Receber sugestões de papéis predefinidos com a ajuda do Gemini

Nesta página, descrevemos como encontrar e conceder papéis predefinidos do Identity and Access Management (IAM) aos principais com a ajuda do Gemini.

O seletor de papéis do IAM permite que você pergunte ao Gemini quais papéis conceder aos principais. Normalmente, para encontrar os papéis predefinidos certos a serem concedidos, é necessário pesquisar no índice de papéis e permissões do IAM ou na página Papéis no Google Cloud console. Com o seletor de papéis do IAM, você pode descrever as ações que o principal precisa realizar e os recursos necessários para isso. Com base na sua entrada, o Gemini sugere os papéis predefinidos que considera adequados.

O Gemini pode sugerir papéis predefinidos para principais individuais. Se o Gemini sugerir a concessão de um papel no nível do projeto, use o seletor de papéis do IAM para conceder esse papel.

Você não pode usar o seletor de papéis do IAM para receber sugestões sobre o seguinte:

• Papéis personalizados
• Papéis para vários principais (com um único comando)
• Papéis para produtos do Google Workspace, como o Planilhas e o Documentos Google

Saiba como e quando o Gemini para Google Cloud usa seus dados.

Papéis necessários

Para receber as permissões necessárias para usar o seletor de papéis do IAM, peça ao administrador para conceder a você o papel do IAM de administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para usar o seletor de papéis do IAM. Para acessar as permissões exatas que são necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para usar o seletor de papéis do IAM:

• resourcemanager.projects.get
• resourcemanager.projects.getIamPolicy
• resourcemanager.projects.setIamPolicy

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Receber sugestões de papéis com a ajuda do Gemini

Para receber sugestões de papéis do Gemini, acesse o seletor de papéis do IAM nas páginas do Google Cloud console que permitem conceder acesso no nível do projeto. Por exemplo, o seletor de papéis do IAM está disponível nas seguintes páginas:

• A página IAM
• A página Contas de serviço
• A página Google Cloud console Painel

O procedimento a seguir usa a página IAM como o ponto de entrada principal.

1. No Google Cloud console, acesse a página IAM.

   Acesse IAM

2. Selecione um projeto.

3. Selecione um principal para receber sugestões de papéis:

   • Para receber sugestões de papéis para um principal que já tenha outros papéis no recurso, encontre uma linha contendo o principal e clique em edit Editar principal nessa linha.

     Para conceder um papel a um agente de serviço, marque a caixa de seleção Incluir Google-concessões de papel fornecidas para ver o endereço de e-mail dele.

   • Para receber sugestões de papéis para um principal que ainda não tem papéis no recurso, clique em person_add Conceder acesso e insira um identificador principal, por exemplo, my-user@example.com ou //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.

4. Para abrir a caixa de diálogo do seletor de papéis do IAM, clique em Me ajude a escolher papéis.

5. Descreva com suas próprias palavras a ação que o principal precisa realizar e o recurso no projeto em que ele precisa realizar a ação.

6. Clique em Sugerir papéis. Com base na sua entrada, o Gemini sugere os papéis predefinidos que considera adequados.

   Para mais informações sobre os papéis e por que o Gemini os sugeriu, clique em Mostrar justificativa. Também recomendamos usar a referência de papéis e permissões para validar os papéis sugeridos pelo Gemini antes de concedê-los ao principal.

7. Opcional: se o Gemini não sugerir os papéis certos, você poderá refinar o comando.

   1. Para modificar o comando, clique em Editar.
   2. Edite a descrição e clique em Atualizar. O Gemini atualiza as sugestões de papéis com base na nova descrição.

8. Para aceitar as sugestões, clique em Adicionar papéis.

9. Opcional: adicione uma condição ao papel.

10. Clique em Salvar. O principal recebe o papel no recurso.

É possível conceder papéis no nível do projeto sugeridos pelo Gemini diretamente no seletor de papéis do IAM. Para sugestões de papéis no nível da organização, da pasta ou do recurso , anote os papéis sugeridos e conceda-os ao principal no nível apropriado usando o processo típico no Google Cloud console. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Se você não tiver as permissões para conceder os papéis nos níveis da organização, da pasta ou do recurso, entre em contato com o administrador.

