Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mendapatkan saran peran bawaan dengan bantuan Gemini

Halaman ini menjelaskan cara menemukan dan memberikan peran bawaan Identity and Access Management (IAM) yang paling tidak permisif kepada akun utama Anda dengan bantuan Gemini.

Pemilih peran IAM memungkinkan Anda bertanya kepada Gemini peran mana yang harus Anda berikan kepada akun utama Anda. Biasanya, untuk menemukan peran bawaan yang tepat untuk diberikan, Anda harus menelusuri indeks peran dan izin IAM atau halaman Peran di Google Cloud konsol. Dengan pemilih peran IAM, Anda dapat menjelaskan tindakan yang ingin Anda lakukan oleh akun utama dan resource yang mereka butuhkan untuk melakukannya. Berdasarkan input Anda, Gemini menyarankan peran bawaan yang paling tidak permisif yang dianggap sesuai.

Gemini dapat menyarankan peran bawaan untuk setiap akun utama. Jika Gemini menyarankan pemberian peran di level project, Anda dapat menggunakan pemilih peran IAM untuk memberikan peran tersebut.

Anda tidak dapat menggunakan pemilih peran IAM untuk mendapatkan saran terkait hal berikut ini:

Peran khusus
Peran untuk beberapa akun utama (dengan satu perintah)
Peran untuk produk Google Workspace seperti Google Spreadsheet dan Google Dokumen

Pelajari cara dan waktu Gemini untuk Google Cloud menggunakan data Anda.

Peran yang Diperlukan

Untuk mendapatkan izin yang diperlukan untuk menggunakan pemilih peran IAM, minta administrator Anda untuk memberikan peran IAM Project IAM Admin (roles/resourcemanager.projectIamAdmin) di project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk menggunakan pemilih peran IAM. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan pemilih peran IAM:

resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mendapatkan saran peran dengan bantuan Gemini

Untuk mendapatkan saran peran dari Gemini, Anda dapat mengakses pemilih peran IAM di halaman di Google Cloud konsol yang memungkinkan Anda memberikan akses di level project. Misalnya, pemilih peran IAM tersedia di halaman berikut:

Halaman IAM
Halaman Akun Layanan
Halaman Google Cloud konsol Dasbor

Prosedur berikut menggunakan halaman IAM sebagai titik entri utama.

Di Google Cloud konsol, buka halaman IAM.

Buka IAM
Pilih project.
Pilih akun utama untuk mendapatkan saran peran:
- Untuk mendapatkan saran peran untuk akun utama yang sudah memiliki peran lain pada resource, temukan baris yang berisi akun utama, lalu klik Edit akun utama di baris tersebut.
  
  Untuk memberikan peran kepada agen layanan, centang kotak Sertakan Google-pemberian peran yang disediakan untuk melihat alamat emailnya.
  
  Catatan: Anda tidak dapat mengedit peran yang diwariskan saat mengelola akses ke resource. Untuk mengedit peran yang diwariskan, buka resource tempat peran diberikan.
- Untuk mendapatkan saran peran untuk akun utama yang belum memiliki peran pada resource, klik Berikan Akses, lalu masukkan ID akun utama—misalnya, my-user@example.com atau //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Untuk membuka dialog pemilih peran IAM, klik Bantu saya memilih peran.
Dengan kata-kata Anda sendiri, jelaskan tindakan yang ingin Anda lakukan oleh akun utama dan resource di project yang mereka butuhkan untuk melakukannya.
Klik Sarankan peran. Berdasarkan input Anda, Gemini menyarankan peran bawaan yang paling tidak permisif yang dianggap sesuai.

Untuk mendapatkan informasi selengkapnya tentang peran dan alasan Gemini menyarankannya, klik Tampilkan alasan. Sebaiknya gunakan juga referensi peran dan izin untuk memvalidasi peran yang disarankan Gemini sebelum memberikannya kepada akun utama.
Opsional: Jika Gemini tidak menyarankan peran yang tepat, Anda dapat menyempurnakan perintah Anda.
1. Untuk mengubah perintah Anda, klik Edit.
2. Edit deskripsi, lalu klik Update. Gemini memperbarui saran perannya berdasarkan deskripsi baru.
Untuk menerima saran, klik Tambahkan peran.
Opsional: Tambahkan kondisi ke peran.
Klik Simpan. Akun utama diberi peran pada resource.

Anda dapat memberikan peran level project yang disarankan oleh Gemini langsung dari pemilih peran IAM. Untuk saran peran level organisasi, folder, atau resource, catat peran yang disarankan dan berikan kepada akun utama di level yang sesuai menggunakan proses standar di Google Cloud konsol. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Jika Anda tidak memiliki izin untuk memberikan peran di level organisasi, folder, atau resource, hubungi administrator Anda.

Kasus penggunaan sampel

Tabel berikut mengilustrasikan beberapa contoh kasus penggunaan saat Gemini dapat membantu Anda mengidentifikasi peran yang paling tidak permisif untuk akun utama Anda.

