Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Obtenir des suggestions de rôles prédéfinis avec l'aide de Gemini

Cette page explique comment trouver et attribuer des rôles prédéfinis Identity and Access Management (IAM) à vos comptes principaux avec l'aide de Gemini.

Le sélecteur de rôles IAM vous permet de demander à Gemini quels rôles attribuer à vos comptes principaux. En règle générale, pour trouver les rôles prédéfinis appropriés à attribuer, vous devez parcourir l'index des rôles et autorisations IAM ou la page Rôles de la Google Cloud console. Avec le sélecteur de rôles IAM, vous pouvez décrire les actions que vous souhaitez que le compte principal effectue et les ressources sur lesquelles il doit les effectuer. En fonction de vos entrées, Gemini suggère les rôles prédéfinis qu'il considère appropriés.

Gemini peut suggérer des rôles prédéfinis pour des comptes principaux individuels. Si Gemini suggère d'attribuer un rôle au niveau du projet, vous pouvez utiliser le sélecteur de rôles IAM pour le faire.

Vous ne pouvez pas utiliser le sélecteur de rôles IAM pour obtenir des suggestions concernant les éléments suivants :

Rôles personnalisés
Rôles pour plusieurs comptes principaux (avec un seul prompt)
Rôles pour les produits Google Workspace tels que Google Sheets et Google Docs

Découvrez comment et quand Gemini pour Google Cloud utilise vos données.

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser le sélecteur de rôles IAM, demandez à votre administrateur de vous accorder le rôle IAM Administrateur IAM du projet (roles/resourcemanager.projectIamAdmin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour utiliser le sélecteur de rôles IAM. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour utiliser le sélecteur de rôles IAM :

resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Obtenir des suggestions de rôles avec l'aide de Gemini

Pour obtenir des suggestions de rôles de Gemini, vous pouvez accéder au sélecteur de rôles IAM sur les pages de la Google Cloud console qui vous permettent d'accorder l'accès au niveau du projet. Par exemple, le sélecteur de rôles IAM est disponible sur les pages suivantes :

La page IAM
La page Comptes de service
La Google Cloud console Tableau de bord page

La procédure suivante utilise la page IAM comme point d'entrée principal.

Dans la Google Cloud console, accédez à la page IAM.

Accéder à IAM
Sélectionnez un projet.
Sélectionnez un compte principal pour lequel obtenir des suggestions de rôles :
- Pour obtenir des suggestions de rôles pour un compte principal qui dispose déjà d'autres rôles sur la ressource, recherchez la ligne contenant le compte principal, puis cliquez sur Modifier le compte principal sur cette ligne.
  
  Pour attribuer un rôle à un agent de service, cochez la case Inclure Google-fournies pour afficher son adresse e-mail.
  
  Remarque : Vous ne pouvez pas modifier les rôles hérités lorsque vous gérez l’accès à une ressource. Pour modifier les rôles hérités, accédez à la ressource où le rôle a été accordé.
- Pour obtenir des suggestions de rôles pour un compte principal qui ne dispose d'aucun rôle sur la ressource, cliquez sur Accorder l'accès, puis saisissez un identifiant de compte principal (par exemple, my-user@example.com ou //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com).
Pour ouvrir la boîte de dialogue du sélecteur de rôles IAM, cliquez sur Aide concernant le choix des rôles.
Décrivez avec vos propres mots l'action que vous souhaitez que le compte principal effectue et la ressource du projet sur laquelle il doit l'effectuer.
Cliquez sur Suggérer des rôles. En fonction de vos entrées, Gemini suggère les rôles prédéfinis qu'il considère appropriés.

Pour en savoir plus sur les rôles et les raisons pour lesquelles Gemini les a suggérés, cliquez sur Afficher le raisonnement. Nous vous recommandons également d'utiliser la documentation de référence sur les rôles et les autorisations pour valider les rôles suggérés par Gemini avant de les attribuer au compte principal.
Facultatif : si Gemini ne suggère pas les bons rôles, vous pouvez affiner votre prompt.
1. Pour modifier votre prompt, cliquez sur Modifier.
2. Modifiez la description, puis cliquez sur Mettre à jour. Gemini met à jour ses suggestions de rôles en fonction de la nouvelle description.
Pour accepter les suggestions, cliquez sur Ajouter des rôles.
Facultatif : ajoutez une condition au rôle.
Cliquez sur Enregistrer. Le rôle est attribué au compte principal sur la ressource.

