Grupos de usuários e papéis do Identity and Access Management recomendados para IA generativa

A tabela a seguir descreve os papéis do Identity and Access Management (IAM, na sigla em inglês) que recomendamos como ponto de partida para executar cargas de trabalho de IA generativa no Google Cloud. Configure seus papéis do IAM para implementar a separação de tarefas no ambiente e para se alinhar ao seu apetite de risco e estrutura organizacional.

Ao atribuir esses papéis aos grupos de usuários na sua organização, considere onde é necessário aplicar papéis mais refinados para atender a casos de uso específicos de IA generativa e requisitos de acesso a dados. Para ambientes em que dados sensíveis são usados para treinar modelos, consulte Importar dados para um data warehouse seguro do BigQuery para mais informações sobre os papéis que podem ser usados para permitir o acesso a dados armazenados.

A tabela a seguir descreve as recomendações de papéis. Aplique recomendações básicas a todas as cargas de trabalho de IA generativa e recomendações específicas da plataforma de agentes do Gemini Enterprise a cargas de trabalho de IA generativa que usam a plataforma de agentes.

Serviço Grupo Descrição Papéis IAM

Básica

grp-gcp-org-admin

Esse grupo administra os recursos que pertencem à organização. Atribua esse papel com moderação. Os administradores da organização têm acesso a todos os seus Google Cloud recursos. Como essa função é altamente privilegiada, considere usar contas individuais em vez de criar um grupo.
  • Administrador da organização (roles/resourcemanager.organizationAdmin)
  • Administrador de pastas (roles/resourcemanager.folderAdmin)
  • Criador de projetos (roles/resourcemanager.projectCreator)
  • Usuário da conta de faturamento (roles/billing.user)
  • Administrador de papéis da organização (roles/iam.organizationRoleAdmin)
  • Administrador da política da organização (roles/orgpolicy.policyAdmin)
  • Administrador da Central de segurança (roles/securitycenter.admin)
  • Administrador da conta de suporte (roles/cloudsupport.admin)

Básica

grp-gcp-network-admins

Esse grupo pode criar redes, sub-redes, regras de firewall e dispositivos de rede , como o Cloud Router, Cloud VPN e Cloud Load Balancing.
  • Administrador de rede do Compute (roles/compute.networkAdmin)
  • Administrador de VPC compartilhada do Compute (roles/compute.xpnAdmin)
  • Administrador de segurança do Compute (roles/compute.securityAdmin)
  • Leitor de pastas (roles/resourcemanager.folderViewer)

Básica

grp-gcp-billing-admin

Esse grupo configura contas de faturamento e monitora o uso delas.
  • Administrador da conta de faturamento (roles/billing.admin)
  • Criador da conta de faturamento (roles/billing.creator)
  • Leitor da organização (roles/resourcemanager.organizationViewer)

Básica

grp-gcp-security-admins

Esse grupo estabelece e gerencia políticas de segurança para toda a organização, incluindo o gerenciamento de acesso e as políticas de restrição. Para planejar sua Google Cloud infraestrutura de segurança, consulte o Blueprint de bases empresariais.
  • Leitor de dados do BigQuery (roles/bigquery.dataViewer)
  • Visualizador do Compute (roles/compute.viewer)
  • Administrador de IAM da pasta (roles/resourcemanager.folderIamAdmin)
  • Leitor do Kubernetes Engine (roles/container.viewer)
  • Gravador de configuração de registros (roles/logging.configWriter)
  • Leitor de papéis da organização (roles/iam.organizationRoleViewer)
  • Administrador da política da organização (roles/orgpolicy.policyAdmin)
  • Leitor da política da organização (roles/orgpolicy.policyViewer)
  • Visualizador de registros particulares (roles/logging.privateLogViewer)
  • Administrador da Central de segurança (roles/securitycenter.admin)
  • Avaliador de segurança (roles/iam.securityReviewer)

Básica

grp-gcp-billing-viewer

Esse grupo monitora os gastos em projetos. Normalmente, os membros do grupo fazem parte da equipe financeira.
  • Leitor da conta de faturamento (roles/billing.viewer)

Básica

grp-gcp-platform-viewer

Esse grupo analisa as informações de recursos na Google Cloud organização.
  • Leitor (roles/viewer)

Básica

grp-gcp-security-reviewer

Esse grupo analisa a segurança na nuvem.
  • Avaliador de segurança (roles/iam.securityReviewer)

Básica

grp-gcp-network-viewer

Esse grupo analisa as configurações de rede.
  • Leitor da rede do Compute (roles/compute.networkViewer)

Básica

grp-gcp-audit-viewer

Esse grupo visualiza registros de auditoria.
  • Visualizador de registros particulares (roles/logging.privateLogViewer)
  • Leitor (roles/viewer)

Básica

grp-gcp-scc-admin

Esse grupo administra o Security Command Center.
  • Administrador da Central de segurança (roles/securitycenter.admin)

Básica

grp-gcp-secrets-admin

Esse grupo gerencia secrets no Secret Manager.
  • Administrador do Secret Manager (roles/secretmanager.admin)

Administradores da plataforma de agentes

grp-gcp-vertex-ai-admin

Esse grupo tem acesso total a todos os recursos na plataforma de agentes.
  • Administrador da Vertex AI (roles/aiplatform.admin)

Leitores da plataforma de agentes

grp-gcp-vertex-ai-viewer

Esse grupo visualiza todos os recursos na plataforma de agentes.
  • Visualizador da Vertex AI (roles/aiplatform.viewer)

Usuários da plataforma de agentes

grp-gcp-vertex-ai-user

Esse grupo usa todos os recursos na plataforma de agentes.
  • Usuário da Vertex AI (roles/aiplatform.user)

Administradores do Workbench da plataforma de agentes do Gemini Enterprise

grp-gcp-vertex-ai-notebook-admin

Esse grupo tem acesso total a todos os modelos e ambientes de execução no Workbench da plataforma de agentes.
  • Administrador de ambiente de execução do notebook (roles/aiplatform.notebookRuntimeAdmin)

Usuários do Workbench da plataforma de agentes

grp-gcp-vertex-ai-notebook-user

Esse grupo cria recursos de ambiente de execução usando um modelo e gerencia os recursos criados.
  • Usuário do ambiente de execução do notebook (roles/aiplatform.notebookRuntimeUser)

A seguir