本頁說明如何透過 Gemini 輔助,尋找並授予主體 Identity and Access Management (IAM) 預先定義角色。
透過 IAM 角色挑選器,您可以要求 Gemini 建議應授予主體的角色。一般來說,如要找出合適的預先定義角色並授予主體,您需要搜尋 IAM 角色和權限索引,或Google Cloud 控制台的「角色」頁面。使用 IAM 角色挑選器時,您可以說明要讓主體執行的動作,以及執行這些動作所需的資源。Gemini 會根據您的輸入內容,建議合適的預先定義角色。
Gemini 可以為個別主體建議預先定義的角色。如果 Gemini 建議在專案層級授予角色,您可以使用 IAM 角色挑選器授予該角色。
您無法使用 IAM 角色挑選器取得下列項目的建議:
- 自訂角色
- 多個主體的角色 (使用單一提示)
- Google 試算表和 Google 文件等 Google Workspace 產品的角色
瞭解 Gemini for Google Cloud 如何使用您的資料。
必要的角色
如要取得使用 IAM 角色挑選器所需的權限,請要求管理員授予您專案的專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這個預先定義的角色具備使用 IAM 角色挑選器所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
如要使用 IAM 角色挑選器,必須具備下列權限:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
在 Gemini 的協助下取得角色建議
如要取得 Gemini 角色建議,請在 Google Cloud 控制台的頁面中存取 IAM 角色挑選器,在專案層級授予存取權。舉例來說,下列頁面提供 IAM 角色挑選器:
- 「IAM」頁面
- 「服務帳戶」頁面
- Google Cloud 控制台的「資訊主頁」頁面
以下程序會使用「身分與存取權管理」頁面做為主要進入點。
前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。
選取專案。
選取要取得角色建議的主體:
如要為資源上已有其他角色的主體取得角色建議,請找出包含該主體的列,然後點選該列的 「Edit principal」(編輯主體)。
如要將角色授予服務代理,請選取「包含 Google 提供的角色授予項目」核取方塊,即可查看服務代理的電子郵件地址。Google
如要為資源上還沒有任何角色的主體取得角色建議,請點選 「Grant Access」(授予存取權),然後輸入主體 ID,例如
my-user@example.com或//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com。
如要開啟 IAM 角色挑選器對話方塊,請按一下「幫我選取角色」。
請用自己的話描述您希望主體執行的動作,以及主體需要在專案中執行的資源。
按一下「生成角色建議」。Gemini 會根據您的輸入內容,建議適當的預先定義角色。
如要進一步瞭解角色和 Gemini 建議這些角色的原因,請按一下「顯示原因」。此外,建議您先使用角色和權限參考資料驗證 Gemini 建議的角色,再將這些角色授予主體。
選用:如果 Gemini 建議的角色不合適,可以修正提示。
- 如要修改提示,請按一下「編輯」。
- 編輯說明,然後按一下「更新」。Gemini 會根據新說明更新角色建議。
如要接受建議,請按一下「新增角色」。
選用:為角色新增條件。
按一下 [儲存]。主體就會取得指定資源的角色。
您可以直接從 IAM 角色挑選器,授予 Gemini 建議的專案層級角色。如要授予機構、資料夾或資源層級的角色,請記下建議的角色,然後使用 Google Cloud 控制台的標準程序,在適當層級將角色授予主體。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
如果您沒有在機構、資料夾或資源層級授予角色的權限,請與管理員聯絡。
應用實例
下表說明 IAM 角色挑選器的部分用途範例。根據預設,Gemini 會建議涵蓋服務內常見使用者歷程的角色。舉例來說,Gemini 通常會建議服務的管理員、編輯者或檢視者角色。
如要讓 Gemini 建議最精細的最小權限角色,請在提示詞中使用特定關鍵字指定這項偏好設定。如需可使用的關鍵字清單,請參閱「最小權限角色關鍵字」。不過請注意,最小權限角色可能無法滿足使用者日後的需求。
| 用途 | 提示範例 |
|---|---|
| 找出一般服務管理適用的角色 |
