Grup pengguna dan peran Identity and Access Management yang direkomendasikan untuk AI generatif

Tabel berikut menjelaskan peran Identity and Access Management (IAM) yang kami rekomendasikan sebagai titik awal untuk menjalankan beban kerja AI generatif di Google Cloud. Konfigurasi peran IAM Anda untuk menerapkan pemisahan tugas dalam lingkungan Anda dan agar selaras dengan toleransi risiko dan struktur organisasi Anda.

Saat Anda menetapkan peran ini ke grup pengguna di organisasi Anda, pertimbangkan tempat Anda perlu menerapkan peran yang lebih terperinci untuk menangani kasus penggunaan AI generatif dan persyaratan akses data tertentu. Untuk lingkungan tempat data yang sangat sensitif digunakan untuk melatih model, lihat Mengimpor data ke data warehouse BigQuery yang aman untuk mengetahui informasi selengkapnya tentang peran yang dapat Anda gunakan untuk mengizinkan akses ke data yang disimpan.

Tabel berikut menjelaskan rekomendasi peran. Terapkan rekomendasi dasar pada semua beban kerja AI generatif, dan rekomendasi khusus Vertex AI pada beban kerja AI generatif yang menggunakan Vertex AI.

Layanan Grup Deskripsi Peran IAM

Dasar

grp-gcp-org-admin

Grup ini mengelola resource milik organisasi. Tetapkan peran ini dengan hati-hati. Administrator organisasi memiliki akses ke semua Google Cloud resource Anda. Sebagai alternatif karena fungsi ini sangat istimewa, pertimbangkan untuk menggunakan akun perorangan, bukan membuat grup.
  • Administrator organisasi (roles/resourcemanager.organizationAdmin)
  • Folder Admin (roles/resourcemanager.folderAdmin)
  • Project Creator (roles/resourcemanager.projectCreator)
  • Billing Account User (roles/billing.user)
  • Administrator Peran Organisasi (roles/iam.organizationRoleAdmin)
  • Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin)
  • Security Center Admin (roles/securitycenter.admin)
  • Support Account Administrator (roles/cloudsupport.admin)

Dasar

grp-gcp-network-admins

Grup ini dapat membuat jaringan, subnet, aturan firewall, dan perangkat jaringan seperti Cloud Router, Cloud VPN, dan load balancer cloud.
  • Admin Jaringan Compute (roles/compute.networkAdmin)
  • Compute Shared VPC Admin (roles/compute.xpnAdmin)
  • Compute Security Admin.(roles/compute.securityAdmin)
  • Folder Viewer (roles/resourcemanager.folderViewer)

Dasar

grp-gcp-billing-admin

Grup ini menyiapkan akun penagihan dan memantau penggunaannya.
  • Administrator Akun Penagihan (roles/billing.admin)
  • Billing Account Creator (roles/billing.creator)
  • Organization Viewer (roles/resourcemanager.organizationViewer)

Dasar

grp-gcp-security-admins

Grup ini menetapkan dan mengelola kebijakan keamanan untuk seluruh organisasi, termasuk kebijakan pengelolaan akses dan batasan organisasi. Untuk merencanakan infrastruktur keamanan Anda, lihat Blueprint dasar Enterprise. Google Cloud

  • BigQuery Data Viewer (roles/bigquery.dataViewer)
  • Compute Viewer (roles/compute.viewer)
  • Folder IAM Admin (roles/resourcemanager.folderIamAdmin)
  • Kubernetes Engine Viewer (roles/container.viewer)
  • Logs Configuration Writer (roles/logging.configWriter)
  • Organization Role Viewer (roles/iam.organizationRoleViewer)
  • Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin)
  • Organization Policy Viewer (roles/orgpolicy.policyViewer)
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Reviewer (roles/iam.securityReviewer)

Dasar

grp-gcp-billing-viewer

Grup ini memantau pengeluaran pada project. Biasanya anggota grup adalah bagian dari tim keuangan.
  • Billing Account Viewer (roles/billing.viewer)

Dasar

grp-gcp-platform-viewer

Grup ini meninjau informasi resource di seluruh organisasi Google Cloud.
  • Pelihat (roles/viewer)

Dasar

grp-gcp-security-reviewer

Grup ini meninjau keamanan cloud.
  • Security Reviewer (roles/iam.securityReviewer)

Dasar

grp-gcp-network-viewer

Grup ini meninjau konfigurasi jaringan.
  • Penampil Jaringan Compute (roles/compute.networkViewer)

Dasar

grp-gcp-audit-viewer

Grup ini dapat melihat log audit.
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Pelihat (roles/viewer)

Dasar

grp-gcp-scc-admin

Grup ini mengelola Security Command Center.
  • Security Center Admin (roles/securitycenter.admin)

Dasar

grp-gcp-secrets-admin

Grup ini mengelola secret di Secret Manager.
  • Secret Manager Admin (roles/secretmanager.admin)

Administrator Vertex AI

grp-gcp-vertex-ai-admin

Grup ini memiliki akses penuh ke semua resource di Vertex AI.
  • Vertex AI Administrator (roles/aiplatform.admin))

Pelihat Vertex AI

grp-gcp-vertex-ai-viewer

Grup ini melihat semua resource di Vertex AI.
  • Vertex AI Viewer (roles/aiplatform.viewer)

Pengguna Vertex AI

grp-gcp-vertex-ai-user

Grup ini menggunakan semua resource di Vertex AI.
  • Pengguna Vertex AI (roles/aiplatform.user)

Administrator Vertex AI Workbench

grp-gcp-vertex-ai-notebook-admin

Grup ini memiliki akses penuh ke semua template runtime dan runtime di Vertex AI Workbench.
  • Admin Runtime Notebook (roles/aiplatform.notebookRuntimeAdmin)

Pengguna Vertex AI Workbench

grp-gcp-vertex-ai-notebook-user

Grup ini membuat resource runtime menggunakan template runtime dan mengelola resource runtime yang mereka buat.
  • Pengguna Runtime Notebook (roles/aiplatform.notebookRuntimeUser)

Langkah berikutnya