Remarque : Cette documentation s'applique aux éditions Standard, Plus et Frontline de Gemini Enterprise. Pour en savoir plus sur l'édition Business, consultez le Centre d'aide Gemini Enterprise – Édition Business.

Configurer les contrôles d'accès pour les applications

Cette page explique comment un administrateur Gemini Enterprise peut utiliser l'API pour gérer le contrôle d'accès précis pour chaque application Gemini Enterprise.

Par défaut, les autorisations IAM sont souvent gérées au niveau du projet. L'IAM au niveau de l'application permet un contrôle plus précis, ce qui permet aux administrateurs de :

Restreindre l'accès des utilisateurs à des applications spécifiques au sein du même projet Google Cloud .
Alignez les autorisations sur les besoins organisationnels et les silos de données pour vos déploiements Gemini Enterprise.

Prenons l'exemple d'une organisation disposant d'une application RH et d'une application à l'échelle de l'entreprise. Un membre de l'équipe RH disposant d'autorisations au niveau du projet peut accéder aux deux applications. En revanche, en utilisant une stratégie IAM au niveau de l'application, vous pouvez accorder à un membre de l'équipe commerciale l'accès à l'application à l'échelle de l'entreprise uniquement, ce qui l'empêche d'accéder à l'application RH.

Schéma d'exemples de stratégies IAM au niveau de l'application.

Avant de commencer

Vérifiez que vous disposez du rôle Administrateur Gemini Enterprise.
Vérifiez que tous les utilisateurs Gemini Enterprise disposant d'une licence valide ont le rôle Utilisateur restreint Gemini Enterprise.

Gérer les stratégies IAM pour les applications

Pour gérer l'accès à votre application Gemini Enterprise, vous pouvez utiliser les méthodes d'API getIamPolicy et setIamPolicy.

Les étapes suivantes vous expliquent comment récupérer la stratégie actuelle, puis la mettre à jour pour accorder ou révoquer l'accès des utilisateurs.

Obtenir la stratégie IAM de l'application

Obtenez la stratégie IAM actuelle de votre application à l'aide de la méthode getIamPolicy. Nous vous recommandons de récupérer d'abord la stratégie existante pour éviter d'écraser les autorisations actuelles.

REST

Terme clé : Dans Gemini Enterprise, le terme application peut être utilisé de manière interchangeable avec le terme moteur dans le contexte des API. Un moteur Gemini Enterprise est un moteur de recherche générique dont le champ app_type est défini sur APP_TYPE_INTRANET.

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID:getIamPolicy"

Remplacez les éléments suivants :

PROJECT_ID : par l'ID du projet.
ENDPOINT_LOCATION : région multirégionale pour votre requête API. Spécifiez l'une des valeurs suivantes :
- us pour la multirégion des États-Unis
- eu pour la multirégion de l'UE
- global pour l'emplacement "Global"
Pour en savoir plus, consultez Spécifier une multirégion pour votre datastore.
LOCATION : région multirégionale de votre data store : global, us ou eu
APP_ID : ID de l'application que vous souhaitez configurer.

Remarque : Copiez la valeur etag à partir de la réponse. Cette valeur est requise pour mettre à jour la stratégie IAM. La valeur etag change à chaque mise à jour de la stratégie.

Exemple de commande et résultat

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://global-discoveryengine.googleapis.com/v1/projects/my-project-123/locations/global/collections/default_collection/engines/my-app:getIamPolicy"

{
  "version": 1,
  "etag": "1234567890"
}

Mettre à jour la stratégie IAM de l'application

Pour accorder ou révoquer l'accès des utilisateurs à l'application, mettez à jour la stratégie IAM de l'application à l'aide de la méthode setIamPolicy.

La stratégie IAM utilise le rôle Utilisateur Gemini Enterprise (roles/discoveryengine.agentspaceUser) pour accorder aux utilisateurs un accès direct à l'application.

REST

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
      "policy": {
         "etag": "ETAG",
         "bindings": [
          {
            "role": "roles/discoveryengine.agentspaceUser",
            "members": [
              "user:USER_EMAIL_1",
              "user:USER_EMAIL_2"
            ]
          }
        ]
      }
    }' \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID:setIamPolicy"

Remplacez les éléments suivants :

ETAG : valeur etag obtenue en réponse lorsque vous avez utilisé la méthode getIamPolicy.
USER_EMAIL_1, USER_EMAIL_2 : une ou plusieurs adresses e-mail d'utilisateur.
- Pour accorder l'accès, ajoutez les adresses e-mail des utilisateurs au tableau members, chacune précédée de user :
  
  Remarque : Évitez les espaces superflus avant ou après l'adresse e-mail.
- Pour révoquer l'accès, supprimez les adresses e-mail des utilisateurs du tableau members.
PROJECT_ID : par l'ID du projet.
ENDPOINT_LOCATION : région multirégionale pour votre requête API. Spécifiez une des valeurs suivantes :
- us pour la multirégion des États-Unis
- eu pour la multirégion de l'UE
- global pour l'emplacement "Global"
Pour en savoir plus, consultez Spécifier une multirégion pour votre datastore.
LOCATION : emplacement multirégional de votre data store : global, us ou eu.
APP_ID : ID de l'application que vous souhaitez configurer.

Remarque : La valeur etag change à chaque mise à jour de la stratégie. Pour mettre à jour à nouveau la stratégie, vous devez d'abord obtenir le nouveau etag en suivant Obtenir la stratégie IAM de l'application.

Exemple de commande et résultat

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
      "policy": {
         "etag": "1234567890",
         "bindings": [
          {
            "role": "roles/discoveryengine.agentspaceUser",
            "members": [
              "user:cloudysanfrancisco@gmail.com",
              "user:jeffersonloveshiking@gmail.com"
            ]
          }
        ]
      }
    }' \
"https://global-discoveryengine.googleapis.com/v1/projects/my-project-123/locations/global/collections/default_collection/engines/my-app:setIamPolicy"

{
  "version": 1,
  "etag": "2345678901",
  "bindings": [
    {
      "role": "roles/discoveryengine.agentspaceUser",
      "members": [
        "user:cloudysanfrancisco@gmail.com",
        "user:jeffersonloveshiking@gmail.com"
      ]
    }
  ]
}

Étape suivante

Si vous souhaitez supprimer une application avec une stratégie IAM, vous pouvez supprimer les utilisateurs de la stratégie avant de supprimer l'application. Pour en savoir plus, consultez Bonnes pratiques pour supprimer une application avec une stratégie IAM.

Configurer les contrôles d'accès pour les applications Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Avant de commencer

Gérer les stratégies IAM pour les applications

Obtenir la stratégie IAM de l'application

REST

Exemple de commande et résultat

Mettre à jour la stratégie IAM de l'application

REST

Exemple de commande et résultat

Étape suivante

Configurer les contrôles d'accès pour les applications