En esta página se describe cómo aplicar el control de acceso a las fuentes de datos (también denominado "listas de control de acceso" o "LCAs") en las aplicaciones de búsqueda que crees con Cloud Storage o BigQuery.
Información general
El control de acceso a tus fuentes de datos en Gemini Enterprise limita los datos que los usuarios pueden ver en los resultados de la aplicación de búsqueda. Google usa tu proveedor de identidades para identificar al usuario final que realiza una búsqueda y determinar si tiene acceso a los documentos que se devuelven como resultados.
Por ejemplo, supongamos que los empleados de tu empresa buscan en documentos de BigQuery con tu aplicación de búsqueda. Sin embargo, debes asegurarte de que no puedan ver contenido a través de la aplicación al que no tengan acceso. Si has configurado un grupo de trabajadores en Google Cloud para el proveedor de identidades de tu organización, también puedes especificar ese grupo de trabajadores en Gemini Enterprise. Ahora, si un empleado usa tu aplicación, solo verá resultados de búsqueda de documentos a los que su cuenta ya tenga acceso en BigQuery.
Activar el control de acceso es un procedimiento que se realiza una sola vez. Para aplicar el control de acceso a una fuente de datos de BigQuery o Cloud Storage, sigue estos pasos en función del tipo de datos (por ejemplo, datos estructurados o no estructurados).
- Datos no estructurados de Cloud Storage
- Datos estructurados de Cloud Storage
- Datos no estructurados de BigQuery
- Datos estructurados de BigQuery
Datos no estructurados de Cloud Storage
Cuando configures un almacén de datos para datos sin estructurar de Cloud Storage, también debes subir metadatos de ACL y definir el almacén de datos como controlado por acceso:
Cuando prepare sus datos, incluya la información de la lista de control de acceso en sus metadatos mediante el campo
acl_info. Por ejemplo:{ "id": "<your-id>", "jsonData": "<JSON string>", "content": { "mimeType": "<application/pdf or text/html>", "uri": "gs://<your-gcs-bucket>/directory/filename.pdf" }, "acl_info": { "readers": [ { "principals": [ { "group_id": "group_1" }, { "user_id": "user_1" } ] } ] } }Para obtener más información sobre los datos sin estructurar con metadatos, consulta la sección Datos sin estructurar del artículo Preparar datos para la ingesta.
Cuando sigas los pasos para crear un almacén de datos en Crear un almacén de datos propio, puedes habilitar el control de acceso haciendo lo siguiente en la consola o mediante la API:
- Consola: al crear un almacén de datos, selecciona Este almacén de datos contiene información de control de acceso.
- API: al crear un almacén de datos, incluye el campo
"aclEnabled": "true"en tu carga útil de JSON.
Cuando siga los pasos para importar datos que se indican en el artículo Crear un almacén de datos propios, asegúrese de hacer lo siguiente:
- Subir los metadatos con información de LCA del mismo segmento que los datos no estructurados
- Si usa la API, defina
GcsSource.dataSchemacomodocument
Datos estructurados de Cloud Storage
Cuando configures un almacén de datos para datos estructurados de Cloud Storage, también tendrás que subir metadatos de ACL y definir el almacén de datos como controlado por acceso:
Cuando prepare sus datos, incluya la información de la lista de control de acceso en sus metadatos mediante el campo
acl_info. Por ejemplo:{ "id": "<your-id>", "jsonData": "<JSON string>", "acl_info": { "readers": [ { "principals": [ { "group_id": "group_1" }, { "user_id": "user_1" } ] } ] } }Cuando sigas los pasos para crear un almacén de datos en Crear un almacén de datos propios, puedes habilitar el control de acceso haciendo lo siguiente en la consola o mediante la API:
- Consola: al crear un almacén de datos, selecciona Este almacén de datos contiene información de control de acceso.
- API: al crear un almacén de datos, incluye el campo
"aclEnabled": "true"en tu carga útil de JSON.
