppe kann alle Ressourcen in Vertex AI ansehen.
  • Vertex AI-Betrachter (roles/aiplatform.viewer)

Vertex AI-Nutzer

grp-gcp-vertex-ai-user

Diese Gruppe verwendet alle Ressourcen in Vertex AI.
  • Vertex AI-Nutzer (roles/aiplatform.user)

Vertex AI Workbench-Administratoren

grp-gcp-vertex-ai-notebook-admin

Diese Gruppe hat vollen Zugriff auf alle Laufzeitvorlagen und Laufzeiten in Vertex AI Workbench.
  • Notebook Runtime Admin (roles/aiplatform.notebookRuntimeAdmin)

Vertex AI Workbench-Nutzer

grp-gcp-vertex-ai-notebook-user

Mit dieser Gruppe können Laufzeitressourcen mithilfe einer Laufzeitvorlage erstellt und die erstellten Laufzeitressourcen verwaltet werden.
  • Notebook Runtime User (roles/aiplatform.notebookRuntimeUser)

Nächste Schritte