Vordefinierte Rollenvorschläge mit Gemini-Unterstützung erhalten

Auf dieser Seite wird beschrieben, wie Sie mit Unterstützung von Gemini die IAM-Rollen (Identity and Access Management) mit den geringsten Berechtigungen für Ihre Hauptkonten finden und zuweisen.

Mit der IAM-Rollenauswahl können Sie Gemini fragen, welche Rollen Sie Ihren Hauptkonten zuweisen sollten. Normalerweise müssten Sie den Index der IAM-Rollen und -Berechtigungen oder die Rollen Seite in der Google Cloud Console durchsuchen, um die richtigen vordefinierten Rollen zu finden. Mit der IAM-Rollenauswahl können Sie die Aktionen beschreiben, die das Hauptkonto ausführen soll, und die Ressourcen, für die diese Aktionen ausgeführt werden sollen. Basierend auf Ihrer Eingabe schlägt Gemini die vordefinierten Rollen mit den geringsten Berechtigungen vor, die als geeignet erachtet werden.

Gemini kann vordefinierte Rollen für einzelne Hauptkonten vorschlagen. Wenn Gemini vorschlägt, eine Rolle auf Projektebene zuzuweisen, können Sie die IAM-Rollenauswahl verwenden, um diese Rolle zuzuweisen.

Sie können die IAM-Rollenauswahl nicht verwenden, um Vorschläge für Folgendes zu erhalten:

  • Benutzerdefinierte Rollen
  • Rollen für mehrere Hauptkonten (mit einem einzigen Prompt)
  • Rollen für Google Workspace-Produkte wie Google Sheets und Google Docs

Weitere Informationen dazu, wie und wann Gemini forIhre Daten verwendet. Google Cloud

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „IAM-Administrator für Projekte “ (roles/resourcemanager.projectIamAdmin) für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden der IAM-Rollenauswahl benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die für die Verwendung der IAM-Rollenauswahl erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen , um die notwendigen Berechtigungen anzuzeigen, die erforderlich sind:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um die IAM-Rollenauswahl zu verwenden:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollenvorschläge mit Unterstützung von Gemini erhalten

Wenn Sie Rollenvorschläge von Gemini erhalten möchten, können Sie auf Seiten in der Google Cloud Console, auf denen Sie Zugriff auf Projektebene gewähren können, auf die IAM-Rollenauswahl zugreifen. Die IAM-Rollenauswahl ist beispielsweise auf den folgenden Seiten verfügbar:

  • Die Seite IAM
  • Die Seite Dienstkonten
  • Die Google Cloud Seite Dashboard in der Console

Im folgenden Verfahren wird die Seite IAM als primärer Einstiegspunkt verwendet.

  1. Rufen Sie in der Google Cloud Console die IAM Seite auf.

    IAM aufrufen

  2. Wählen Sie ein Projekt aus.

  3. Wählen Sie ein Hauptkonto aus, für das Sie Rollenvorschläge erhalten möchten:

    • Wenn Sie Rollenvorschläge für ein Hauptkonto erhalten möchten, das bereits andere Rollen für die Ressource hat, suchen Sie eine Zeile mit dem Hauptkonto und klicken Sie dann in dieser Zeile auf Hauptkonto bearbeiten.

      Wenn Sie einem Dienstagenten eine Rolle zuweisen möchten, wählen Sie das Kästchen Von Google-bereitgestellte Rollenzuweisungen einschließen aus, um die entsprechende E-Mail-Adresse zu sehen.

    • Wenn Sie Rollenvorschläge für ein Hauptkonto erhalten möchten, das noch keine Rollen für die Ressource hat, klicken Sie auf Zugriff gewähren und geben Sie dann eine Hauptkonto-ID ein, z. B. my-user@example.com oder //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.

  4. Klicken Sie auf Hilfe bei der Auswahl von Rollen, um das Dialogfeld „IAM-Rollenauswahl“ zu öffnen.

  5. Beschreiben Sie in Ihren eigenen Worten die Aktion, die das Hauptkonto ausführen soll, und die Ressource im Projekt, für die diese Aktion ausgeführt werden soll.

  6. Klicken Sie auf Rollen vorschlagen. Basierend auf Ihrer Eingabe schlägt Gemini die vordefinierten Rollen mit den geringsten Berechtigungen vor, die als geeignet erachtet werden.