Exemplos de casos de uso

A tabela a seguir ilustra alguns exemplos de casos de uso do seletor de papéis do IAM. Por padrão, o Gemini sugere papéis projetados para abranger jornadas comuns do usuário em um serviço. Por exemplo, o Gemini geralmente sugere os papéis de administrador, editor ou leitor de um serviço.

Se você quiser que o Gemini sugira os papéis mais granulares e com menos privilégios, especifique essa preferência no comando usando palavras-chave específicas. Para conferir uma lista de palavras-chave que podem ser usadas, consulte Palavras-chave para papéis com menos privilégios. No entanto, esteja ciente de que os papéis com menos privilégios podem não ser suficientes para as necessidades futuras de um usuário.

Caso de uso	Exemplos de prompt
Identificação de papéis para gerenciamento geral de serviços	"Quais permissões preciso para gerenciar a configuração do AlloyDB para PostgreSQL?" "Quais papéis preciso para trabalhar com o BigQuery?" "Como concedo acesso a alguém para executar e depurar serviços do Cloud Run?"
Identificação dos papéis necessários para realizar tarefas específicas	"Qual papel é necessário para criar, iniciar e interromper VMs?" "Preciso permitir que um usuário crie e gerencie conjuntos de dados e tabelas do BigQuery." "Preciso conceder acesso a uma conta de serviço para invocar funções do Cloud Run." Comandos que geram sugestões de papéis com menos privilégios: "Qual é o papel mínimo necessário para criar, iniciar e interromper VMs?" "Quais são os papéis do IAM com menos privilégios necessários para criar políticas do IAM?" "Preciso conceder acesso a uma conta de serviço para invocar funções do Cloud Run. Qual é o acesso mais restrito necessário?"
Identificação dos papéis necessários para executar comandos da Google Cloud CLI	"Qual papel do IAM é necessário para executar: gcloud compute instances create instance-1?" Comando que gera sugestões de papéis com menos privilégios: "Qual é o menor papel que uma conta de serviço precisa para executar: gcloud datastore instances describe?"
Identificação de papéis para uma tarefa que inclui dependências transitivas	"Preciso configurar uma instância do Compute Engine para escalonar automaticamente com base no uso da CPU. Quais papéis do IAM devo conceder à conta de serviço?" Comando que gera sugestões de papéis com menos privilégios: "Preciso configurar uma instância do Compute Engine para escalonar automaticamente com base no uso da CPU. Quais são as permissões mínimas que preciso conceder a uma conta de serviço usada por um escalonador automático de instâncias do Compute Engine?"
Identificação de papéis para uma tarefa que pode exigir uma combinação de vários papéis granulares	"Conceda aos usuários acesso apenas a um conjunto de dados específico no BigQuery. Eles não podem criar nem excluir conjuntos de dados." Comando que gera sugestões de papéis com menos privilégios: "Qual é o papel mais seguro para conceder aos usuários acesso somente leitura a um único conjunto de dados no BigQuery, sem permitir ações de criação ou exclusão em nenhum conjunto de dados?"

Práticas recomendadas

Para ajudar o Gemini a fornecer as sugestões mais precisas para seu caso de uso, recomendamos que você siga as práticas recomendadas a seguir ao criar o comando.

• Descreva claramente seu caso de uso. Evite usar uma linguagem vaga nos comandos. Seja o mais claro possível sobre quais ações você quer que o principal realize em quais serviços e tipos de recursos. Se você quiser que o Gemini sugira os papéis com menos privilégios, crie o comando com palavras-chave específicas que descrevam sua intenção de aderir ao princípio de privilégio mínimo.

