注意：這份文件適用於 Gemini Enterprise 的 Standard、Plus 和 Frontline 版本。如要瞭解 Business 版，請參閱 Gemini Enterprise - Business 版說明中心。

設定應用程式的存取控管機制

本頁說明 Gemini Enterprise 管理員如何使用 API，管理個別 Gemini Enterprise 應用程式的精細存取權控管。

根據預設，IAM 權限通常是在專案層級管理。應用程式層級的 IAM 可提供更精細的控制選項，讓管理員：

限制使用者存取同一 Google Cloud 專案中的特定應用程式。
根據機構需求和資料孤島，調整 Gemini Enterprise 部署作業的權限。

舉例來說，假設某個機構有 HR 應用程式和全公司適用的應用程式。如果 HR 團隊成員擁有專案層級的權限，就能存取這兩個應用程式。相較之下，使用應用程式層級的身分與存取權管理政策，您可以只授予銷售團隊成員公司全體適用的應用程式存取權，避免他們存取人力資源應用程式。

應用程式層級 IAM 政策範例的圖表。

事前準備

確認您具備 Gemini Enterprise 管理員角色。
確認所有具備有效授權的 Gemini Enterprise 使用者都擁有「Gemini Enterprise 受限使用者」角色。

管理應用程式的 IAM 政策

如要管理 Gemini Enterprise 應用程式的存取權，可以使用 getIamPolicy 和 setIamPolicy API 方法。

下列步驟說明如何擷取目前的政策，然後更新政策以授予或撤銷使用者存取權。

取得應用程式 IAM 政策

使用 getIamPolicy 方法，取得應用程式目前的 IAM 政策。建議您先擷取現有政策，避免覆寫任何目前的權限。

REST

重要字詞：在 Gemini Enterprise 中，就 API 而言，應用程式和引擎這兩個字詞可以互換使用。Gemini Enterprise 引擎是通用搜尋引擎，其中 app_type 欄位設為 APP_TYPE_INTRANET。

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID:getIamPolicy"

更改下列內容：

PROJECT_ID：專案 ID。
ENDPOINT_LOCATION：API 要求的適用多區域。指定下列其中一個值：
- 美國多區域：us
- eu 適用於歐盟多區域
- global 全球位置
詳情請參閱「為資料儲存庫指定多區域」。
LOCATION：資料儲存庫的多重區域：global、us 或 eu
APP_ID：要設定的應用程式 ID。

注意： 從回應中複製 etag 值。更新 IAM 政策時，必須提供這個值。etag 值會隨著每次政策更新而變更。

指令與結果範例

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://global-discoveryengine.googleapis.com/v1/projects/my-project-123/locations/global/collections/default_collection/engines/my-app:getIamPolicy"

{
  "version": 1,
  "etag": "1234567890"
}

更新應用程式 IAM 政策

如要授予或撤銷使用者對應用程式的存取權，請使用 setIamPolicy 方法更新應用程式的 IAM 政策。

IAM 政策會使用「Gemini Enterprise 使用者」 (roles/discoveryengine.agentspaceUser) 角色，授予使用者應用程式的直接存取權。

REST

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
      "policy": {
         "etag": "ETAG",
         "bindings": [
          {
            "role": "roles/discoveryengine.agentspaceUser",
            "members": [
              "user:USER_EMAIL_1",
              "user:USER_EMAIL_2"
            ]
          }
        ]
      }
    }' \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID:setIamPolicy"

更改下列內容：

ETAG：使用 getIamPolicy 方法時，您在回應中取得的 etag 值。
USER_EMAIL_1、USER_EMAIL_2：一或多個使用者電子郵件地址。
- 如要授予存取權，請將使用者電子郵件新增至 members 陣列，並在每個電子郵件地址前加上 user：
  
  注意： 請勿在電子郵件地址前後加上多餘空格。
- 如要撤銷存取權，請從 members 陣列中移除使用者電子郵件地址。
PROJECT_ID：專案 ID。
ENDPOINT_LOCATION：API 要求的適用多區域。指定下列其中一個值：
- 美國多區域：us
- eu 適用於歐盟多區域
- global 全球位置
詳情請參閱「為資料儲存庫指定多區域」。
LOCATION：資料儲存庫的多重區域：global、us 或 eu。
APP_ID：要設定的應用程式 ID。

注意： etag 值會隨著每次政策更新而變更。如要再次更新政策，請先按照「取得應用程式 IAM 政策」一文的說明，取得新的 etag。

指令與結果範例

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
      "policy": {
         "etag": "1234567890",
         "bindings": [
          {
            "role": "roles/discoveryengine.agentspaceUser",
            "members": [
              "user:cloudysanfrancisco@gmail.com",
              "user:jeffersonloveshiking@gmail.com"
            ]
          }
        ]
      }
    }' \
"https://global-discoveryengine.googleapis.com/v1/projects/my-project-123/locations/global/collections/default_collection/engines/my-app:setIamPolicy"

{
  "version": 1,
  "etag": "2345678901",
  "bindings": [
    {
      "role": "roles/discoveryengine.agentspaceUser",
      "members": [
        "user:cloudysanfrancisco@gmail.com",
        "user:jeffersonloveshiking@gmail.com"
      ]
    }
  ]
}

後續步驟

如要刪除設有 IAM 政策的應用程式，請先從政策中移除使用者，再刪除應用程式。詳情請參閱「刪除設有 IAM 政策的應用程式的最佳做法」。

設定應用程式的存取控管機制 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

事前準備

管理應用程式的 IAM 政策

取得應用程式 IAM 政策

REST

指令與結果範例

更新應用程式 IAM 政策

REST

指令與結果範例

後續步驟

設定應用程式的存取控管機制