    Wenn Sie weitere Informationen zu den Rollen und den Gründen für die Vorschläge von Gemini erhalten möchten, klicken Sie auf Begründung einblenden. Wir empfehlen außerdem, die Referenz zu Rollen und Berechtigungen zu verwenden, um die von Gemini vorgeschlagenen Rollen zu prüfen, bevor Sie sie dem Hauptkonto zuweisen.

  7. Optional: Wenn Gemini nicht die richtigen Rollen vorschlägt, können Sie Ihren Prompt verfeinern.

    1. Klicken Sie auf Bearbeiten, um Ihren Prompt zu ändern.
    2. Bearbeiten Sie die Beschreibung und klicken Sie dann auf Aktualisieren. Gemini aktualisiert die Rollenvorschläge basierend auf der neuen Beschreibung.

  8. Klicken Sie auf Rollen hinzufügen, um die Vorschläge zu akzeptieren.

  9. Optional: Fügen Sie der Rolle eine Bedingung hinzu.

  10. Klicken Sie auf Speichern. Dem Hauptkonto wird die Rolle für die Ressource zugewiesen.

Sie können von Gemini vorgeschlagene Rollen auf Projektebene direkt über die IAM-Rollenauswahl zuweisen. Bei Rollenvorschlägen auf Organisations-, Ordner- oder Ressourcenebene notieren Sie sich die vorgeschlagenen Rollen und weisen Sie sie dem Hauptkonto auf der entsprechenden Ebene über den üblichen Prozess in der Google Cloud Console zu. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen.

Wenn Sie nicht die Berechtigungen haben, die Rollen auf Organisations-, Ordner- oder Ressourcenebene zuzuweisen, wenden Sie sich an Ihren Administrator.

Beispiele für Anwendungsfälle

In der folgenden Tabelle sind einige Beispiele für Anwendungsfälle aufgeführt, in denen Gemini Ihnen helfen kann, die Rollen mit den geringsten Berechtigungen für Ihre Hauptkonten zu ermitteln.

Anwendungsfall Beispiele für Prompts
Rollen mit den geringsten Berechtigungen ermitteln, die zum Ausführen einer bestimmten Aufgabe erforderlich sind
  • „Welche Rolle ist erforderlich, um VMs zu erstellen, zu starten und zu beenden?“
  • „Welche IAM-Rollen mit den geringsten Berechtigungen sind erforderlich, um IAM-Richtlinien zu erstellen?“
  • „Ich muss einem Nutzer erlauben, BigQuery-Datasets und -Tabellen zu erstellen und zu verwalten. Welche Rolle sollte ich zuweisen?“
  • „Ich muss einem Dienstkonto Zugriff zum Aufrufen von Cloud Run-Funktionen gewähren. Welche Rolle mit den geringsten Berechtigungen ist erforderlich?“
  • „Mit welcher Rolle kann ein Dienstkonto Daten aus Cloud Storage lesen, aber keine Objekte schreiben oder löschen?“
Rollen mit den geringsten Berechtigungen ermitteln, die zum Ausführen von Google Cloud CLI-Befehlen erforderlich sind
  • „Welche IAM-Rolle ist erforderlich, um den folgenden Befehl auszuführen: gcloud compute instances create instance-1 --zone=us-central1-a
  • „Ich möchte die erforderlichen Rollen für ein Dienstkonto ermitteln, um den folgenden Befehl auszuführen: gcloud datastore instances describe
Rollen für eine Aufgabe ermitteln, die transitive Abhängigkeiten enthält „Ich muss eine Compute Engine-Instanz so konfigurieren, dass sie automatisch anhand der CPU-Auslastung skaliert wird. Welche IAM-Rolle(n) sollten dem Dienstkonto zugewiesen werden, das vom Autoscaler der Instanz verwendet wird?“
Rollen für eine Aufgabe ermitteln, die möglicherweise eine Kombination aus mehreren detaillierten Rollen erfordert "Nutzern nur Zugriff auf ein bestimmtes Dataset gewähren. Wir möchten den Zugriff nicht für alle Datasets freigeben und erlauben Nutzern nur den Zugriff auf ein bestimmtes Dataset in BigQuery. Sie sollen keine neuen Datasets erstellen oder das Dataset löschen können.“

Best Practices

Damit Gemini die genauesten Vorschläge für Ihren Anwendungsfall machen kann, empfehlen wir Ihnen, beim Verfassen Ihres Prompts die folgenden Best Practices einzuhalten.