Vous pouvez attribuer des rôles au niveau du projet suggérés par Gemini directement à partir du sélecteur de rôles IAM. Pour les suggestions de rôles au niveau de l'organisation, du dossier ou de la ressource , notez les rôles suggérés et attribuez-les au compte principal au niveau approprié à l'aide du processus habituel dans la Google Cloud console. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, dossiers et aux organisations.

Si vous ne disposez pas des autorisations nécessaires pour attribuer les rôles au niveau de l'organisation, du dossier ou de la ressource, contactez votre administrateur.

Exemples de cas d'utilisation

Le tableau suivant illustre quelques exemples de cas d'utilisation du sélecteur de rôles IAM. Par défaut, Gemini suggère des rôles conçus pour couvrir les parcours utilisateur courants au sein d'un service. Par exemple, Gemini suggère souvent les rôles Administrateur, Éditeur ou Lecteur d'un service.

Si vous souhaitez que Gemini suggère les rôles les plus précis et les moins privilégiés, vous devez spécifier cette préférence dans votre prompt à l'aide de mots clés spécifiques. Pour obtenir la liste des mots clés que vous pouvez utiliser, consultez Mots clés pour les rôles les moins privilégiés. Toutefois, sachez que les rôles les moins privilégiés peuvent ne pas suffire aux besoins futurs d'un utilisateur.

Cas d'utilisation	Exemples d'invites
Identifier les rôles pour la gestion générale des services	"De quelles autorisations ai-je besoin pour gérer notre configuration AlloyDB pour PostgreSQL ?" "De quels rôles ai-je besoin pour travailler avec BigQuery ?" "Comment accorder à quelqu'un l'accès pour exécuter et déboguer des services Cloud Run ?"
Identifier les rôles nécessaires pour effectuer des tâches spécifiques	"Quel rôle est requis pour créer, démarrer et arrêter des VM ?" "Je dois autoriser un utilisateur à créer et à gérer des ensembles de données et des tables BigQuery." "Je dois accorder à un compte de service l'accès pour appeler des fonctions Cloud Run." Prompts qui génèrent des suggestions de rôles les moins privilégiés : "Quel est le rôle minimal requis pour créer, démarrer et arrêter des VM ?" "Quels sont les rôles IAM les moins privilégiés requis pour créer des stratégies IAM ?" "Je dois accorder à un compte de service l'accès pour appeler des fonctions Cloud Run. Quel est l'accès le plus restreint requis ?"
Identifier les rôles nécessaires pour exécuter des commandes Google Cloud CLI	"Quel rôle IAM est requis pour exécuter : `gcloud compute instances create instance-1` ?" Prompt qui génère des suggestions de rôles les moins privilégiés : "Quel est le rôle le plus petit dont un compte de service a besoin pour exécuter : `gcloud datastore instances describe` ?"
Identifier les rôles pour une tâche qui inclut des dépendances transitives	"Je dois configurer une instance Compute Engine pour qu'elle s'adapte automatiquement en fonction de l'utilisation du processeur. Quels rôles IAM dois-je accorder au compte de service ?" Prompt qui génère des suggestions de rôles les moins privilégiés : "Je dois configurer une instance Compute Engine pour qu'elle s'adapte automatiquement en fonction de l'utilisation du processeur. Quelles sont les autorisations minimales que je dois accorder à un compte de service utilisé par un autoscaler d'instance Compute Engine ?"
Identifier les rôles pour une tâche qui peut nécessiter une combinaison de plusieurs rôles précis	"N'autorisez les utilisateurs à accéder qu'à un ensemble de données spécifique dans BigQuery. Ils ne doivent pas pouvoir créer ni supprimer d'ensembles de données." Prompt qui génère des suggestions de rôles les moins privilégiés : "Quel est le rôle le plus sécurisé pour accorder aux utilisateurs un accès en lecture seule à un seul ensemble de données dans BigQuery, sans autoriser les actions de création ou de suppression sur aucun ensemble de données ?"

Bonnes pratiques

Pour aider Gemini à fournir les suggestions les plus précises pour votre cas d'utilisation, nous vous recommandons de suivre les bonnes pratiques suivantes lors de la rédaction de votre prompt.

Décrivez clairement votre cas d'utilisation. Évitez d'utiliser un langage vague dans vos prompts. Soyez aussi clair que possible sur les actions que vous souhaitez que le compte principal effectue sur les services et les types de ressources. Si vous souhaitez que Gemini suggère les rôles les moins privilégiés, veillez à créer votre prompt avec des mots clés spécifiques qui décrivent votre intention de respecter le principe du moindre privilège.