Cuando sigas los pasos para importar datos que se indican en el artículo Crear un almacén de datos propios, asegúrate de hacer lo siguiente:
- Sube los metadatos con la información de las LCA del mismo segmento que los datos estructurados
- Si usas la API, asigna el valor
documentaGcsSource.dataSchema.
Datos no estructurados de BigQuery
Cuando configures un almacén de datos para datos no estructurados de BigQuery, debes definir el almacén de datos como controlado por acceso y proporcionar metadatos de LCA mediante un esquema predefinido para Gemini Enterprise:
Cuando prepare sus datos, especifique el siguiente esquema. No uses un esquema personalizado.
[ { "name": "id", "mode": "REQUIRED", "type": "STRING", "fields": [] }, { "name": "jsonData", "mode": "NULLABLE", "type": "STRING", "fields": [] }, { "name": "content", "type": "RECORD", "mode": "NULLABLE", "fields": [ { "name": "mimeType", "type": "STRING", "mode": "NULLABLE" }, { "name": "uri", "type": "STRING", "mode": "NULLABLE" } ] }, { "name": "acl_info", "type": "RECORD", "mode": "NULLABLE", "fields": [ { "name": "readers", "type": "RECORD", "mode": "REPEATED", "fields": [ { "name": "principals", "type": "RECORD", "mode": "REPEATED", "fields": [ { "name": "user_id", "type": "STRING", "mode": "NULLABLE" }, { "name": "group_id", "type": "STRING", "mode": "NULLABLE" } ] } ] } ] } ]Incluye los metadatos de la lista de control de acceso como una columna en tu tabla de BigQuery.
Cuando sigas los pasos que se indican en el artículo Crear un almacén de datos propios, habilita el control de acceso en la consola o mediante la API:
- Consola: al crear un almacén de datos, selecciona Este almacén de datos contiene información de control de acceso.
- API: al crear un almacén de datos, incluye el campo
"aclEnabled": "true"en tu carga útil de JSON.
Cuando sigas los pasos para importar datos que se indican en el artículo Crear un almacén de datos propios, si usas la API, asigna el valor
documentaBigQuerySource.dataSchema.
Datos estructurados de BigQuery
Cuando configures un almacén de datos para datos estructurados de BigQuery, debes definir el almacén de datos como controlado por acceso y proporcionar metadatos de LCA mediante un esquema predefinido para Gemini Enterprise:
Cuando prepare sus datos, especifique el siguiente esquema. No uses un esquema personalizado.
[ { "name": "id", "mode": "REQUIRED", "type": "STRING", "fields": [] }, { "name": "jsonData", "mode": "NULLABLE", "type": "STRING", "fields": [] }, { "name": "acl_info", "type": "RECORD", "mode": "NULLABLE", "fields": [ { "name": "readers", "type": "RECORD", "mode": "REPEATED", "fields": [ { "name": "principals", "type": "RECORD", "mode": "REPEATED", "fields": [ { "name": "user_id", "type": "STRING", "mode": "NULLABLE" }, { "name": "group_id", "type": "STRING", "mode": "NULLABLE" } ] } ] } ] } ]Incluye los metadatos de la lista de control de acceso como una columna en tu tabla de BigQuery.
Cuando sigas los pasos que se indican en el artículo Crear un almacén de datos propios, habilita el control de acceso en la consola o mediante la API:
- Consola: al crear un almacén de datos, selecciona Este almacén de datos contiene información de control de acceso.
- API: al crear un almacén de datos, incluye el campo
"aclEnabled": "true"en tu carga útil de JSON.
Cuando siga los pasos para importar datos que se indican en el artículo Crear un almacén de datos propios, asegúrese de hacer lo siguiente:
- Si usas la consola, cuando especifiques el tipo de datos que vas a subir, selecciona JSONL para datos estructurados con metadatos.
- Si usas la API, asigna el valor
documentaBigQuerySource.dataSchema.