Grupos de usuarios y roles de Identity and Access Management recomendados para la IA generativa

En la siguiente tabla, se describen los roles de Identity and Access Management (IAM) que recomendamos como punto de partida para ejecutar cargas de trabajo de IA generativa enGoogle Cloud. Configura tus roles de IAM para implementar la separación de tareas dentro de tu entorno y alinearlos con tu tolerancia al riesgo y estructura organizacional.

A medida que asignes estos roles a los grupos de usuarios de tu organización, considera dónde necesitas aplicar roles más detallados para abordar casos de uso específicos de IA generativa y requisitos de acceso a los datos. En el caso de los entornos en los que se usan datos altamente sensibles para entrenar modelos, consulta Importa datos a un almacén de datos seguro de BigQuery para obtener más información sobre los roles que puedes usar para permitir el acceso a los datos almacenados.

En la siguiente tabla, se describen las recomendaciones de roles. Aplica recomendaciones básicas a todas las cargas de trabajo de IA generativa y recomendaciones específicas de Vertex AI a las cargas de trabajo de IA generativa que usan Vertex AI.

Servicio Grupo Descripción Funciones de IAM

Básica

grp-gcp-org-admin

Este grupo administra los recursos que pertenecen a la organización. Asigna este rol con moderación. Los administradores de la organización tienen acceso a todos tus recursos de Google Cloud . Como alternativa, debido a que esta función tiene muchos privilegios, considera usar cuentas individuales en lugar de crear un grupo.
  • Administrador de la organización (roles/resourcemanager.organizationAdmin)
  • Administrador de carpetas (roles/resourcemanager.folderAdmin)
  • Creador del proyecto (roles/resourcemanager.projectCreator)
  • Usuario de cuentas de facturación (roles/billing.user)
  • Administrador de roles de la organización (roles/iam.organizationRoleAdmin)
  • Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
  • Administrador del centro de seguridad (roles/securitycenter.admin)
  • Administrador de cuentas de asistencia (roles/cloudsupport.admin)

Básica

grp-gcp-network-admins

Este grupo puede crear redes, subredes, reglas de firewall y dispositivos de red, como Cloud Router, Cloud VPN y balanceadores de cargas en la nube.
  • Administrador de red de Compute (roles/compute.networkAdmin)
  • Administrador de VPC compartida de Compute (roles/compute.xpnAdmin)
  • Administrador de seguridad de Compute (roles/compute.securityAdmin)
  • Visualizador de carpeta (roles/resourcemanager.folderViewer)

Básica

grp-gcp-billing-admin

Este grupo configura las cuentas de facturación y supervisa su uso.
  • Administrador de cuentas de facturación (roles/billing.admin)
  • Creador de cuentas de facturación (roles/billing.creator)
  • Lector de la organización (roles/resourcemanager.organizationViewer)

Básica

grp-gcp-security-admins

Este grupo establece y administra políticas de seguridad para toda la organización, incluidas la administración de acceso y las políticas de restricciones de la organización. Para planificar tu infraestructura de seguridad de Google Cloud , consulta el plano de bases empresariales.
  • Visualizador de datos de BigQuery (roles/bigquery.dataViewer)
  • Visualizador de Compute (roles/compute.viewer)
  • Administrador de IAM de carpeta (roles/resourcemanager.folderIamAdmin)
  • Visualizador de Kubernetes Engine (roles/container.viewer)
  • Escritor de configuración de registros (roles/logging.configWriter)
  • Visualizador de roles de la organización (roles/iam.organizationRoleViewer)
  • Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
  • Lector de políticas de la organización (roles/orgpolicy.policyViewer)
  • Visualizador de registros privados (roles/logging.privateLogViewer)
  • Administrador del centro de seguridad (roles/securitycenter.admin)
  • Revisor de seguridad (roles/iam.securityReviewer)

Básica

grp-gcp-billing-viewer

Este grupo supervisa el gasto en proyectos. Por lo general, los miembros del grupo forman parte del equipo de finanzas.
  • Visualizador de cuentas de facturación (roles/billing.viewer)

Básica

grp-gcp-platform-viewer

Este grupo revisa la información de recursos en toda la organización de Google Cloud.
  • Visualizador (roles/viewer)

Básica

grp-gcp-security-reviewer

Este grupo revisa la seguridad en la nube.
  • Revisor de seguridad (roles/iam.securityReviewer)

Básica

grp-gcp-network-viewer

Este grupo revisa las configuraciones de red.
  • Visualizador de la red de Compute (roles/compute.networkViewer)

Básica

grp-gcp-audit-viewer

Este grupo puede ver los registros de auditoría.
  • Visualizador de registros privados (roles/logging.privateLogViewer)
  • Visualizador (roles/viewer)

Básica

grp-gcp-scc-admin

Este grupo administra Security Command Center.
  • Administrador del centro de seguridad (roles/securitycenter.admin)

Básica

grp-gcp-secrets-admin

Este grupo administra secretos en Secret Manager.
  • Administrador de Secret Manager (roles/secretmanager.admin)

Administradores de Vertex AI

grp-gcp-vertex-ai-admin

Este grupo tiene acceso completo a todos los recursos en Vertex AI.
  • Administrador de Vertex AI (roles/aiplatform.admin))

Visualizadores de Vertex AI

grp-gcp-vertex-ai-viewer

Este grupo puede ver todos los recursos en Vertex AI.
  • Visualizador de Vertex AI (roles/aiplatform.viewer)

Usuarios de Vertex AI

grp-gcp-vertex-ai-user

Este grupo usa todos los recursos de Vertex AI.
  • Usuario de Vertex AI (roles/aiplatform.user)

Administradores de Vertex AI Workbench

grp-gcp-vertex-ai-notebook-admin

Este grupo tiene acceso completo a todas las plantillas de entorno de ejecución y los entornos de ejecución en Vertex AI Workbench.
  • Administrador del entorno de ejecución del notebook (roles/aiplatform.notebookRuntimeAdmin)

Usuarios de Vertex AI Workbench

grp-gcp-vertex-ai-notebook-user

Este grupo crea recursos de entorno de ejecución con una plantilla de entorno de ejecución y administra los recursos de entorno de ejecución que creó.
  • Usuario del entorno de ejecución del notebook (roles/aiplatform.notebookRuntimeUser)

¿Qué sigue?