Kasus penggunaan	Contoh perintah
Mengidentifikasi peran yang paling tidak permisif yang diperlukan untuk melakukan tugas tertentu	"Peran apa yang diperlukan untuk membuat, memulai, dan menghentikan VM?" "Apa peran IAM dengan hak istimewa terendah yang diperlukan untuk membuat kebijakan IAM?" "Saya perlu mengizinkan pengguna membuat dan mengelola set data dan tabel BigQuery. Peran apa yang harus saya tetapkan?" "Saya perlu memberikan akses akun layanan untuk memanggil fungsi Cloud Run. Apa peran minimum yang diperlukan?" "Peran mana yang memungkinkan akun layanan membaca data dari Cloud Storage, tetapi tidak menulis atau menghapus objek?"
Mengidentifikasi peran yang paling tidak permisif yang diperlukan untuk menjalankan perintah Google Cloud CLI	"Peran IAM apa yang diperlukan untuk menjalankan perintah berikut: `gcloud compute instances create instance-1 --zone=us-central1-a`" "Saya ingin mengidentifikasi peran yang diperlukan untuk akun layanan guna menjalankan perintah berikut: `gcloud datastore instances describe`"
Mengidentifikasi peran untuk tugas yang mencakup dependensi transitif	"Saya perlu mengonfigurasi instance Compute Engine agar otomatis diskalakan berdasarkan penggunaan CPU. Peran IAM mana yang harus diberikan kepada akun layanan yang digunakan oleh penskala otomatis instance?"
Mengidentifikasi peran untuk tugas yang mungkin memerlukan kombinasi beberapa peran terperinci	"Berikan akses pengguna hanya ke set data tertentu. Kami tidak ingin membagikan akses ke semua set data, dan kami hanya mengizinkan pengguna mengakses set data tertentu dalam BigQuery. Mereka tidak boleh membuat set data baru atau menghapusnya"

Praktik terbaik

Untuk membantu Gemini memberikan saran yang paling akurat untuk kasus penggunaan Anda, sebaiknya ikuti praktik terbaik berikut saat membuat perintah Anda.

Jelaskan kasus penggunaan Anda dengan jelas. Hindari penggunaan bahasa yang tidak jelas dalam perintah Anda. Jelaskan sejelas mungkin tindakan yang ingin Anda lakukan oleh akun utama pada layanan dan jenis resource mana.

Lakukan	Jangan lakukan	Detail
"Peran apa yang diperlukan untuk menjalankan kueri SQL pada tabel BigQuery dan membaca data darinya?"	"Peran apa yang diperlukan untuk menjalankan pernyataan SQL?"	SQL adalah bahasa generik yang digunakan di beberapa Google Cloud layanan. Tanpa menentukan layanan atau tindakan, Gemini tidak dapat menyarankan peran yang tepat.
"Saya memerlukan peran untuk memulai, menghentikan, dan memulai ulang instance virtual machine Compute Engine."	"Saya perlu mengelola virtual machine saya."	Istilah mengelola terlalu tidak jelas. Mengelola dapat berarti membuat, menghapus, mengupdate, atau melihat VM. Mencantumkan dengan jelas tindakan spesifik yang akan dilakukan (memulai, menghentikan, memulai ulang) dan jenis resource yang tepat (instance virtual machine Compute Engine) akan menghasilkan saran yang lebih akurat.
"Saya perlu mengupload dan mendownload objek dari bucket Cloud Storage bernama `example-bucket`."	"Beri saya akses ke penyimpanan."	Istilah Penyimpanan saja dapat merujuk ke berbagai layanan seperti Cloud Storage, Filestore, atau Persistent Disk. Selain itu, tidak ada tindakan yang ditentukan. Tanpa menentukan layanan (Cloud Storage), nama jenis resource (`example-bucket`), atau tindakan (mengupload dan mendownload objek), Gemini tidak memiliki informasi yang cukup untuk menyarankan peran yang tepat.

Gunakan nama resmi. Gunakan nama resmi Google Cloud layanan, jenis resource, dan operasi API dalam perintah Anda. Jika Anda tidak yakin dengan nama resmi layanan, jenis resource, atau operasi API, sebaiknya lihat dokumentasi produk resmi.

Lakukan	Jangan lakukan	Detail
"Peran apa yang saya perlukan untuk mengupdate set data BigQuery?"	"Peran apa yang saya perlukan untuk mengupdate set data Big query?	BigQuery adalah nama resmi produk—bukan Big query.
"Peran apa yang diperlukan untuk membuat bucket Cloud Storage di project saya?"	"Peran apa yang diperlukan untuk membuat bucket Storage di project saya?"	Storage bucket dapat merujuk ke jenis resource yang berbeda dari layanan seperti Cloud Storage, Filestore, atau Persistent Disk. Menentukan nama produk dan jenis resource terkait akan menghasilkan saran yang lebih akurat.

Pemecahan masalah

Bagian ini menjelaskan resolusi untuk masalah umum terkait pemilih peran IAM.

Gemini menyarankan peran yang tidak dapat Anda berikan di level project

Gemini dapat menyarankan peran di semua level resource; namun, Anda hanya dapat menggunakan pemilih peran IAM untuk memberikan peran level project yang disarankan. Saat Gemini menyarankan peran level organisasi, folder, atau resource, pemilih peran IAM akan menunjukkan bahwa ada peran yang disarankan yang tidak dapat diberikan dan tombol Tambahkan peran akan dinonaktifkan.

Jika hal ini terjadi, Anda dapat menyalin peran yang disarankan dan memberikannya kepada akun utama di level yang sesuai menggunakan proses standar di Google Cloud konsol. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.