  • Beschreiben Sie Ihren Anwendungsfall klar. Verwenden Sie in Ihren Prompts keine vage Sprache. Beschreiben Sie so klar wie möglich, welche Aktionen das Hauptkonto für welche Dienste und Ressourcentypen ausführen soll.

    Empfohlen Nicht empfohlen Details
    „Welche Rolle ist erforderlich, um SQL-Abfragen für eine BigQuery-Tabelle auszuführen und die Daten daraus zu lesen?“ „Welche Rolle ist erforderlich, um SQL-Anweisungen auszuführen?“ SQL ist eine allgemeine Sprache, die in mehreren Google Cloud Diensten verwendet wird. Ohne Angabe des Dienstes oder der Aktionen kann Gemini keine genaue Rolle vorschlagen.
    „Ich benötige Rollen, um Compute Engine-VM-Instanzen zu starten, zu beenden und neu zu starten.“ „Ich muss meine virtuellen Maschinen verwalten.“ Der Begriff verwalten ist zu vage. „Verwalten“ kann das Erstellen, Löschen, Aktualisieren oder Aufrufen von VMs bedeuten. Wenn Sie die auszuführenden Aktionen (Starten, Beenden, Neustarten) und den genauen Ressourcentyp (Compute Engine-VM-Instanzen) klar angeben, erhalten Sie genauere Vorschläge.
    „Ich muss Objekte in einen Cloud Storage-Bucket mit dem Namen example-bucket hochladen und daraus herunterladen.“ „Gewähren Sie mir Zugriff auf den Speicher.“ Der Begriff Speicher allein kann sich auf verschiedene Dienste wie Cloud Storage, Filestore oder Persistent Disk beziehen. Außerdem sind keine Aktionen angegeben. Ohne Angabe des Dienstes (Cloud Storage), des Ressourcentypnamens (example-bucket) oder der Aktionen (Objekte hochladen und herunterladen) hat Gemini nicht genügend Informationen, um die richtigen Rollen vorzuschlagen.

  • Verwenden Sie offizielle Namen. Verwenden Sie in Ihrem Prompt die offiziellen Namen von Google Cloud Diensten, Ressourcentypen und API-Vorgängen. Wenn Sie sich nicht sicher sind, welche offiziellen Namen für Dienste, Ressourcentypen oder API-Vorgänge verwendet werden, empfehlen wir Ihnen, die offizielle Produktdokumentation zu lesen.

    Empfohlen Nicht empfohlen Details
    „Welche Rolle benötige ich, um BigQuery-Datasets zu aktualisieren?“ „Welche Rolle benötige ich, um Big query-Datasets zu aktualisieren? BigQuery ist der offizielle Name des Produkts, nicht Big query.
    „Welche Rolle ist erforderlich, um einen Cloud Storage-Bucket in meinem Projekt zu erstellen?“ „Welche Rolle ist erforderlich, um einen Storage-Bucket in meinem Projekt zu erstellen?“ Storage-Bucket kann sich auf verschiedene Ressourcentypen aus Diensten wie Cloud Storage, Filestore oder Persistent Disk beziehen. Wenn Sie den Produktnamen und den zugehörigen Ressourcentyp angeben, erhalten Sie genauere Vorschläge.

Fehlerbehebung

In diesem Abschnitt werden Lösungen für häufige Probleme mit der IAM-Rollenauswahl beschrieben.

Gemini schlägt Rollen vor, die Sie nicht auf Projektebene zuweisen können

Gemini kann Rollen auf allen Ressourcenebenen vorschlagen. Sie können jedoch nur die vorgeschlagenen Rollen auf Projektebene mit der IAM-Rollenauswahl zuweisen. Wenn Gemini Rollen auf Organisations-, Ordner- oder Ressourcenebene vorschlägt, zeigt die IAM-Rollenauswahl an, dass es vorgeschlagene Rollen gibt, die nicht zugewiesen werden können, und die Schaltfläche Rollen hinzufügen ist deaktiviert.

In diesem Fall können Sie die vorgeschlagenen Rollen kopieren und sie dem Hauptkonto auf der entsprechenden Ebene über den üblichen Prozess in der Google Cloud Console zuweisen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Wenn Sie nicht die Berechtigungen haben, die Rollen auf Organisations-, Ordner- oder Ressourcenebene zuzuweisen, wenden Sie sich an Ihren Administrator.

Nächste Schritte