Gruppi di utenti e ruoli IAM consigliati per l'AI generativa

La seguente tabella descrive i ruoli Identity and Access Management (IAM) che consigliamo come punto di partenza per l'esecuzione di workload di AI generativa suGoogle Cloud. Configura i ruoli IAM per implementare la separazione dei compiti all'interno del tuo ambiente e per allinearti alla tua propensione al rischio e alla struttura organizzativa.

Quando assegni questi ruoli ai gruppi di utenti della tua organizzazione, valuta dove devi applicare ruoli più granulari per soddisfare requisiti specifici di accesso ai dati e casi d'uso dell'AI generativa. Per gli ambienti in cui vengono utilizzati dati altamente sensibili per addestrare i modelli, consulta Importare dati in un data warehouse BigQuery protetto per saperne di più sui ruoli che puoi utilizzare per consentire l'accesso ai dati archiviati.

La tabella seguente descrive i suggerimenti per i ruoli. Applica i consigli di base a tutti i workload di AI generativa e i consigli specifici di Vertex AI ai workload di AI generativa che utilizzano Vertex AI.

Servizio Gruppo Descrizione Ruoli IAM

Certificazione

grp-gcp-org-admin

Questo gruppo amministra le risorse appartenenti all'organizzazione. Assegna questo ruolo con parsimonia. Gli amministratori dell'organizzazione hanno accesso a tutte le tue risorse Google Cloud . In alternativa, poiché questa funzione è altamente privilegiata, valuta la possibilità di utilizzare account individuali anziché creare un gruppo.
  • Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)
  • Amministratore cartelle (roles/resourcemanager.folderAdmin)
  • Autore progetto (roles/resourcemanager.projectCreator)
  • Utente account di fatturazione (roles/billing.user)
  • Amministratore ruoli organizzazione (roles/iam.organizationRoleAdmin)
  • Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin)
  • Amministratore Centro sicurezza (roles/securitycenter.admin)
  • Amministratore account di assistenza (roles/cloudsupport.admin)

Certificazione

grp-gcp-network-admins

Questo gruppo può creare reti, subnet, regole firewall e dispositivi di rete come router Cloud, Cloud VPN e bilanciatori del carico cloud.
  • Compute Network Admin (roles/compute.networkAdmin)
  • Amministratore VPC condivisa Compute (roles/compute.xpnAdmin)
  • Compute Security Admin (roles/compute.securityAdmin)
  • Visualizzatore cartelle (roles/resourcemanager.folderViewer)

Certificazione

grp-gcp-billing-admin

Questo gruppo configura gli account di fatturazione e monitora il loro utilizzo.
  • Amministratore account di fatturazione (roles/billing.admin)
  • Creatore account di fatturazione (roles/billing.creator)
  • Visualizzatore organizzazione (roles/resourcemanager.organizationViewer)

Certificazione

grp-gcp-security-admins

Questo gruppo stabilisce e gestisce le policy di sicurezza per l'intera organizzazione, tra cui policy di gestione degli accessi e vincoli dell'organizzazione. Per pianificare l'infrastruttura di sicurezza di Google Cloud , consulta il progetto base per le aziende.
  • Visualizzatore dati BigQuery (roles/bigquery.dataViewer)
  • Visualizzatore Compute (roles/compute.viewer)
  • Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
  • Visualizzatore Kubernetes Engine (roles/container.viewer)
  • Logs Configuration Writer (roles/logging.configWriter)
  • Visualizzatore ruoli organizzazione (roles/iam.organizationRoleViewer)
  • Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin)
  • Visualizzatore criteri organizzazione (roles/orgpolicy.policyViewer)
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Amministratore Centro sicurezza (roles/securitycenter.admin)
  • Revisore sicurezza (roles/iam.securityReviewer)

Certificazione

grp-gcp-billing-viewer

Questo gruppo monitora la spesa per i progetti. In genere, i membri del gruppo fanno parte del team finanziario.
  • Visualizzatore account di fatturazione (roles/billing.viewer)

Certificazione

grp-gcp-platform-viewer

Questo gruppo esamina le informazioni sulle risorse in tutta l'organizzazione Google Cloud.
  • Visualizzatore (roles/viewer)

Certificazione

grp-gcp-security-reviewer

Questo gruppo esamina la sicurezza del cloud.
  • Revisore sicurezza (roles/iam.securityReviewer)

Certificazione

grp-gcp-network-viewer

Questo gruppo esamina le configurazioni di rete.
  • Compute Network Viewer (roles/compute.networkViewer)

Certificazione

grp-gcp-audit-viewer

Questo gruppo visualizza i log di controllo.
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Visualizzatore (roles/viewer)

Certificazione

grp-gcp-scc-admin

Questo gruppo amministra Security Command Center.
  • Amministratore Centro sicurezza (roles/securitycenter.admin)

Certificazione

grp-gcp-secrets-admin

Questo gruppo gestisce i secret in Secret Manager.
  • Secret Manager Admin (roles/secretmanager.admin)

Amministratori di Vertex AI

grp-gcp-vertex-ai-admin

Questo gruppo ha accesso completo a tutte le risorse di Vertex AI.
  • Vertex AI Administrator (roles/aiplatform.admin))

Visualizzatori di Vertex AI

grp-gcp-vertex-ai-viewer

Questo gruppo visualizza tutte le risorse di Vertex AI.
  • Vertex AI Viewer (roles/aiplatform.viewer)

Utenti di Vertex AI

grp-gcp-vertex-ai-user

Questo gruppo utilizza tutte le risorse di Vertex AI.
  • Vertex AI User (roles/aiplatform.user)

Amministratori di Vertex AI Workbench

grp-gcp-vertex-ai-notebook-admin

Questo gruppo ha accesso completo a tutti i modelli e runtime in Vertex AI Workbench.
  • Notebook Runtime Admin (roles/aiplatform.notebookRuntimeAdmin)

Utenti di Vertex AI Workbench

grp-gcp-vertex-ai-notebook-user

Questo gruppo crea risorse di runtime utilizzando un template di runtime e gestisce le risorse di runtime che ha creato.
  • Utente runtime notebook (roles/aiplatform.notebookRuntimeUser)

Passaggi successivi