本頁說明如何透過 Gemini 輔助,找出並授予主體最低權限的 Identity and Access Management (IAM) 預先定義角色。
您可以使用 IAM 角色挑選器,要求 Gemini 建議應授予主體的角色。一般來說,如要找出合適的預先定義角色並授予權限,您需要搜尋 IAM 角色和權限索引,或Google Cloud 控制台中的「角色」頁面。使用 IAM 角色挑選器,您可以描述要讓主體執行的動作,以及執行這些動作所需的資源。根據您的輸入內容,Gemini 會建議權限最少的預先定義角色,並認為這些角色適合您。
Gemini 可以為個別主體建議預先定義的角色。如果 Gemini 建議在專案層級授予角色,您可以使用 IAM 角色挑選器授予該角色。
您無法使用 IAM 角色挑選器取得下列項目的建議:
- 自訂角色
- 多個主體的角色 (使用單一提示)
瞭解 Gemini for Google Cloud 如何使用您的資料。
必要的角色
如要取得使用 IAM 角色挑選器所需的權限,請要求管理員授予專案的專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這個預先定義的角色具備使用 IAM 角色挑選器所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
如要使用 IAM 角色挑選器,必須具備下列權限:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
在 Gemini 的協助下取得角色建議
如要取得 Gemini 的角色建議,請在 Google Cloud 控制台的頁面中存取 IAM 角色挑選器,並在專案層級授予存取權。舉例來說,您可以在下列頁面使用 IAM 角色挑選器:
- 「IAM」頁面
- 「服務帳戶」頁面
- Google Cloud 控制台的「資訊主頁」頁面
以下程序會使用「身分與存取權管理」頁面做為主要進入點。
前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。
選取專案。
選取要取得角色建議的主體:
如要為資源上已有其他角色的主體取得角色建議,請找出包含該主體的列,然後點選該列的 「Edit principal」(編輯主體)。
如要將角色授予服務代理,請選取「包含 Google 提供的角色授予項目」核取方塊,查看服務代理的電子郵件地址。Google
如要為資源上還沒有任何角色的主體取得角色建議,請點選 「Grant Access」(授予存取權),然後輸入主體 ID,例如
my-user@example.com或//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com。
如要開啟 IAM 角色挑選器對話方塊,請按一下「幫我選取角色」。
請用自己的話描述主體要執行的動作,以及專案中需要執行動作的資源。
按一下「生成角色建議」。Gemini 會根據您的輸入內容,建議權限最嚴格的預先定義角色。
如要進一步瞭解角色和 Gemini 建議這些角色的原因,請按一下「顯示原因」。此外,我們也建議您使用角色和權限參考資料驗證 Gemini 建議的角色,再將這些角色授予主體。
選用:如果 Gemini 建議的角色不合適,可以修正提示。
- 如要修改提示,請按一下「編輯」。
- 編輯說明,然後按一下「更新」。 Gemini 會根據新說明更新角色建議。
如要接受建議,請按一下「新增角色」。
選用:為角色新增條件。
按一下 [儲存]。主體就會取得指定資源的角色。
您可以直接從 IAM 角色挑選器,授予 Gemini 建議的專案層級角色。如要取得機構、資料夾或資源層級的角色建議,請記下建議的角色,並使用 Google Cloud 控制台的標準程序,在適當層級將這些角色授予主體。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
如果您沒有在機構、資料夾或資源層級授予角色的權限,請與管理員聯絡。
應用實例
下表列出一些範例用途,說明 Gemini 如何協助您為主體找出權限最少的角色。
| 用途 | 提示範例 |
|---|---|
| 找出執行特定工作所需的最低權限角色 |
|
| 找出執行 Google Cloud CLI 指令所需的最低權限角色 |
|
| 識別包含遞移依附元件的工作角色 | 「我需要設定 Compute Engine 執行個體,根據 CPU 使用率自動調度資源。應將哪些 IAM 角色授予執行個體自動調整程式使用的服務帳戶? |
| 找出工作適用的角色,這項工作可能需要多個精細角色組合 | 「只允許使用者存取特定資料集。我們不想共用所有資料集的存取權,只允許使用者存取 BigQuery 中的特定資料集。他們不應能夠建立新資料集或刪除資料集」 |
最佳做法
為確保 Gemini 針對您的用途提供最準確的建議,建議您撰寫提示時遵循下列最佳做法。
清楚說明用途。請避免在提示中使用含糊不清的語言。盡可能清楚說明您希望主體在哪些服務和資源類型上執行哪些動作。
正確做法 錯誤做法 詳細資料 「What role is required to execute SQL queries on a BigQuery table and read the data from it?」(如要在 BigQuery 資料表上執行 SQL 查詢並讀取資料,需要什麼角色?) 「執行 SQL 陳述式需要什麼角色?」 SQL 是多項 Google Cloud 服務通用的語言,如果沒有指定服務或動作,Gemini 就無法建議確切的角色。 「我需要角色來啟動、停止及重新啟動 Compute Engine 虛擬機器執行個體。」 「I need to manage my virtual machines」(我需要管理虛擬機器)。 「管理」一詞過於籠統。管理可能包括建立、刪除、更新或查看 VM。清楚列出要執行的特定動作 (啟動、停止、重新啟動) 和確切的資源類型 (Compute Engine 虛擬機器執行個體),可獲得更準確的建議。 「我需要從名為 example-bucket的 Cloud Storage bucket 上傳及下載物件。」「Give me access to storage.」(授予儲存空間存取權)。 單獨使用「儲存空間」一詞時,可能指的是各種服務,例如 Cloud Storage、Filestore 或永久磁碟。此外,系統未指定任何動作。如果沒有指定服務 (Cloud Storage)、資源類型名稱 ( example-bucket) 或動作 (上傳和下載物件),Gemini 就沒有足夠資訊來建議合適的角色。使用官方名稱。在提示中,請使用 Google Cloud 服務、資源類型和 API 作業的正式名稱。如果您不確定服務、資源類型或 API 作業的正式名稱,建議參閱正式產品文件。
正確做法 錯誤做法 詳細資料 「What role do I need to update BigQuery datasets?」(我需要什麼角色才能更新 BigQuery 資料集?) 「我需要什麼角色才能更新 BigQuery 資料集? 產品的正式名稱是「BigQuery」,而非「Big query」。 「我需要什麼角色才能在專案中建立 Cloud Storage 值區?」 「我需要什麼角色才能在專案中建立 Storage bucket?」 儲存空間值區可能指的是來自 Cloud Storage、Filestore 或 Persistent Disk 等服務的不同資源類型。指定產品名稱和相關資源類型,可獲得更準確的建議。
疑難排解
本節說明如何解決 IAM 角色挑選器常見問題。
Gemini 建議您無法在專案層級授予的角色
Gemini 可以在所有資源層級建議角色,但您只能使用 IAM 角色挑選器,授予建議的專案層級角色。當 Gemini 建議機構、資料夾或資源層級的角色時,IAM 角色挑選器會指出有建議角色無法授予,且「新增角色」按鈕會停用。
發生這種情況時,您可以複製建議的角色,並使用Google Cloud 控制台的標準程序,在適當層級將角色授予主體。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
如果您沒有在機構、資料夾或資源層級授予角色的權限,請與管理員聯絡。
後續步驟
- 閱讀「Gemini for Google Cloud總覽」。
- 瞭解 Gemini for Google Cloud 如何使用您的資料。
- 瞭解如何手動找出合適的預先定義角色。