Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Vordefinierte Rollenvorschläge mit Gemini-Unterstützung erhalten

Auf dieser Seite wird beschrieben, wie Sie mit Gemini-Unterstützung vordefinierte IAM-Rollen (Identity and Access Management) für Ihre Hauptkonten finden und zuweisen.

Mit der IAM-Rollenauswahl können Sie Gemini fragen, welche Rollen Sie Ihren Hauptkonten zuweisen sollten. Normalerweise müssen Sie im Index für IAM-Rollen und ‑Berechtigungen oder auf der Seite Rollen in derGoogle Cloud Console nach den richtigen vordefinierten Rollen suchen, die Sie zuweisen möchten. Mit der IAM-Rollenauswahl können Sie die Aktionen beschreiben, die das Hauptkonto ausführen soll, und die Ressourcen, die dafür erforderlich sind. Gemini schlägt auf Grundlage Ihrer Eingabe die vordefinierten Rollen vor, die es für angemessen hält.

Gemini kann vordefinierte Rollen für einzelne Hauptkonten vorschlagen. Wenn Gemini vorschlägt, eine Rolle auf Projektebene zuzuweisen, können Sie die Rollenauswahl für IAM verwenden, um diese Rolle zuzuweisen.

Sie können die IAM-Rollenauswahl nicht verwenden, um Vorschläge für Folgendes zu erhalten:

Benutzerdefinierte Rollen
Rollen für mehrere Identitäten (mit einem einzigen Prompt)
Rollen für Google Workspace-Produkte wie Google Sheets und Google Docs

Weitere Informationen dazu, wie und wann Gemini for Google Cloud Ihre Daten verwendet

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Project IAM Admin (roles/resourcemanager.projectIamAdmin) für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden der IAM-Rollenauswahl benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die für die Verwendung der IAM-Rollenauswahl erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwendung der IAM-Rollenauswahl erforderlich:

resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollenvorschläge mit Gemini-Unterstützung erhalten

Wenn Sie Rollenvorschläge von Gemini erhalten möchten, können Sie auf den IAM-Rollenauswahl auf Seiten in der Google Cloud Console zugreifen, auf denen Sie Zugriff auf Projektebene gewähren können. Die IAM-Rollenauswahl ist beispielsweise auf den folgenden Seiten verfügbar:

Die Seite IAM
Die Seite Dienstkonten
Die Seite Dashboard in der Google Cloud Console

Im folgenden Verfahren wird die Seite IAM als primärer Einstiegspunkt verwendet.

Rufen Sie in der Google Cloud Console die Seite IAM auf.

IAM aufrufen
Wählen Sie ein Projekt aus.
Wählen Sie ein Hauptkonto aus, für das Sie Rollenvorschläge erhalten möchten:
- Wenn Sie Rollenvorschläge für ein Hauptkonto erhalten möchten, das bereits andere Rollen für die Ressource hat, suchen Sie die Zeile mit dem Hauptkonto und klicken Sie in dieser Zeile auf Hauptkonto bearbeiten.
  
  Wenn Sie einem Dienst-Agent eine Rolle zuweisen möchten, müssen Sie das Kästchen VonGooglebereitgestellte Rollenzuweisungen einschließen anklicken, um die entsprechende E-Mail-Adresse zu sehen.
  
  Hinweis: Übernommene Rollen können beim Bearbeiten des Zugriffs auf eine Ressource nicht bearbeitet werden. Zur Bearbeitung übernommener Rollen rufen Sie die Ressource auf, der die Rolle zugewiesen wurde.
- Wenn Sie Rollenvorschläge für ein Hauptkonto erhalten möchten, das noch keine Rollen für die Ressource hat, klicken Sie auf Zugriff gewähren und geben Sie dann eine Hauptkonto-ID ein, z. B. my-user@example.com oder //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Klicken Sie auf Hilfe beim Auswählen von Rollen, um das Dialogfeld zur Auswahl von IAM-Rollen zu öffnen.
Beschreiben Sie mit Ihren eigenen Worten die Aktion, die das Hauptkonto ausführen soll, und die Ressource im Projekt, für die die Aktion ausgeführt werden muss.
Klicken Sie auf Rollen vorschlagen. Gemini schlägt auf Grundlage Ihrer Eingabe die vordefinierten Rollen vor, die als geeignet erachtet werden.

