앱의 액세스 제어 구성

이 페이지에서는 Gemini Enterprise 관리자가 API를 사용하여 개별 Gemini Enterprise 앱의 세부적인 액세스 제어를 관리하는 방법을 설명합니다.

기본적으로 IAM 권한은 프로젝트 수준에서 관리되는 경우가 많습니다. 앱 수준 IAM을 사용하면 더 세분화된 제어가 가능하므로 관리자는 다음 작업을 할 수 있습니다.

  • 동일한 Google Cloud 프로젝트 내에서 특정 앱에 대한 사용자 액세스를 제한합니다.
  • Gemini Enterprise 배포의 조직 요구사항 및 데이터 사일로에 맞게 권한을 조정합니다.

예를 들어 HR 앱과 회사 전체 앱이 있는 조직을 생각해 보세요. 프로젝트 수준 권한이 있는 HR팀 구성원은 두 앱에 모두 액세스할 수 있습니다. 반면 앱 수준 IAM 정책을 사용하면 영업팀 구성원에게 회사 전체 앱에 대한 액세스 권한만 부여하여 HR 앱에 액세스하지 못하도록 할 수 있습니다.

앱 수준 IAM 정책 예시 다이어그램

시작하기 전에

앱의 IAM 정책 관리

Gemini Enterprise 앱에 대한 액세스를 관리하려면 getIamPolicysetIamPolicy API 메서드를 사용하면 됩니다.

다음 단계에서는 현재 정책을 가져온 다음 이를 업데이트하여 사용자 액세스 권한을 부여하거나 취소하는 방법을 보여줍니다.

앱 IAM 정책 가져오기

getIamPolicy 메서드를 사용하여 앱의 현재 IAM 정책을 가져옵니다. 현재 권한을 덮어쓰지 않으려면 먼저 기존 정책을 가져오는 것이 좋습니다.

REST

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID:getIamPolicy"

다음을 바꿉니다.

  • PROJECT_ID: 프로젝트의 ID입니다.
  • ENDPOINT_LOCATION: API 요청의 멀티 리전입니다. 다음 값 중 하나를 지정합니다.
    • 미국 멀티 리전의 경우 us
    • EU 멀티 리전의 경우 eu
    • 전역 위치의 경우 global
    자세한 내용은 데이터 스토어의 멀티 리전 지정을 참조하세요.
  • LOCATION: 데이터 스토어의 멀티 리전입니다(global, us 또는 eu).

  • APP_ID: 구성할 앱의 ID입니다.

앱 IAM 정책 업데이트

앱에 대한 사용자 액세스 권한을 부여하거나 취소하려면 setIamPolicy 메서드를 사용하여 앱의 IAM 정책을 업데이트합니다.

IAM 정책은 Gemini Enterprise 사용자 (roles/discoveryengine.agentspaceUser) 역할을 사용하여 사용자에게 앱에 대한 직접 액세스 권한을 부여합니다.

REST

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
      "policy": {
         "etag": "ETAG",
         "bindings": [
          {
            "role": "roles/discoveryengine.agentspaceUser",
            "members": [
              "user:USER_EMAIL_1",
              "user:USER_EMAIL_2"
            ]
          }
        ]
      }
    }' \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID:setIamPolicy"

다음을 바꿉니다.

  • ETAG: getIamPolicy 메서드를 사용했을 때 응답으로 가져온 etag 값입니다.

  • USER_EMAIL_1, USER_EMAIL_2: 하나 이상의 사용자 이메일 주소입니다.

    • 액세스 권한을 부여하려면 members 배열에 사용자 이메일을 추가합니다. 각 이메일에는 user이 접두사로 붙습니다.

    • 액세스 권한을 취소하려면 members 배열에서 사용자 이메일 주소를 삭제합니다.

  • PROJECT_ID: 프로젝트의 ID입니다.

  • ENDPOINT_LOCATION: API 요청의 멀티 리전입니다. 다음 값 중 하나를 지정합니다.

    • 미국 멀티 리전의 경우 us
    • EU 멀티 리전의 경우 eu
    • 전역 위치의 경우 global
    자세한 내용은 데이터 스토어의 멀티 리전 지정을 참조하세요.

  • LOCATION: 데이터 스토어의 멀티 리전입니다(global, us 또는 eu).

  • APP_ID: 구성할 앱의 ID입니다.

다음 단계

IAM 정책이 있는 앱을 삭제하려면 앱을 삭제하기 전에 정책에서 사용자를 삭제하면 됩니다. 자세한 내용은 IAM 정책이 있는 앱 삭제를 위한 권장사항을 참고하세요.