  Fazer	Não fazer	Detalhes
  "Qual papel é necessário para executar consultas SQL em uma tabela do BigQuery e ler os dados dela?"	"Qual papel é necessário para executar instruções SQL?"	O SQL é uma linguagem genérica usada em vários Google Cloud serviços. Sem especificar o serviço ou as ações, o Gemini não pode sugerir um papel preciso.
  "Preciso de papéis para iniciar, interromper e reiniciar instâncias máquina virtual do Compute Engine."	"Preciso gerenciar minhas máquinas virtuais."	O termo gerenciar é muito vago. Gerenciar pode significar criar, excluir, atualizar ou visualizar VMs. Listar claramente as ações específicas a serem realizadas (iniciar, interromper, reiniciar) e o tipo de recurso exato (instâncias de máquina virtual do Compute Engine) gera sugestões mais precisas.
  "Preciso fazer upload e download de objetos de um bucket do Cloud Storage chamado example-bucket."	"Conceda acesso ao armazenamento."	O termo armazenamento sozinho pode se referir a vários serviços, como o Cloud Storage, o Filestore ou o Persistent Disk. Além disso, não há ações especificadas. Sem especificar o serviço (Cloud Storage), o nome do tipo de recurso (example-bucket) ou as ações (fazer upload e download de objetos), o Gemini não tem informações suficientes para sugerir os papéis certos.
  "Preciso do papel menos permissivo que forneça acesso somente de lista ao Secret Manager."	"Preciso de acesso limitado para gerenciar minhas chaves secretas."	A frase acesso limitado não define claramente as restrições necessárias. Gerenciar minhas chaves secretas abrange uma ampla variedade de ações (criar, listar, atualizar, excluir, acessar versões). Sem usar palavras-chave explícitas como privilégio mínimo, o Gemini sugere papéis de administrador, editor ou leitor mais gerais específicos do serviço.

• Use nomes oficiais. Use os nomes oficiais de Google Cloud serviços, tipos de recursos e operações de API no comando. Se você não tiver certeza dos nomes oficiais de serviços, tipos de recursos ou operações de API, recomendamos consultar a documentação oficial do produto.

  Fazer	Não fazer	Detalhes
  "Qual papel preciso para atualizar conjuntos de dados do BigQuery?"	"Qual papel preciso para atualizar conjuntos de dados do Big query?	BigQuery é o nome oficial do produto, não Big query.
  "Qual papel é necessário para criar um bucket do Cloud Storage no meu projeto?"	"Qual papel é necessário para criar um bucket de armazenamento no meu projeto?"	Bucket de armazenamento pode se referir a diferentes tipos de recursos de serviços como o Cloud Storage, o Filestore ou o Persistent Disk. Especificar o nome do produto e o tipo de recurso associado vai gerar sugestões mais precisas.

Palavras-chave para papéis com menos privilégios

Se você precisar de sugestões de papéis do Gemini que sigam o princípio de privilégio mínimo, use palavras-chave específicas no comando. A seguir, apresentamos uma lista não exaustiva de palavras-chave que podem ser usadas para solicitar papéis com menos privilégios:

• menos permissivo
• mais seguro
• menor papel
• menos privilegiado
• permissões mínimas
• estritamente granular
• acesso mais restrito
• apenas o mínimo absoluto
• somente com as permissões exatas

Solução de problemas

Esta seção descreve resoluções para problemas comuns com o seletor de papéis do IAM.

O Gemini sugere papéis que não podem ser concedidos no nível do projeto

O Gemini pode sugerir papéis em todos os níveis de recursos. No entanto, só é possível usar o seletor de papéis do IAM para conceder os papéis no nível do projeto sugeridos. Quando o Gemini sugere papéis no nível da organização, da pasta ou do recurso, o seletor de papéis do IAM indica que há papéis sugeridos que não podem ser concedidos, e o botão Adicionar papéis será desativado.

Quando isso ocorre, é possível copiar os papéis sugeridos e concedê-los ao principal no nível apropriado usando o processo típico no Google Cloud console. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Se você não tiver as permissões para conceder os papéis nos níveis da organização, da pasta ou do recurso, entre em contato com o administrador.

A seguir

• Leia a visão geral do Gemini para Google Cloud .
• Saiba como o Gemini para Google Cloud usa seus dados.
• Saiba como encontrar manualmente os papéis predefinidos certos.