アプリのアクセス制御を構成する

このページでは、Gemini Enterprise の管理者が API を使用して、個々の Gemini Enterprise アプリに対するきめ細かいアクセス制御を管理する方法について説明します。

デフォルトでは、IAM 権限はプロジェクト レベルで管理されることがよくあります。アプリレベルの IAM を使用すると、よりきめ細かい制御が可能になり、管理者は次のことができます。

  • 同じ Google Cloud プロジェクト内の特定のアプリへのユーザー アクセスを制限する。
  • Gemini Enterprise デプロイの組織のニーズとデータサイロに合わせて権限を調整する。

たとえば、人事アプリと全社アプリがある組織を考えてみましょう。プロジェクト レベルの権限を持つ人事チームのメンバーは、両方のアプリにアクセスできます。一方、アプリレベルの IAM ポリシーを使用すると、営業チームのメンバーに全社アプリへのアクセス権のみを付与し、人事アプリへのアクセスを禁止できます。

アプリレベルの IAM ポリシーの例の図。

始める前に

プロジェクト レベルのアクセスからアプリレベルのアクセスに移行する

ユーザーを特定のアプリに制限するには、プロジェクト レベルの権限から対応するロールを削除し、アプリレベルで付与する必要があります。

たとえば、Gemini Enterprise ユーザー(roles/discoveryengine.agentspaceUser)ロールを持つユーザーをプロジェクト レベルからアプリレベルに移行するには、次の操作を行います。

  1. コンソールで、[IAM] ページに移動します。 Google Cloud
  2. ユーザーを見つけて、プロジェクト レベルの権限から roles/discoveryengine.agentspaceUser ロールを削除します。
  3. setIamPolicy メソッドを使用して、特定のアプリの roles/discoveryengine.agentspaceUser ロールをユーザーに付与します。詳細については、 アプリの IAM ポリシーを管理するをご覧ください。

アプリの IAM ポリシーを管理する

Gemini Enterprise アプリへのアクセスを管理するには、getIamPolicy API メソッドと setIamPolicy API メソッドを使用します。

次の手順では、現在のポリシーを取得し、ユーザー アクセスを許可または取り消すように更新する方法について説明します。

アプリの IAM ポリシーを取得する

getIamPolicy メソッドを使用して、アプリの現在の IAM ポリシーを取得します。現在の権限が上書きされないように、最初に既存のポリシーを取得することをおすすめします。

REST

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID:getIamPolicy"

次のように置き換えます。

  • PROJECT_ID: 実際のプロジェクトの ID。
  • ENDPOINT_LOCATION: API リクエストのマルチリージョン。次のいずれかの値を指定します。
    • 米国のマルチリージョンの場合は us
    • EU のマルチリージョンの場合は eu
    • グローバル ロケーションの場合は global
    詳細については、データストアのマルチリージョンを指定するをご覧ください。
  • LOCATION: データストアのマルチリージョン(globaluseu

  • APP_ID: 構成するアプリの ID。

アプリの IAM ポリシーを更新する

アプリへのユーザー アクセスを許可または取り消すには、アプリの IAM ポリシーを setIamPolicy メソッドを使用して更新します。

IAM ポリシーは、 Gemini Enterprise ユーザーroles/discoveryengine.agentspaceUser)ロールを使用して、ユーザーにアプリへの直接アクセスを許可します。

REST

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
      "policy": {
         "etag": "ETAG",
         "bindings": [
          {
            "role": "roles/discoveryengine.agentspaceUser",
            "members": [
              "user:USER_EMAIL",
              "group:GROUP_EMAIL",
              "principal://iam.googleapis.com/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ID",
              "principalSet://iam.googleapis.com/locations/global/workloadIdentityPools/POOL_ID/attribute.NAME/VALUE"
            ]
          }
        ]
      }
    }' \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID:setIamPolicy"

次のように置き換えます。

  • ETAG: getIamPolicy メソッドを使用したときにレスポンスとして取得した etag 値。

  • USER_EMAILGROUP_EMAIL: 1 つ以上のユーザーまたはグループのメールアドレス。usergroup に加えて、principalprincipalSet は Workload Identity 連携の有効なメンバータイプです。

    • アクセス権を付与するには、プリンシパルを members 配列に追加します。例: "user:cloudysanfrancisco@gmail.com" または "group:mcymbalgroup@google.com"

    • アクセス権を取り消すには、members 配列からプリンシパルを削除します。

  • POOL_ID: Workload Identity プールの ID。

  • SUBJECT_ID: 特定の ID のサブジェクト識別子。

  • NAME: 属性の名前。

  • VALUE: 属性の値。

  • PROJECT_ID: 実際のプロジェクトの ID。

  • ENDPOINT_LOCATION: API リクエストのマルチリージョン。次のいずれかの値を指定します。

    • 米国のマルチリージョンの場合は us
    • EU のマルチリージョンの場合は eu
    • グローバル ロケーションの場合は global
    詳細については、データストアのマルチリージョンを指定するをご覧ください。

  • LOCATION: データストアのマルチリージョン(globaluseu)。

  • APP_ID: 構成するアプリの ID。

次のステップ

IAM ポリシーを持つアプリを削除する場合は、アプリを削除する前にポリシーからユーザーを削除できます。詳細については、IAM ポリシーを持つアプリを削除する場合のベスト プラクティスをご覧ください。