Grupos de usuários e papéis do Identity and Access Management recomendados para IA generativa

A tabela a seguir descreve os papéis do Identity and Access Management (IAM) que recomendamos como ponto de partida para executar cargas de trabalho de IA generativa no Google Cloud. Configure seus papéis do IAM para implementar a separação de funções no ambiente e se alinhar ao apetite por risco e à estrutura organizacional.

Ao atribuir essas funções aos grupos de usuários na sua organização, considere onde é necessário aplicar funções mais detalhadas para atender a casos de uso específicos de IA generativa e requisitos de acesso a dados. Para ambientes em que dados altamente sensíveis são usados para treinar modelos, consulte Importar dados para um data warehouse seguro do BigQuery para mais informações sobre as funções que podem ser usadas para permitir o acesso aos dados armazenados.

A tabela a seguir descreve as recomendações de função. Aplique recomendações básicas a todas as cargas de trabalho de IA generativa e recomendações específicas da Vertex AI às cargas de trabalho de IA generativa que usam a Vertex AI.

Serviço Grupo Descrição Papéis IAM

Básica

grp-gcp-org-admin

Esse grupo administra os recursos que pertencem à organização. Atribua esse papel com moderação. Os administradores da organização têm acesso a todos os seus recursos do Google Cloud . Como essa função é altamente privilegiada, considere usar contas individuais em vez de criar um grupo.
  • Administrador da organização (roles/resourcemanager.organizationAdmin)
  • Administrador de pastas (roles/resourcemanager.folderAdmin)
  • roles/resourcemanager.projectCreatorCriador do projeto
  • Usuário da conta de faturamento (roles/billing.user)
  • Administrador de papéis da organização (roles/iam.organizationRoleAdmin)
  • Administrador da política da organização (roles/orgpolicy.policyAdmin)
  • Administrador da Central de segurança (roles/securitycenter.admin)
  • Administrador da conta de suporte (roles/cloudsupport.admin)

Básica

grp-gcp-network-admins

Esse grupo pode criar redes, sub-redes, regras de firewall e dispositivos de rede, como Cloud Router, Cloud VPN e balanceadores de carga na nuvem.
  • Administrador de rede do Compute (roles/compute.networkAdmin)
  • Administrador de VPC compartilhada do Compute (roles/compute.xpnAdmin)
  • Administrador de segurança do Compute (roles/compute.securityAdmin)
  • Leitor de pastas (roles/resourcemanager.folderViewer)

Básica

grp-gcp-billing-admin

Esse grupo configura contas de faturamento e monitora o uso delas.
  • Administrador da conta de faturamento (roles/billing.admin)
  • Criador da conta de faturamento (roles/billing.creator)
  • Leitor da organização (roles/resourcemanager.organizationViewer)

Básica

grp-gcp-security-admins

Esse grupo estabelece e gerencia políticas de segurança para toda a organização, incluindo gerenciamento de acesso e políticas de restrição. Para planejar sua infraestrutura de segurança do Google Cloud , consulte o Blueprint de bases empresariais.
  • Leitor de dados do BigQuery (roles/bigquery.dataViewer)
  • Leitor do Compute (roles/compute.viewer)
  • Administrador de pastas do IAM (roles/resourcemanager.folderIamAdmin)
  • Leitor do Kubernetes Engine (roles/container.viewer)
  • Gravador de configuração de registros (roles/logging.configWriter)
  • Leitor de papel da organização (roles/iam.organizationRoleViewer)
  • Administrador da política da organização (roles/orgpolicy.policyAdmin)
  • Leitor da política da organização (roles/orgpolicy.policyViewer)
  • Visualizador de registros particulares (roles/logging.privateLogViewer)
  • Administrador da Central de segurança (roles/securitycenter.admin)
  • Avaliador de segurança (roles/iam.securityReviewer)

Básica

grp-gcp-billing-viewer

Esse grupo monitora os gastos em projetos. Normalmente, os membros do grupo fazem parte da equipe financeira.
  • Leitor da conta de faturamento (roles/billing.viewer)

Básica

grp-gcp-platform-viewer

Esse grupo analisa as informações de recursos em toda a organização Google Cloud.
  • Visualizador (roles/viewer)

Básica

grp-gcp-security-reviewer

Esse grupo analisa a segurança na nuvem.
  • Avaliador de segurança (roles/iam.securityReviewer)

Básica

grp-gcp-network-viewer

Esse grupo analisa as configurações de rede.
  • Leitor da rede do Compute (roles/compute.networkViewer)

Básica

grp-gcp-audit-viewer

Esse grupo acessa registros de auditoria.
  • Visualizador de registros particulares (roles/logging.privateLogViewer)
  • Visualizador (roles/viewer)

Básica

grp-gcp-scc-admin

Esse grupo administra o Security Command Center.
  • Administrador da Central de segurança (roles/securitycenter.admin)

Básica

grp-gcp-secrets-admin

Esse grupo gerencia secrets no Secret Manager.
  • Administrador do Secret Manager (roles/secretmanager.admin)

Administradores da Vertex AI

grp-gcp-vertex-ai-admin

Esse grupo tem acesso total a todos os recursos da Vertex AI.
  • Administrador da Vertex AI (roles/aiplatform.admin))

Leitores da Vertex AI

grp-gcp-vertex-ai-viewer

Esse grupo mostra todos os recursos da Vertex AI.
  • Leitor da Vertex AI (roles/aiplatform.viewer)

Usuários da Vertex AI

grp-gcp-vertex-ai-user

Esse grupo usa todos os recursos da Vertex AI.
  • Usuário da Vertex AI (roles/aiplatform.user)

Administradores do Vertex AI Workbench

grp-gcp-vertex-ai-notebook-admin

Esse grupo tem acesso total a todos os modelos e ambientes de execução no Vertex AI Workbench.
  • Administrador do ambiente de execução do notebook (roles/aiplatform.notebookRuntimeAdmin)

Usuários do Vertex AI Workbench

grp-gcp-vertex-ai-notebook-user

Esse grupo cria recursos de ambiente de execução usando um modelo e gerencia os recursos criados.
  • Usuário do ambiente de execução do notebook (roles/aiplatform.notebookRuntimeUser)

A seguir