À faire	À ne pas faire	Détails
"Quel rôle est requis pour exécuter des requêtes SQL sur une table BigQuery et lire les données qu'elle contient ?"	"Quel rôle est requis pour exécuter des instructions SQL ?"	SQL est un langage générique utilisé dans plusieurs Google Cloud services. Sans spécifier le service ni les actions, Gemini ne peut pas suggérer de rôle précis.
"J'ai besoin de rôles pour démarrer, arrêter et redémarrer des instances de machines virtuelles Compute Engine."	"Je dois gérer mes machines virtuelles."	Le terme gérer est trop vague. Gérer peut signifier créer, supprimer, mettre à jour ou afficher des VM. Lister clairement les actions spécifiques à effectuer (démarrer, arrêter, redémarrer) et le type de ressource exact (instances de machines virtuelles Compute Engine) génère des suggestions plus précises.
"Je dois importer et télécharger des objets à partir d'un bucket Cloud Storage nommé `example-bucket`."	"Donne-moi accès au stockage."	Le terme Stockage seul peut faire référence à différents services tels que Cloud Storage, Filestore ou Persistent Disk. De plus, aucune action n'est spécifiée. Sans spécifier le service (Cloud Storage), le nom du type de ressource (`example-bucket`) ni les actions (importer et télécharger des objets), Gemini ne dispose pas de suffisamment d'informations pour suggérer les bons rôles.
"J'ai besoin du rôle le moins permissif qui offre un accès en lecture seule à Secret Manager."	"J'ai besoin d'un accès limité pour gérer mes secrets."	L'expression accès limité ne définit pas clairement les restrictions requises. Gérer mes secrets couvre un large éventail d'actions (créer, lister, mettre à jour, supprimer, accéder aux versions). Sans utiliser de mots clés explicites tels que moindre privilège, Gemini suggère par défaut des rôles d'administrateur, d'éditeur ou de lecteur plus généraux et spécifiques au service.

Utilisez les noms officiels. Utilisez les noms officiels des Google Cloud services, types de ressources et des opérations d'API dans votre prompt. Si vous n'êtes pas sûr des noms officiels des services, des types de ressources ou des opérations d'API, nous vous recommandons de consulter la documentation officielle du produit.

À faire	À ne pas faire	Détails
"De quel rôle ai-je besoin pour mettre à jour des ensembles de données BigQuery ?"	"De quel rôle ai-je besoin pour mettre à jour des ensembles de données Big query ?	BigQuery est le nom officiel du produit, et non Big query.
"Quel rôle est requis pour créer un bucket Cloud Storage dans mon projet ?"	"Quel rôle est requis pour créer un bucket de stockage dans mon projet ?"	Bucket de stockage peut faire référence à différents types de ressources provenant de services tels que Cloud Storage, Filestore ou Persistent Disk. Spécifier le nom du produit et le type de ressource associé générera des suggestions plus précises.

Mots clés pour les rôles les moins privilégiés

Si vous avez besoin de suggestions de rôles de Gemini qui respectent le principe du moindre privilège, vous devez utiliser des mots clés spécifiques dans votre prompt. Vous trouverez ci-dessous une liste non exhaustive de mots clés que vous pouvez utiliser pour demander les rôles les moins privilégiés :

le moins permissif
le plus sécurisé
le plus petit rôle
le moins privilégié
les autorisations minimales
strictement précis
l'accès le plus restreint
uniquement le strict minimum
uniquement avec les autorisations exactes

Dépannage

Cette section décrit les solutions aux problèmes courants liés au sélecteur de rôles IAM.

Gemini suggère des rôles que vous ne pouvez pas attribuer au niveau du projet

Gemini peut suggérer des rôles à tous les niveaux de ressources. Toutefois, vous ne pouvez utiliser le sélecteur de rôles IAM que pour attribuer les rôles au niveau du projet suggérés. Lorsque Gemini suggère des rôles au niveau de l'organisation, du dossier ou de la ressource, le sélecteur de rôles IAM indique qu'il existe des rôles suggérés qui ne peuvent pas être attribués et le bouton Ajouter des rôles est désactivé.

Dans ce cas, vous pouvez copier les rôles suggérés et les attribuer au compte principal au niveau approprié à l'aide du processus habituel dans la Google Cloud console. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.