Wenn Sie weitere Informationen zu den Rollen und dazu, warum Gemini sie vorgeschlagen hat, erhalten möchten, klicken Sie auf Begründung einblenden. Wir empfehlen außerdem, die von Gemini vorgeschlagenen Rollen anhand der Referenz für Rollen und Berechtigungen zu prüfen, bevor Sie sie dem Prinzipal zuweisen.
Optional: Wenn Gemini nicht die richtigen Rollen vorschlägt, können Sie Ihren Prompt optimieren.
1. Wenn Sie Ihren Prompt ändern möchten, klicken Sie auf Bearbeiten.
2. Bearbeiten Sie die Beschreibung und klicken Sie dann auf Aktualisieren. Gemini aktualisiert die Rollenvorschläge auf Grundlage der neuen Beschreibung.
Klicken Sie auf Rollen hinzufügen, um die Vorschläge anzunehmen.
Optional: Fügen Sie der Rolle eine Bedingung hinzu.
Klicken Sie auf Speichern. Dem Hauptkonto wird die Rolle für die Ressource zugewiesen.

Sie können von Gemini vorgeschlagene Rollen auf Projektebene direkt über die IAM-Rollenauswahl zuweisen. Bei Rollenvorschlägen auf Organisations-, Ordner- oder Ressourcenebene notieren Sie sich die vorgeschlagenen Rollen und weisen Sie sie dem Prinzipal auf der entsprechenden Ebene über den üblichen Prozess in der Google Cloud Konsole zu. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Wenn Sie nicht die Berechtigungen haben, die Rollen auf Organisations-, Ordner- oder Ressourcenebene zu gewähren, wenden Sie sich an Ihren Administrator.

Beispiele für Anwendungsfälle

In der folgenden Tabelle sind einige Beispielanwendungsfälle für die IAM-Rollenauswahl aufgeführt. Standardmäßig schlägt Gemini Rollen vor, die für gängige Nutzeraktionen in einem Dienst vorgesehen sind. Gemini schlägt beispielsweise häufig die Administrator-, Bearbeiter- oder Betrachterrollen eines Dienstes vor.

Wenn Sie möchten, dass Gemini die detailliertesten Rollen mit den geringsten Berechtigungen vorschlägt, müssen Sie diese Präferenz in Ihrem Prompt mit bestimmten Schlüsselwörtern angeben. Eine Liste der Schlüsselwörter, die Sie verwenden können, finden Sie unter Schlüsselwörter für Rollen mit den geringsten Berechtigungen. Beachten Sie jedoch, dass Rollen mit den geringsten Berechtigungen möglicherweise nicht für die zukünftigen Anforderungen eines Nutzers ausreichen.

