Grupos de utilizadores e funções de gestão de identidade e de acesso recomendados para a IA generativa

A tabela seguinte descreve as funções de gestão de identidades e acessos (IAM) que recomendamos como ponto de partida para executar cargas de trabalho de IA generativa noGoogle Cloud. Configure as suas funções da IAM para implementar a separação de responsabilidades no seu ambiente e para se alinhar com a sua tolerância ao risco e estrutura organizacional.

À medida que atribui estas funções aos grupos de utilizadores na sua organização, considere onde precisa de aplicar funções mais detalhadas para abordar exemplos de utilização específicos da IA generativa e requisitos de acesso aos dados. Para ambientes onde são usados dados altamente confidenciais para preparar modelos, consulte o artigo Importe dados para um data warehouse do BigQuery seguro para mais informações acerca das funções que pode usar para permitir o acesso a dados armazenados.

A tabela seguinte descreve as recomendações de funções. Aplique recomendações fundamentais a todas as cargas de trabalho de IA generativa e recomendações específicas do Vertex AI a cargas de trabalho de IA generativa que usam o Vertex AI.

Serviço Grupo Descrição Funções de IAM

Fundacional

grp-gcp-org-admin

Este grupo administra os recursos que pertencem à organização. Atribua esta função com moderação. Os administradores da organização têm acesso a todos os seus Google Cloud recursos. Em alternativa, uma vez que esta função é altamente privilegiada, considere usar contas individuais em vez de criar um grupo.
  • Administrador da organização (roles/resourcemanager.organizationAdmin)
  • Administrador da pasta (roles/resourcemanager.folderAdmin)
  • Criador do projeto (roles/resourcemanager.projectCreator)
  • Utilizador da conta de faturação (roles/billing.user)
  • Administrador da função da organização (roles/iam.organizationRoleAdmin)
  • Administrador da política da organização (roles/orgpolicy.policyAdmin)
  • Administrador do Centro de segurança (roles/securitycenter.admin)
  • Administrador da conta de apoio técnico (roles/cloudsupport.admin)

Fundacional

grp-gcp-network-admins

Este grupo pode criar redes, sub-redes, regras de firewall e dispositivos de rede, como o Cloud Router, a Cloud VPN e os balanceadores de carga na nuvem.
  • Administrador de rede de Calcular (roles/compute.networkAdmin)
  • Administrador da VPC partilhada do Compute (roles/compute.xpnAdmin)
  • Administrador de segurança de Calcular (roles/compute.securityAdmin)
  • Visualizador de pastas (roles/resourcemanager.folderViewer)

Fundacional

grp-gcp-billing-admin

Este grupo configura contas de faturação e monitoriza a respetiva utilização.
  • Administrador da conta de faturação (roles/billing.admin)
  • Criador da conta de faturação (roles/billing.creator)
  • Visitante da organização (roles/resourcemanager.organizationViewer)

Fundacional

grp-gcp-security-admins

Este grupo estabelece e gere políticas de segurança para toda a organização, incluindo a gestão de acessos e as políticas de restrição da organização. Para planear a sua Google Cloud infraestrutura de segurança, consulte o blueprint de bases empresariais.
  • Visualizador de dados do BigQuery (roles/bigquery.dataViewer)
  • Compute Viewer (roles/compute.viewer)
  • Administrador de IAM de pastas (roles/resourcemanager.folderIamAdmin)
  • Leitor do Kubernetes Engine (roles/container.viewer)
  • Logs Configuration Writer (roles/logging.configWriter)
  • Visitante da função da organização (roles/iam.organizationRoleViewer)
  • Administrador da política da organização (roles/orgpolicy.policyAdmin)
  • Visitante da política da organização (roles/orgpolicy.policyViewer)
  • Visualizador de registos privados (roles/logging.privateLogViewer)
  • Administrador do Centro de segurança (roles/securitycenter.admin)
  • Revisor de segurança (roles/iam.securityReviewer)

Fundacional

grp-gcp-billing-viewer

Este grupo monitoriza os gastos em projetos. Normalmente, os membros do grupo fazem parte da equipa financeira.
  • Leitor da conta de faturação (roles/billing.viewer)

Fundacional

grp-gcp-platform-viewer

Este grupo revê as informações dos recursos em toda a organização Google Cloud

  • Leitor (roles/viewer)

Fundacional

grp-gcp-security-reviewer

Este grupo revê a segurança na nuvem.
  • Revisor de segurança (roles/iam.securityReviewer)

Fundacional

grp-gcp-network-viewer

Este grupo revê as configurações de rede.
  • Leitor da rede de computação (roles/compute.networkViewer)

Fundacional

grp-gcp-audit-viewer

Este grupo vê os registos de auditoria.
  • Visualizador de registos privados (roles/logging.privateLogViewer)
  • Leitor (roles/viewer)

Fundacional

grp-gcp-scc-admin

Este grupo administra o Security Command Center.
  • Administrador do Centro de segurança (roles/securitycenter.admin)

Fundacional

grp-gcp-secrets-admin

Este grupo gere Secrets no Secret Manager.
  • Administrador do Secret Manager (roles/secretmanager.admin)

Administradores da Vertex AI

grp-gcp-vertex-ai-admin

Este grupo tem acesso total a todos os recursos na Vertex AI.
  • Administrador da Vertex AI (roles/aiplatform.admin))

Visualizadores do Vertex AI

grp-gcp-vertex-ai-viewer

Este grupo vê todos os recursos na Vertex AI.
  • Leitor do Vertex AI (roles/aiplatform.viewer)

Utilizadores do Vertex AI

grp-gcp-vertex-ai-user

Este grupo usa todos os recursos no Vertex AI.
  • Utilizador do Vertex AI (roles/aiplatform.user)

Administradores do Vertex AI Workbench

grp-gcp-vertex-ai-notebook-admin

Este grupo tem acesso total a todos os modelos de tempo de execução e tempos de execução no Vertex AI Workbench.
  • Administrador do tempo de execução do bloco de notas (roles/aiplatform.notebookRuntimeAdmin)

Utilizadores do Vertex AI Workbench

grp-gcp-vertex-ai-notebook-user

Este grupo cria recursos de tempo de execução através de um modelo de tempo de execução e gere os recursos de tempo de execução que criou.
  • Utilizador de tempo de execução do notebook (roles/aiplatform.notebookRuntimeUser)

O que se segue?