En esta página, se describe cómo puedes encontrar y otorgar roles predefinidos de Identity and Access Management (IAM) a tus principales con la asistencia de Gemini.
El selector de roles de IAM te permite preguntarle a Gemini qué roles debes otorgar a tus principales. Por lo general, para encontrar los roles predefinidos adecuados para otorgar, debes buscar en el índice de roles y permisos de IAM o en la página Roles de la Google Cloud consola. Con el selector de roles de IAM, puedes describir las acciones que quieres que realice la principal y los recursos en los que debe realizarlas. Según tu entrada, Gemini sugiere los roles predefinidos que considera adecuados.
Gemini puede sugerir roles predefinidos para principales individuales. Si Gemini sugiere otorgar un rol a nivel de proyecto, puedes usar el selector de roles de IAM para otorgar ese rol.
No puedes usar el selector de roles de IAM para obtener sugerencias sobre lo siguiente:
- Funciones personalizadas
- Roles para varias principales (con una sola instrucción)
- Roles para productos de Google Workspace, como Hojas de cálculo de Google y Documentos de Google
Descubre cómo y cuándo Gemini para Google Cloud usa tus datos.
Funciones requeridas
Para obtener los permisos que
necesitas para usar el selector de roles de IAM,
pídele a tu administrador que te otorgue el
rol de IAM Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para usar el selector de roles de IAM. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para usar el selector de roles de IAM:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
También puedes obtener estos permisos con roles personalizados o otros roles predefinidos.
Obtén sugerencias de roles con la asistencia de Gemini
Para obtener sugerencias de roles de Gemini, puedes acceder al selector de roles de IAM en las páginas de la Google Cloud consola de que te permiten otorgar acceso a nivel de proyecto. Por ejemplo, el selector de roles de IAM está disponible en las siguientes páginas:
- La página IAM
- La página Cuentas de servicio
- La Google Cloud página Panel de la consola de
En el siguiente procedimiento, se usa la página IAM como punto de entrada principal.
En la Google Cloud consola de, dirígete a la página IAM.
Selecciona un proyecto.
Selecciona una principal para obtener sugerencias de roles:
Para obtener sugerencias de roles para una principal que ya tenga otros roles en el recurso, busca una fila que contenga la principal y, luego, haz clic en Editar principal en esa fila.
Para otorgar un rol a un agente de servicio, selecciona la casilla de verificación Incluir Google-asignaciones de roles proporcionadas por para ver su dirección de correo electrónico.
Para obtener sugerencias de roles para una principal que aún no tenga otros roles en el recurso, haz clic en Otorgar acceso y, luego, ingresa un identificador de principal (por ejemplo,
my-user@example.como//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com).
Para abrir el diálogo del selector de roles de IAM, haz clic en Ayúdame a elegir roles.
Con tus propias palabras, describe la acción que quieres que realice la principal y el recurso en el proyecto en el que debe realizarla.
Haz clic en Sugerir roles. Según tu entrada, Gemini sugiere los roles predefinidos que considera adecuados.
Para obtener más información sobre los roles y por qué Gemini los sugirió, haz clic en Mostrar razonamiento. También te recomendamos que uses la referencia de roles y permisos para validar los roles sugeridos por Gemini antes de otorgarlos a la principal.
Opcional: Si Gemini no sugiere los roles correctos, puedes refinar tu instrucción.
- Para modificar tu instrucción, haz clic en Editar.
- Edita la descripción y, luego, haz clic en Actualizar. Gemini actualiza sus sugerencias de roles según la nueva descripción.
Para aceptar las sugerencias, haz clic en Agregar roles.
Opcional: Agrega una condición a la función.
Haz clic en Guardar. A la principal se le otorga la función en el recurso.
Puedes otorgar roles a nivel de proyecto sugeridos por Gemini directamente desde el selector de roles de IAM. Para obtener sugerencias de roles a nivel de la organización, la carpeta o el recurso , anota los roles sugeridos y otórgales a la principal en el nivel adecuado con el proceso típico en la Google Cloud consola de. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Si no tienes los permisos para otorgar los roles a nivel de la organización, la carpeta o el recurso, comunícate con tu administrador.
Ejemplos de casos de uso
En la siguiente tabla, se ilustran algunos casos de uso de ejemplo para el selector de roles de IAM. De forma predeterminada, Gemini sugiere roles diseñados para cubrir los recorridos de usuario comunes dentro de un servicio. Por ejemplo, Gemini suele sugerir los roles de administrador, editor o visualizador de un servicio.
Si quieres que Gemini sugiera los roles más detallados y con menos privilegios, debes especificar esta preferencia en tu instrucción con palabras clave específicas. Para obtener una lista de las palabras clave que puedes usar, consulta Palabras clave para roles con menos privilegios. Sin embargo, ten en cuenta que los roles con menos privilegios podrían no ser suficientes para las necesidades futuras de un usuario.
| Caso de uso | Ejemplos de solicitudes |
|---|---|
| Identificación de roles para la administración general de servicios |
|
| Identificación de los roles necesarios para realizar tareas específicas |
Instrucciones que generan sugerencias de roles con menos privilegios:
|
| Identificación de los roles necesarios para ejecutar comandos de Google Cloud CLI |
Instrucción que genera sugerencias de roles con menos privilegios:
|
| Identificación de roles para una tarea que incluye dependencias transitivas |
Instrucción que genera sugerencias de roles con menos privilegios:
|
| Identificación de roles para una tarea que podría requerir una combinación de varios roles detallados |
Instrucción que genera sugerencias de roles con menos privilegios:
|
Prácticas recomendadas
Para ayudar a Gemini a proporcionar las sugerencias más precisas para tu caso de uso, te recomendamos que sigas las siguientes prácticas recomendadas cuando redactes tu instrucción.
