En esta página, se describe cómo aplicar el control de acceso a la fuente de datos (también conocido como LCA) para las apps de búsqueda que creas con Cloud Storage o BigQuery.
Descripción general
El control de acceso a tus fuentes de datos en Gemini Enterprise limita los datos que los usuarios pueden ver en los resultados de tu app de búsqueda. Google usa tu proveedor de identidad para identificar al usuario final que realiza una búsqueda y determinar si tiene acceso a los documentos que se muestran como resultados.
Por ejemplo, supongamos que los empleados de tu empresa realizan búsquedas en documentos de BigQuery con tu app de búsqueda. Sin embargo, debes asegurarte de que no puedan ver contenido a través de la app al que no tienen permiso para acceder. Si configuraste un grupo de trabajadores en Google Cloud para el proveedor de identidad de tu organización, también puedes especificar ese grupo de trabajadores en Gemini Enterprise. Ahora, si un empleado usa tu app, obtendrá resultados de la búsqueda solo para los documentos a los que su cuenta ya tiene acceso en BigQuery.
Activar el control de acceso es un procedimiento que se realiza una sola vez. Para aplicar el control de acceso a una fuente de datos de BigQuery o Cloud Storage, sigue estos pasos según el tipo de datos, como datos estructurados o no estructurados.
- Datos no estructurados de Cloud Storage
- Datos estructurados de Cloud Storage
- Datos no estructurados de BigQuery
- Datos estructurados de BigQuery
Datos no estructurados de Cloud Storage
Cuando configures un almacén de datos para datos no estructurados de Cloud Storage, también deberás subir metadatos de LCA y establecer el almacén de datos como controlado por acceso:
Cuando prepares tus datos, incluye la información de la ACL en tus metadatos con el campo
acl_info. Por ejemplo:{ "id": "<your-id>", "jsonData": "<JSON string>", "content": { "mimeType": "<application/pdf or text/html>", "uri": "gs://<your-gcs-bucket>/directory/filename.pdf" }, "acl_info": { "readers": [ { "principals": [ { "group_id": "group_1" }, { "user_id": "user_1" } ] } ] } }Para obtener más información sobre los datos no estructurados con metadatos, consulta la sección Datos no estructurados de Prepara los datos para la transferencia.
Cuando sigas los pasos para crear un almacén de datos en Crea un almacén de datos de origen, puedes habilitar el control de acceso siguiendo estos pasos en la consola o con la API:
- Consola: Cuando crees un almacén de datos, selecciona Este almacén de datos contiene información del control de acceso durante la creación del almacén de datos.
- API: Cuando crees el almacén de datos, incluye el campo
"aclEnabled": "true"en tu carga útil de JSON.
Cuando sigas los pasos para importar datos en Crea un almacén de datos propios, asegúrate de hacer lo siguiente:
- Sube tus metadatos con información de LCA desde el mismo bucket que tus datos no estructurados.
- Si usas la API, establece
GcsSource.dataSchemaendocument.
Datos estructurados de Cloud Storage
Cuando configures un almacén de datos para datos estructurados de Cloud Storage, también deberás subir metadatos de LCA y configurar el almacén de datos como controlado por acceso:
Cuando prepares tus datos, incluye la información de la ACL en tus metadatos con el campo
acl_info. Por ejemplo:{ "id": "<your-id>", "jsonData": "<JSON string>", "acl_info": { "readers": [ { "principals": [ { "group_id": "group_1" }, { "user_id": "user_1" } ] } ] } }Cuando sigas los pasos para crear un almacén de datos en Crea un almacén de datos de origen, puedes habilitar el control de acceso con los siguientes pasos en la consola o con la API:
- Consola: Cuando crees un almacén de datos, selecciona Este almacén de datos contiene información del control de acceso durante la creación del almacén de datos.
- API: Cuando crees el almacén de datos, incluye el campo
"aclEnabled": "true"en tu carga útil de JSON.