|
| 找出執行特定工作所需的角色 |
可產生最低權限角色建議的提示:
|
| 找出執行 Google Cloud CLI 指令所需的角色 |
提示:提供最低權限角色建議:
|
| 識別包含遞移依附元件的工作角色 |
提示:產生最低權限角色建議:
|
| 找出可能需要多個精細角色組合的任務角色 |
提示:產生最低權限角色建議:
|
最佳做法
為協助 Gemini 提供最符合您用途的建議,建議您撰寫提示時遵循下列最佳做法。
清楚說明用途。避免在提示中使用含糊不清的語言。盡可能清楚說明您希望主體在哪些服務和資源類型上執行哪些動作。如要讓 Gemini 建議符合最小權限原則的角色,請務必使用特定關鍵字建立提示,說明您打算遵守最小權限原則。
正確做法 錯誤做法 詳細資料 「如要在 BigQuery 資料表上執行 SQL 查詢並讀取資料,需要什麼角色?」 「執行 SQL 陳述式需要什麼角色?」 SQL 是多項 Google Cloud 服務通用的語言。如果未指定服務或動作,Gemini 就無法建議確切的角色。 「我需要啟動、停止及重新啟動 Compute Engine 虛擬機器執行個體的角色。」 「I need to manage my virtual machines」(我需要管理虛擬機器)。 「管理」一詞過於籠統,管理可能包括建立、刪除、更新或查看 VM。清楚列出要執行的特定動作 (啟動、停止、重新啟動) 和確切的資源類型 (Compute Engine 虛擬機器執行個體),可獲得更準確的建議。 「我需要從名為 example-bucket的 Cloud Storage bucket 上傳及下載物件。」「Give me access to storage」(授予儲存空間存取權)。 單獨使用「儲存空間」一詞,可能指的是 Cloud Storage、Filestore 或 Persistent Disk 等各種服務。此外,您也沒有指定任何動作。如果未指定服務 (Cloud Storage)、資源類型名稱 ( example-bucket) 或動作 (上傳及下載物件),Gemini 就沒有足夠的資訊來建議合適的角色。「我需要最嚴格的角色,但必須提供 Secret Manager 的僅列出存取權。」 「我需要有限的存取權來管理密鑰。」 「存取權受限」一詞無法清楚定義必要限制。「管理我的密鑰」涵蓋各種動作 (建立、列出、更新、刪除、存取版本)。如果沒有使用「最低權限」等明確關鍵字,Gemini 預設會建議更通用的服務專屬管理員、編輯者或檢視者角色。 使用正式名稱。在提示中,請使用 Google Cloud 服務、資源類型和 API 作業的正式名稱。如果不確定服務、資源類型或 API 作業的正式名稱,建議參閱正式產品文件。
正確做法 錯誤做法 詳細資料 「我需要什麼角色才能更新 BigQuery 資料集?」 「我需要什麼角色才能更新 BigQuery 資料集? BigQuery 是產品的官方名稱,而非 Big query。 「如要在專案中建立 Cloud Storage bucket,需要什麼角色?」 「我需要什麼角色才能在專案中建立 Storage bucket?」 儲存空間值區可能指的是來自 Cloud Storage、Filestore 或 Persistent Disk 等服務的不同資源類型。指定產品名稱和相關資源類型,可獲得更準確的建議。
最低權限角色的關鍵字
如要讓 Gemini 根據最小權限原則提供角色建議,請在提示詞中使用特定關鍵字。以下列舉部分可用於要求最低權限角色的關鍵字:
- 最寬鬆
- 最安全
- 最小角色
- 最低權限
- 最低權限
- 精細程度
- 最窄的存取範圍
- 只提供絕對最低限度的
- 僅限具備確切權限
疑難排解
本節說明如何解決 IAM 角色挑選器常見問題。
Gemini 建議您無法在專案層級授予的角色
Gemini 可以在所有資源層級建議角色,但您只能使用 IAM 角色挑選器,授予建議的專案層級角色。當 Gemini 建議機構、資料夾或資源層級的角色時,IAM 角色挑選器會指出有建議角色無法授予,且「新增角色」按鈕會停用。
發生這種情況時,您可以複製建議的角色,並使用Google Cloud 控制台的標準程序,在適當層級將角色授予主體。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
如果您沒有在機構、資料夾或資源層級授予角色的權限,請與管理員聯絡。
後續步驟
- 閱讀「Gemini for Google Cloud總覽」。
- 瞭解 Gemini for Google Cloud 如何使用您的資料。
- 瞭解如何手動找出合適的預先定義角色。