Groupes d'utilisateurs et rôles Identity and Access Management recommandés pour l'IA générative

Le tableau suivant décrit les rôles IAM (Identity and Access Management) que nous vous recommandons d'utiliser pour commencer à exécuter des charges de travail d'IA générative surGoogle Cloud. Configurez vos rôles IAM pour implémenter la séparation des tâches dans votre environnement et pour les aligner sur votre appétit pour le risque et votre structure organisationnelle.

Lorsque vous attribuez ces rôles aux groupes d'utilisateurs de votre organisation, réfléchissez aux endroits où vous devez appliquer des rôles plus précis pour répondre à des cas d'utilisation spécifiques de l'IA générative et aux exigences d'accès aux données. Pour les environnements dans lesquels des données très sensibles sont utilisées pour entraîner des modèles, consultez Importer des données dans un entrepôt de données BigQuery sécurisé pour en savoir plus sur les rôles que vous pouvez utiliser pour autoriser l'accès aux données stockées.

Le tableau suivant décrit les recommandations de rôle. Appliquez les recommandations de base à toutes les charges de travail d'IA générative, et les recommandations spécifiques à Vertex AI aux charges de travail d'IA générative qui utilisent Vertex AI.

Service Groupe Description Rôles IAM

Certification

grp-gcp-org-admin

Ce groupe administre les ressources appartenant à l'organisation. Attribuez ce rôle avec parcimonie. Les administrateurs de l'organisation ont accès à toutes vos ressources Google Cloud . Comme cette fonction dispose de droits élevés, envisagez d'utiliser des comptes individuels plutôt que de créer un groupe.
  • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
  • Administrateur de dossier (roles/resourcemanager.folderAdmin)
  • Créateur de projet (roles/resourcemanager.projectCreator)
  • Utilisateur de compte de facturation (roles/billing.user)
  • Administrateur des rôles de l'organisation (roles/iam.organizationRoleAdmin)
  • Administrateur des règles d'administration (roles/orgpolicy.policyAdmin)
  • Administrateur du centre de sécurité (roles/securitycenter.admin)
  • Administrateur de compte d'assistance (roles/cloudsupport.admin)

Certification

grp-gcp-network-admins

Ce groupe peut créer des réseaux, des sous-réseaux, des règles de pare-feu et des appareils réseau, tels que Cloud Router, Cloud VPN et les équilibreurs de charge cloud.
  • Administrateur de réseaux Compute (roles/compute.networkAdmin)
  • Administrateur VPC Compute partagé (roles/compute.xpnAdmin)
  • Administrateur de sécurité de Compute (roles/compute.securityAdmin)
  • Lecteur de dossier (roles/resourcemanager.folderViewer)

Certification

grp-gcp-billing-admin

Ce groupe configure les comptes de facturation et surveille leur utilisation.
  • Administrateur de compte de facturation (roles/billing.admin)
  • Créateur de compte de facturation (roles/billing.creator)
  • Lecteur d'organisation (roles/resourcemanager.organizationViewer)

Certification

grp-gcp-security-admins

Ce groupe établit et gère les règles de sécurité pour l'ensemble de l'organisation, y compris la gestion des accès et les règles concernant les contraintes de l'organisation. Pour planifier votre infrastructure de sécurité Google Cloud , consultez le plan de base d'entreprise.
  • Lecteur de données BigQuery (roles/bigquery.dataViewer)
  • Lecteur Compute (roles/compute.viewer)
  • Administrateur IAM de dossiers (roles/resourcemanager.folderIamAdmin)
  • Lecteur Kubernetes Engine (roles/container.viewer)
  • Rédacteur de configuration des journaux (roles/logging.configWriter)
  • Lecteur des rôles de l'organisation (roles/iam.organizationRoleViewer)
  • Administrateur des règles d'administration (roles/orgpolicy.policyAdmin)
  • Lecteur des règles d'administration (roles/orgpolicy.policyViewer)
  • Lecteur des journaux privés (roles/logging.privateLogViewer)
  • Administrateur du centre de sécurité (roles/securitycenter.admin)
  • Examinateur de sécurité (roles/iam.securityReviewer)

Certification

grp-gcp-billing-viewer

Ce groupe surveille les dépenses liées aux projets. En règle générale, les membres du groupe font partie de l'équipe financière.
  • Lecteur de compte de facturation (roles/billing.viewer)

Certification

grp-gcp-platform-viewer

Ce groupe examine les informations sur les ressources dans l'ensemble de l'organisation Google Cloud.
  • Lecteur (roles/viewer)

Certification

grp-gcp-security-reviewer

Ce groupe examine la sécurité du cloud.
  • Examinateur de sécurité (roles/iam.securityReviewer)

Certification

grp-gcp-network-viewer

Ce groupe examine les configurations réseau.
  • Lecteur de réseau Compute (roles/compute.networkViewer)

Certification

grp-gcp-audit-viewer

Ce groupe peut consulter les journaux d'audit.
  • Lecteur des journaux privés (roles/logging.privateLogViewer)
  • Lecteur (roles/viewer)

Certification

grp-gcp-scc-admin

Ce groupe administre Security Command Center.
  • Administrateur du centre de sécurité (roles/securitycenter.admin)

Certification

grp-gcp-secrets-admin

Ce groupe gère les secrets dans Secret Manager.
  • Administrateur Secret Manager (roles/secretmanager.admin)

Administrateurs Vertex AI

grp-gcp-vertex-ai-admin

Ce groupe dispose d'un accès complet à toutes les ressources de Vertex AI.
  • Administrateur Vertex AI (roles/aiplatform.admin))

Lecteurs Vertex AI

grp-gcp-vertex-ai-viewer

Ce groupe peut afficher toutes les ressources de Vertex AI.
  • Lecteur Vertex AI (roles/aiplatform.viewer)

Utilisateurs Vertex AI

grp-gcp-vertex-ai-user

Ce groupe utilise toutes les ressources de Vertex AI.
  • Utilisateur Vertex AI (roles/aiplatform.user)

Administrateurs Vertex AI Workbench

grp-gcp-vertex-ai-notebook-admin

Ce groupe dispose d'un accès complet à tous les modèles et environnements d'exécution dans Vertex AI Workbench.
  • Administrateur de l'environnement d'exécution de notebook (roles/aiplatform.notebookRuntimeAdmin)

Utilisateurs Vertex AI Workbench

grp-gcp-vertex-ai-notebook-user

Ce groupe crée des ressources d'environnement d'exécution à l'aide d'un modèle et gère les ressources d'environnement d'exécution qu'il a créées.
  • Utilisateur de l'environnement d'exécution de notebook (roles/aiplatform.notebookRuntimeUser)

Étapes suivantes