Cuando sigas los pasos para importar datos en Crea un almacén de datos de origen, asegúrate de hacer lo siguiente:
- Sube tus metadatos con información de LCA desde el mismo bucket que tus datos estructurados.
- Si usas la API, establece
GcsSource.dataSchemaendocument.
Datos no estructurados de BigQuery
Cuando configures un almacén de datos para datos no estructurados de BigQuery, deberás establecer el almacén de datos como controlado por acceso y proporcionar metadatos de ACL con un esquema predefinido para Gemini Enterprise:
Cuando prepares tus datos, especifica el siguiente esquema. No uses un esquema personalizado.
[ { "name": "id", "mode": "REQUIRED", "type": "STRING", "fields": [] }, { "name": "jsonData", "mode": "NULLABLE", "type": "STRING", "fields": [] }, { "name": "content", "type": "RECORD", "mode": "NULLABLE", "fields": [ { "name": "mimeType", "type": "STRING", "mode": "NULLABLE" }, { "name": "uri", "type": "STRING", "mode": "NULLABLE" } ] }, { "name": "acl_info", "type": "RECORD", "mode": "NULLABLE", "fields": [ { "name": "readers", "type": "RECORD", "mode": "REPEATED", "fields": [ { "name": "principals", "type": "RECORD", "mode": "REPEATED", "fields": [ { "name": "user_id", "type": "STRING", "mode": "NULLABLE" }, { "name": "group_id", "type": "STRING", "mode": "NULLABLE" } ] } ] } ] } ]Incluye los metadatos de la LCA como una columna en tu tabla de BigQuery.
Cuando sigas los pasos en Crea un almacén de datos propios, habilita el control de acceso en la consola o con la API:
- Consola: Cuando crees un almacén de datos, selecciona Este almacén de datos contiene información del control de acceso durante la creación del almacén de datos.
- API: Cuando crees el almacén de datos, incluye el campo
"aclEnabled": "true"en tu carga útil de JSON.
Cuando sigas los pasos para importar datos en Crea un almacén de datos de origen, si usas la API, configura
BigQuerySource.dataSchemacomodocument.
Datos estructurados de BigQuery
Cuando configures un almacén de datos para datos estructurados de BigQuery, deberás establecer el almacén de datos como controlado por acceso y proporcionar metadatos de LCA con un esquema predefinido para Gemini Enterprise:
Cuando prepares tus datos, especifica el siguiente esquema. No uses un esquema personalizado.
[ { "name": "id", "mode": "REQUIRED", "type": "STRING", "fields": [] }, { "name": "jsonData", "mode": "NULLABLE", "type": "STRING", "fields": [] }, { "name": "acl_info", "type": "RECORD", "mode": "NULLABLE", "fields": [ { "name": "readers", "type": "RECORD", "mode": "REPEATED", "fields": [ { "name": "principals", "type": "RECORD", "mode": "REPEATED", "fields": [ { "name": "user_id", "type": "STRING", "mode": "NULLABLE" }, { "name": "group_id", "type": "STRING", "mode": "NULLABLE" } ] } ] } ] } ]Incluye los metadatos de la LCA como una columna en tu tabla de BigQuery.
Cuando sigas los pasos en Crea un almacén de datos propios, habilita el control de acceso en la consola o con la API:
- Consola: Cuando crees un almacén de datos, selecciona Este almacén de datos contiene información del control de acceso durante la creación del almacén de datos.
- API: Cuando crees el almacén de datos, incluye el campo
"aclEnabled": "true"en tu carga útil de JSON.
Cuando sigas los pasos para importar datos en Crea un almacén de datos propios, asegúrate de hacer lo siguiente:
- Si usas la consola, cuando especifiques el tipo de datos que subirás, selecciona JSONL para datos estructurados con metadatos.
- Si usas la API, establece
BigQuerySource.dataSchemaendocument.