Gruppi di utenti e ruoli IAM consigliati per l'AI generativa

La seguente tabella descrive i ruoli Identity and Access Management (IAM) che consigliamo come punto di partenza per l'esecuzione di workload di AI generativa suGoogle Cloud. Configura i ruoli IAM per implementare la separazione dei compiti all'interno del tuo ambiente e per allinearti alla tua propensione al rischio e alla struttura organizzativa.

Quando assegni questi ruoli ai gruppi di utenti della tua organizzazione, valuta dove devi applicare ruoli più granulari per soddisfare requisiti specifici di accesso ai dati e casi d'uso dell'AI generativa. Per gli ambienti in cui vengono utilizzati dati altamente sensibili per l'addestramento dei modelli, consulta Importare dati in un data warehouse BigQuery protetto per saperne di più sui ruoli che puoi utilizzare per consentire l'accesso ai dati archiviati.

La tabella seguente descrive i suggerimenti per i ruoli. Applica i consigli di base a tutti i workload di AI generativa e i consigli specifici di Vertex AI ai workload di AI generativa che utilizzano Vertex AI.

Servizio Gruppo Descrizione Ruoli IAM

Certificazione

grp-gcp-org-admin

Questo gruppo amministra le risorse appartenenti all'organizzazione. Assegna questo ruolo con parsimonia. Gli amministratori dell'organizzazione hanno accesso a tutte le tue risorse Google Cloud . In alternativa, poiché questa funzione è altamente privilegiata, valuta la possibilità di utilizzare account individuali anziché creare un gruppo.
  • Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)
  • Amministratore cartelle (roles/resourcemanager.folderAdmin)
  • Autore progetto (roles/resourcemanager.projectCreator)
  • Utente account di fatturazione (roles/billing.user)
  • Amministratore ruoli organizzazione (roles/iam.organizationRoleAdmin)
  • Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin)
  • Amministratore Centro sicurezza (roles/securitycenter.admin)
  • Amministratore account di assistenza (roles/cloudsupport.admin)

Certificazione

grp-gcp-network-admins

Questo gruppo può creare reti, subnet, regole firewall e dispositivi di rete come router Cloud, Cloud VPN e bilanciatori del carico cloud.
  • Compute Network Admin (roles/compute.networkAdmin)
  • Amministratore VPC condivisa Compute (roles/compute.xpnAdmin)
  • Compute Security Admin (roles/compute.securityAdmin)
  • Visualizzatore cartelle (roles/resourcemanager.folderViewer)

Certificazione

grp-gcp-billing-admin

Questo gruppo configura gli account di fatturazione e monitora il loro utilizzo.
  • Amministratore account di fatturazione (roles/billing.admin)
  • Creatore account di fatturazione (roles/billing.creator)
  • Visualizzatore organizzazione (roles/resourcemanager.organizationViewer)

Certificazione

grp-gcp-security-admins

Questo gruppo stabilisce e gestisce le policy di sicurezza per l'intera organizzazione, tra cui policy di gestione degli accessi e vincoli dell'organizzazione. Per pianificare l'infrastruttura di sicurezza di Google Cloud , consulta il progetto base per le aziende.
  • Visualizzatore dati BigQuery (roles/bigquery.dataViewer)
  • Visualizzatore Compute (roles/compute.viewer)
  • Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
  • Visualizzatore Kubernetes Engine (roles/container.viewer)
  • Logs Configuration Writer (roles/logging.configWriter)
  • Visualizzatore ruoli organizzazione (roles/iam.organizationRoleViewer)
  • Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin)
  • Visualizzatore criteri organizzazione (roles/orgpolicy.policyViewer)
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Amministratore Centro sicurezza (roles/securitycenter.admin)
  • Revisore sicurezza (roles/iam.securityReviewer)

Certificazione

grp-gcp-billing-viewer

Questo gruppo monitora la spesa per i progetti. In genere, i membri del gruppo fanno parte del team finanziario.
  • Visualizzatore account di fatturazione (roles/billing.viewer)

Certificazione

grp-gcp-platform-viewer

Questo gruppo esamina le informazioni sulle risorse in tutta l'organizzazione Google Cloud.
  • Visualizzatore (roles/viewer)

Certificazione

grp-gcp-security-reviewer

Questo gruppo esamina la sicurezza del cloud.
  • Revisore sicurezza (roles/iam.securityReviewer)

Certificazione

grp-gcp-network-viewer

Questo gruppo esamina le configurazioni di rete.
  • Compute Network Viewer (roles/compute.networkViewer)

Certificazione

grp-gcp-audit-viewer

Questo gruppo visualizza i log di controllo.
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Visualizzatore (roles/viewer)

Certificazione

grp-gcp-scc-admin

Questo gruppo amministra Security Command Center.
  • Amministratore Centro sicurezza (roles/securitycenter.admin)

Certificazione

grp-gcp-secrets-admin

Questo gruppo gestisce i secret in Secret Manager.
  • Secret Manager Admin (roles/secretmanager.admin)

Amministratori di Vertex AI

grp-gcp-vertex-ai-admin

Questo gruppo ha accesso completo a tutte le risorse di Vertex AI.
  • Vertex AI Administrator (roles/aiplatform.admin))

Visualizzatori di Vertex AI

grp-gcp-vertex-ai-viewer

Questo gruppo visualizza tutte le risorse di Vertex AI.
  • Vertex AI Viewer (roles/aiplatform.viewer)

Utenti di Vertex AI

grp-gcp-vertex-ai-user

Questo gruppo utilizza tutte le risorse di Vertex AI.
  • Vertex AI User (roles/aiplatform.user)

Amministratori di Vertex AI Workbench

grp-gcp-vertex-ai-notebook-admin

Questo gruppo ha accesso completo a tutti i modelli e runtime in Vertex AI Workbench.
  • Notebook Runtime Admin (roles/aiplatform.notebookRuntimeAdmin)

Utenti di Vertex AI Workbench

grp-gcp-vertex-ai-notebook-user

Questo gruppo crea risorse di runtime utilizzando un template di runtime e gestisce le risorse di runtime che ha creato.
  • Utente runtime notebook (roles/aiplatform.notebookRuntimeUser)

Passaggi successivi