生成式 AI 適用的使用者群組和 Identity and Access Management 角色

下表列出建議的 Identity and Access Management (IAM) 角色,可做為在Google Cloud上執行生成式 AI 工作負載的起點。請設定 IAM 角色,在環境中實作權責劃分,並配合風險承受度和組織架構。

為貴組織中的使用者群組指派這些角色時,請思考應在何處套用更精細的角色,以因應特定的生成式 AI 用途和資料存取需求。如要在環境中使用高度機密資料訓練模型,請參閱「將資料匯入安全的 BigQuery 資料倉儲」一文,進一步瞭解可用來授予儲存資料存取權的角色。

下表提供角色建議。請將基礎建議套用至所有生成式 AI 工作負載,並將 Vertex AI 專屬建議套用至採用 Vertex AI 的生成式 AI 工作負載。

服務 群組 說明 IAM 角色

基礎

grp-gcp-org-admin

這個群組可以管理組織擁有的資源。 請謹慎指派這個角色。組織管理員有權存取所有 Google Cloud 資源。此外,由於這項功能具有高度權限,因此建議您使用個人帳戶,而非建立群組。
  • 組織管理員 (roles/resourcemanager.organizationAdmin)
  • 資料夾管理員 (roles/resourcemanager.folderAdmin)
  • 專案建立者 (roles/resourcemanager.projectCreator)
  • 帳單帳戶使用者 (roles/billing.user)
  • 組織角色管理員 (roles/iam.organizationRoleAdmin)
  • 組織政策管理員 (roles/orgpolicy.policyAdmin)
  • 安全中心管理員 (roles/securitycenter.admin)
  • 支援帳戶管理員 (roles/cloudsupport.admin)

基礎

grp-gcp-network-admins

這個群組可以建立網路、子網路、防火牆規則和網路裝置,例如 Cloud Router、Cloud VPN 和雲端負載平衡器。
  • Compute 網路管理員 (roles/compute.networkAdmin)
  • Compute Shared VPC 管理員 (roles/compute.xpnAdmin)
  • Compute 安全管理員 (roles/compute.securityAdmin)
  • 資料夾檢視者 (roles/resourcemanager.folderViewer)

基礎

grp-gcp-billing-admin

這個群組可以設定帳單帳戶,以及監控這類帳戶的使用情形。
  • 帳單帳戶管理員 (roles/billing.admin)
  • 帳單帳戶建立者 (roles/billing.creator)
  • 組織檢視者 (roles/resourcemanager.organizationViewer)

基礎

grp-gcp-security-admins

這個群組可以為整個組織建立及管理安全性政策,包括存取權管理和組織限制政策。如要規劃 Google Cloud 安全基礎架構,請參閱「企業基礎藍圖」一文。
  • BigQuery 資料檢視者 (roles/bigquery.dataViewer)
  • Compute 檢視者 (roles/compute.viewer)
  • 資料夾 IAM 管理員 (roles/resourcemanager.folderIamAdmin)
  • Kubernetes Engine 檢視者 (roles/container.viewer)
  • 記錄檔設定寫入者 (roles/logging.configWriter)
  • 組織角色檢視者 (roles/iam.organizationRoleViewer)
  • 組織政策管理員 (roles/orgpolicy.policyAdmin)
  • 組織政策檢視者 (roles/orgpolicy.policyViewer)
  • 私人記錄檔檢視者 (roles/logging.privateLogViewer)
  • 安全中心管理員 (roles/securitycenter.admin)
  • 安全性審查者 (roles/iam.securityReviewer)

基礎

grp-gcp-billing-viewer

這個群組可以監控專案支出。群組成員通常是財務團隊的成員。
  • 帳單帳戶檢視者 (roles/billing.viewer)

基礎

grp-gcp-platform-viewer

這個群組可以審查整個 Google Cloud組織的資源資訊。
  • 檢視者 (roles/viewer)

基礎

grp-gcp-security-reviewer

這個群組可以審查雲端安全性。
  • 安全性審查者 (roles/iam.securityReviewer)

基礎

grp-gcp-network-viewer

這個群組可以檢查網路設定。
  • Compute 網路檢視者 (roles/compute.networkViewer)

基礎

grp-gcp-audit-viewer

這個群組可以查看稽核記錄。
  • 私人記錄檔檢視者 (roles/logging.privateLogViewer)
  • 檢視者 (roles/viewer)

基礎

grp-gcp-scc-admin

這個群組可以管理 Security Command Center。
  • 安全中心管理員 (roles/securitycenter.admin)

基礎

grp-gcp-secrets-admin

這個群組可以管理 Secret Manager 中的 Secret。
  • Secret Manager 管理員 (roles/secretmanager.admin)

Vertex AI 管理員

grp-gcp-vertex-ai-admin

這個群組具備 Vertex AI 中所有資源的完整存取權。
  • Vertex AI 管理員 (roles/aiplatform.admin))

Vertex AI 檢視者

grp-gcp-vertex-ai-viewer

這個群組可以查看 Vertex AI 中的所有資源。
  • Vertex AI 檢視者 (roles/aiplatform.viewer)

Vertex AI 使用者

grp-gcp-vertex-ai-user

這個群組可以使用 Vertex AI 中的所有資源。
  • Vertex AI 使用者 (roles/aiplatform.user)

Vertex AI Workbench 管理員

grp-gcp-vertex-ai-notebook-admin

這個群組具備 Vertex AI Workbench 中所有執行階段範本和執行階段的完整存取權。
  • 筆記本執行階段管理員 (roles/aiplatform.notebookRuntimeAdmin)

Vertex AI Workbench 使用者

grp-gcp-vertex-ai-notebook-user

這個群組可以使用執行階段範本建立執行階段資源,以及管理自己建立的執行階段資源。
  • 筆記本執行階段使用者 (roles/aiplatform.notebookRuntimeUser)

後續步驟