Describe claramente tu caso de uso. Evita usar lenguaje vago en tus instrucciones. Sé lo más claro posible sobre las acciones que quieres que realice la principal en qué servicios y tipos de recursos. Si quieres que Gemini sugiera los roles con menos privilegios, asegúrate de crear tu instrucción con palabras clave específicas que describan tu intención de cumplir con el principio de privilegio mínimo.
Sugerencia No sugerencia Detalles “¿Qué rol se requiere para ejecutar consultas de SQL en una tabla de BigQuery y leer los datos de ella?” “¿Qué rol se requiere para ejecutar instrucciones de SQL?” SQL es un lenguaje genérico que se usa en varios Google Cloud servicios. Sin especificar el servicio o las acciones, Gemini no puede sugerir un rol preciso. “Necesito roles para iniciar, detener y reiniciar instancias de máquina virtual de Compute Engine”. “Necesito administrar mis máquinas virtuales”. El término administrar es demasiado vago. Administrar podría significar crear, borrar, actualizar o ver VMs. Si se enumeran claramente las acciones específicas que se realizarán (iniciar, detener, reiniciar) y el tipo de recurso exacto (instancias de máquina virtual de Compute Engine), se obtienen sugerencias más precisas. “Necesito subir y descargar objetos de un bucket de Cloud Storage llamado example-bucket”.“Dame acceso al almacenamiento”. El término almacenamiento por sí solo podría hacer referencia a varios servicios, como Cloud Storage, Filestore o Persistent Disk. Además, no se especifican acciones. Sin especificar el servicio (Cloud Storage), el nombre del tipo de recurso ( example-bucket) o las acciones (subir y descargar objetos), Gemini no tiene suficiente información para sugerir los roles correctos.“Necesito el rol menos permisivo que proporcione acceso solo a la lista de Secret Manager”. “Necesito acceso limitado para administrar mis secretos”. La frase acceso limitado no define claramente las restricciones requeridas. Administrar mis secretos abarca una amplia gama de acciones (crear, enumerar, actualizar, borrar, acceder a versiones). Sin usar palabras clave explícitas como privilegio mínimo, Gemini sugiere de forma predeterminada roles de administrador, editor o visualizador más generales específicos del servicio. Usa nombres oficiales. Usa los nombres oficiales de los Google Cloud servicios, tipos de recursos y operaciones de API en tu instrucción. Si no estás seguro de los nombres oficiales de los servicios, los tipos de recursos o las operaciones de API, te recomendamos que consultes la documentación oficial del producto.
Sugerencia No sugerencia Detalles “¿Qué rol necesito para actualizar conjuntos de datos de BigQuery?” “¿Qué rol necesito para actualizar conjuntos de datos de Big query? BigQuery es el nombre oficial del producto, no Big query. “¿Qué rol se requiere para crear un bucket de Cloud Storage en mi proyecto?” “¿Qué rol se requiere para crear un bucket de Storage en mi proyecto?” Bucket de Storage podría hacer referencia a diferentes tipos de recursos de servicios como Cloud Storage, Filestore o Persistent Disk. Si especificas el nombre del producto y el tipo de recurso asociado, se obtendrán sugerencias más precisas.
Palabras clave para roles con menos privilegios
Si necesitas sugerencias de roles de Gemini que cumplan con el principio de privilegio mínimo, debes usar palabras clave específicas en tu instrucción. La siguiente es una lista no exhaustiva de palabras clave que puedes usar para solicitar roles con menos privilegios:
- least permissive
- most secure
- smallest role
- least privileged
- minimum permissions
- strictly granular
- narrowest access
- only the absolute minimum
- only with the exact permissions
Soluciona problemas
En esta sección, se describen las resoluciones para problemas comunes con el selector de roles de IAM.
Gemini sugiere roles que no puedes otorgar a nivel de proyecto
Gemini puede sugerir roles en todos los niveles de recursos; sin embargo, solo puedes usar el selector de roles de IAM para otorgar los roles a nivel de proyecto que se sugieren. Cuando Gemini sugiere roles a nivel de la organización, la carpeta o el recurso, el selector de roles de IAM indica que hay roles sugeridos que no se pueden otorgar y el botón Agregar roles estará inhabilitado.
Cuando esto sucede, puedes copiar los roles sugeridos y otorgarlos a la principal en el nivel adecuado con el proceso típico en la Google Cloud consola. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Si no tienes los permisos para otorgar los roles a nivel de la organización, la carpeta o el recurso, comunícate con tu administrador.
¿Qué sigue?
- Lee la descripción general de Gemini para Google Cloud .
- Descubre cómo Gemini para Google Cloud usa tus datos.
- Aprende a encontrar manualmente los roles predefinidos adecuados.