Anwendungsfall	Beispiele für Aufforderungen
Rollen für die allgemeine Dienstverwaltung identifizieren	„Welche Berechtigungen benötige ich, um unsere AlloyDB for PostgreSQL-Einrichtung zu verwalten?“ „Welche Rollen benötige ich, um mit BigQuery zu arbeiten?“ „Wie erteile ich einem Nutzer Zugriff zum Ausführen und Debuggen von Cloud Run-Diensten?“
Rollen ermitteln, die zum Ausführen bestimmter Aufgaben erforderlich sind	„Welche Rolle ist zum Erstellen, Starten und Beenden von VMs erforderlich?“ „Ich muss einem Nutzer erlauben, BigQuery-Datasets und -Tabellen zu erstellen und zu verwalten.“ „Ich muss einem Dienstkonto Zugriff zum Aufrufen von Cloud Run-Funktionen gewähren.“ Prompts, die Vorschläge für Rollen mit den geringsten Berechtigungen liefern: „Welche Mindestrolle ist zum Erstellen, Starten und Beenden von VMs erforderlich?“ „Welche IAM-Rollen mit den geringsten Berechtigungen sind zum Erstellen von IAM-Richtlinien erforderlich?“ „Ich muss einem Dienstkonto Zugriff zum Aufrufen von Cloud Run-Funktionen gewähren. Welcher Zugriff mit den geringsten Berechtigungen ist erforderlich?“
Erforderliche Rollen zum Ausführen von Google Cloud CLI-Befehlen ermitteln	„Welche IAM-Rolle ist für die Ausführung von `gcloud compute instances create instance-1` erforderlich?“ Prompt, der Vorschläge für Rollen mit den geringsten Berechtigungen liefert: „Welche kleinste Rolle benötigt ein Dienstkonto, um `gcloud datastore instances describe` auszuführen?“
Rollen für eine Aufgabe mit transitiven Abhängigkeiten identifizieren	„Ich muss eine Compute Engine-Instanz so konfigurieren, dass sie basierend auf der CPU-Auslastung automatisch skaliert wird. Welche IAM-Rollen sollte ich dem Dienstkonto zuweisen?“ Prompt, der Vorschläge für Rollen mit den geringsten Berechtigungen liefert: „Ich muss eine Compute Engine-Instanz so konfigurieren, dass sie basierend auf der CPU-Auslastung automatisch skaliert wird. Welche Mindestberechtigungen muss ich einem Dienstkonto gewähren, das von einem Autoscaler für Compute Engine-Instanzen verwendet wird?"
Rollen für eine Aufgabe identifizieren, für die möglicherweise eine Kombination aus mehreren detaillierten Rollen erforderlich ist	„Nutzern nur Zugriff auf ein bestimmtes Dataset in BigQuery gewähren. Sie sollten keine Datasets erstellen oder löschen können.“ Prompt, der Vorschläge für Rollen mit den geringsten Berechtigungen liefert: „Welche Rolle mit der höchsten Sicherheit kann ich Nutzern zuweisen, damit sie Lesezugriff auf ein einzelnes Dataset in BigQuery haben, ohne dass sie Aktionen zum Erstellen oder Löschen für ein Dataset ausführen können?“

Best Practices

Damit Gemini möglichst genaue Vorschläge für Ihren Anwendungsfall machen kann, empfehlen wir Ihnen, beim Verfassen Ihres Prompts die folgenden Best Practices zu beachten.

Beschreiben Sie Ihren Anwendungsfall klar. Vermeiden Sie vage Formulierungen in Ihren Prompts. Geben Sie so genau wie möglich an, welche Aktionen das Hauptkonto für welche Dienste und Ressourcentypen ausführen soll. Wenn Gemini die Rollen mit den geringsten Berechtigungen vorschlagen soll, müssen Sie Ihren Prompt mit spezifischen Keywords erstellen, die Ihre Absicht beschreiben, das Prinzip der geringsten Berechtigung einzuhalten.

