Gruppi di utenti e ruoli IAM consigliati per l'AI generativa

La tabella seguente descrive i ruoli IAM (Identity and Access Management) che consigliamo come punto di partenza per l'esecuzione dei carichi di lavoro di AI generativa su Google Cloud. Configura i ruoli IAM per implementare la separazione dei compiti all'interno del tuo ambiente e per allinearti alla tua propensione al rischio e alla struttura organizzativa.

Quando assegni questi ruoli ai gruppi di utenti della tua organizzazione, valuta dove devi applicare ruoli più granulari per soddisfare requisiti specifici di accesso ai dati e casi d'uso di AI generativa. Per gli ambienti in cui vengono utilizzati dati altamente sensibili per l'addestramento dei modelli, consulta Importare dati in un data warehouse BigQuery protetto per ulteriori informazioni sui ruoli che puoi utilizzare per consentire l'accesso ai dati archiviati data.

La tabella seguente descrive i consigli sui ruoli. Applica i consigli di base a tutti i carichi di lavoro di AI generativa e i consigli specifici di Gemini Enterprise Agent Platform ai carichi di lavoro di AI generativa che utilizzano Agent Platform.

Servizio Gruppo Descrizione Ruoli IAM

Certificazione

grp-gcp-org-admin

Questo gruppo amministra le risorse appartenenti all'organizzazione. Assegna questo ruolo con parsimonia. Gli amministratori dell'organizzazione hanno accesso a tutte le tue Google Cloud risorse. In alternativa, poiché questa funzione è altamente privilegiata, valuta la possibilità di utilizzare account individuali anziché creare un gruppo.
  • Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)
  • Amministratore cartelle (roles/resourcemanager.folderAdmin)
  • Autore progetto (roles/resourcemanager.projectCreator)
  • Utente account di fatturazione (roles/billing.user)
  • Amministratore ruoli organizzazione (roles/iam.organizationRoleAdmin)
  • Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin)
  • Amministratore Centro sicurezza (roles/securitycenter.admin)
  • Amministratore account di assistenza (roles/cloudsupport.admin)

Certificazione

grp-gcp-network-admins

Questo gruppo può creare reti, subnet, regole firewall e dispositivi di rete come router Cloud, Cloud VPN e bilanciatori del carico cloud.
  • Compute Network Admin (roles/compute.networkAdmin)
  • Amministratore VPC condivisa Compute (roles/compute.xpnAdmin)
  • Compute Security Admin (roles/compute.securityAdmin)
  • Folder Viewer (roles/resourcemanager.folderViewer)

Certificazione

grp-gcp-billing-admin

Questo gruppo configura gli account di fatturazione e ne monitora l'utilizzo.
  • Amministratore account di fatturazione (roles/billing.admin)
  • Creatore account di fatturazione (roles/billing.creator)
  • Visualizzatore organizzazione (roles/resourcemanager.organizationViewer)

Certificazione

grp-gcp-security-admins

Questo gruppo stabilisce e gestisce i criteri di sicurezza per l'intera organizzazione, inclusi i criteri di gestione degli accessi e i vincoli dell'organizzazione. Per pianificare l0/} l'infrastruttura di sicurezza, consulta il progetto base Enterprise. Google Cloud

  • Visualizzatore dati BigQuery (roles/bigquery.dataViewer)
  • Compute Viewer (roles/compute.viewer)
  • Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
  • Visualizzatore Kubernetes Engine (roles/container.viewer)
  • Logs Configuration Writer (roles/logging.configWriter)
  • Visualizzatore ruoli organizzazione (roles/iam.organizationRoleViewer)
  • Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin)
  • Visualizzatore criteri organizzazione (roles/orgpolicy.policyViewer)
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Amministratore Centro sicurezza (roles/securitycenter.admin)
  • Revisore sicurezza (roles/iam.securityReviewer)

Certificazione

grp-gcp-billing-viewer

Questo gruppo monitora la spesa per i progetti. In genere, i membri del gruppo fanno parte del team finanziario.
  • Visualizzatore account di fatturazione (roles/billing.viewer)

Certificazione

grp-gcp-platform-viewer

Questo gruppo esamina le informazioni sulle risorse dell' Google Cloud organizzazione.
  • Visualizzatore (roles/viewer)

Certificazione

grp-gcp-security-reviewer

Questo gruppo esamina la sicurezza del cloud.
  • Revisore sicurezza (roles/iam.securityReviewer)

Certificazione

grp-gcp-network-viewer

Questo gruppo esamina le configurazioni di rete.
  • Compute Network Viewer (roles/compute.networkViewer)

Certificazione

grp-gcp-audit-viewer

Questo gruppo visualizza i log di controllo.
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Visualizzatore (roles/viewer)

Certificazione

grp-gcp-scc-admin

Questo gruppo amministra Security Command Center.
  • Amministratore Centro sicurezza (roles/securitycenter.admin)

Certificazione

grp-gcp-secrets-admin

Questo gruppo gestisce i secret in Secret Manager.
  • Secret Manager Admin (roles/secretmanager.admin)

Amministratori di Agent Platform

grp-gcp-vertex-ai-admin

Questo gruppo ha accesso completo a tutte le risorse in Agent Platform.
  • Vertex AI Administrator (roles/aiplatform.admin)

Visualizzatori di Agent Platform

grp-gcp-vertex-ai-viewer

Questo gruppo visualizza tutte le risorse in Agent Platform.
  • Vertex AI Viewer (roles/aiplatform.viewer)

Utenti di Agent Platform

grp-gcp-vertex-ai-user

Questo gruppo utilizza tutte le risorse in Agent Platform.
  • Vertex AI User (roles/aiplatform.user)

Amministratori di Gemini Enterprise Agent Platform Workbench

grp-gcp-vertex-ai-notebook-admin

Questo gruppo ha accesso completo a tutti i modelli e runtime in Agent Platform Workbench.
  • Notebook Runtime Admin (roles/aiplatform.notebookRuntimeAdmin)

Utenti di Agent Platform Workbench

grp-gcp-vertex-ai-notebook-user

Questo gruppo crea risorse di runtime utilizzando un modello di runtime e gestisce le risorse di runtime che ha creato.
  • Notebook Runtime User (roles/aiplatform.notebookRuntimeUser)

Passaggi successivi