Do	Nicht erlaubt	Details
„Welche Rolle ist erforderlich, um SQL-Abfragen für eine BigQuery-Tabelle auszuführen und die Daten daraus zu lesen?“	„Welche Rolle ist zum Ausführen von SQL-Anweisungen erforderlich?“	SQL ist eine generische Sprache, die in mehreren Google Cloud Diensten verwendet wird. Ohne Angabe des Dienstes oder der Aktionen kann Gemini keine genaue Rolle vorschlagen.
„Ich benötige Rollen, um Compute Engine-VM-Instanzen zu starten, zu beenden und neu zu starten.“	„Ich muss meine virtuellen Maschinen verwalten.“	Der Begriff verwalten ist zu vage. „Verwalten“ kann das Erstellen, Löschen, Aktualisieren oder Ansehen von VMs bedeuten. Wenn Sie die auszuführenden Aktionen (starten, beenden, neu starten) und den genauen Ressourcentyp (Compute Engine-VM-Instanzen) angeben, erhalten Sie genauere Vorschläge.
„Ich muss Objekte in einen Cloud Storage-Bucket namens `example-bucket` hochladen und daraus herunterladen.“	„Gib mir Zugriff auf den Speicher.“	Der Begriff Speicher allein könnte sich auf verschiedene Dienste wie Cloud Storage, Filestore oder Persistent Disk beziehen. Außerdem sind keine Aktionen angegeben. Ohne Angabe des Dienstes (Cloud Storage), des Ressourcentypnamens (`example-bucket`) oder der Aktionen (Objekte hochladen und herunterladen) hat Gemini nicht genügend Informationen, um die richtigen Rollen vorzuschlagen.
„Ich benötige die am wenigsten restriktive Rolle, die nur Listenzugriff auf Secret Manager bietet.“	„Ich benötige eingeschränkten Zugriff, um meine Secrets zu verwalten.“	Der Begriff eingeschränkter Zugriff definiert die erforderlichen Einschränkungen nicht eindeutig. Geheime Schlüssel verwalten umfasst eine Vielzahl von Aktionen (Versionen erstellen, auflisten, aktualisieren, löschen, darauf zugreifen). Ohne explizite Keywords wie geringste Berechtigung schlägt Gemini standardmäßig allgemeinere dienstspezifische Administrator-, Bearbeiter- oder Betrachterrollen vor.

Offizielle Namen verwenden: Verwenden Sie in Ihrem Prompt die offiziellen Namen von Google Cloud -Diensten, Ressourcentypen und API-Vorgängen. Wenn Sie sich nicht sicher sind, wie die offiziellen Namen von Diensten, Ressourcentypen oder API-Vorgängen lauten, empfehlen wir, die offizielle Produktdokumentation zu lesen.

Do	Nicht erlaubt	Details
„Welche Rolle benötige ich, um BigQuery-Datasets zu aktualisieren?“	„Welche Rolle benötige ich, um BigQuery-Datasets zu aktualisieren?	BigQuery ist der offizielle Name des Produkts, nicht Big query.
„Welche Rolle ist erforderlich, um einen Cloud Storage-Bucket in meinem Projekt zu erstellen?“	„Welche Rolle ist erforderlich, um einen Storage-Bucket in meinem Projekt zu erstellen?“	Speicher-Bucket kann sich auf verschiedene Ressourcentypen von Diensten wie Cloud Storage, Filestore oder Persistent Disk beziehen. Wenn Sie den Produktnamen und den zugehörigen Ressourcentyp angeben, erhalten Sie genauere Vorschläge.

Schlüsselwörter für Rollen mit geringsten Berechtigungen

Wenn Sie von Gemini Rollenvorschläge benötigen, die dem Prinzip der geringsten Berechtigung entsprechen, müssen Sie bestimmte Keywords in Ihrem Prompt verwenden. Im Folgenden finden Sie eine unvollständige Liste von Keywords, mit denen Sie Rollen mit den geringsten Berechtigungen anfordern können:

am wenigsten restriktiv
sicherste
kleinste Rolle
geringste Berechtigung
Mindestberechtigungen
streng detailliert
schmalster Zugang
nur das absolute Minimum
nur mit den erforderlichen Berechtigungen

Fehlerbehebung

In diesem Abschnitt werden Lösungen für häufige Probleme mit der IAM-Rollenauswahl beschrieben.

Gemini schlägt Rollen vor, die Sie nicht auf Projektebene zuweisen können

Gemini kann Rollen auf allen Ressourcenebenen vorschlagen. Sie können jedoch nur die vorgeschlagenen Rollen auf Projektebene über die IAM-Rollenauswahl zuweisen. Wenn Gemini Rollen auf Organisations-, Ordner- oder Ressourcenebene vorschlägt, wird in der IAM-Rollenauswahl angezeigt, dass es vorgeschlagene Rollen gibt, die nicht zugewiesen werden können, und die Schaltfläche Rollen hinzufügen ist deaktiviert.

In diesem Fall können Sie die vorgeschlagenen Rollen kopieren und dem Prinzipal auf der entsprechenden Ebene über den üblichen Prozess in derGoogle Cloud -Konsole zuweisen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.