En esta página, se describe cómo puedes encontrar y otorgar los roles predefinidos de Identity and Access Management (IAM) menos permisivos a tus entidades con la asistencia de Gemini.
El selector de roles de IAM te permite preguntarle a Gemini qué roles debes otorgar a tus entidades. Por lo general, para encontrar los roles predefinidos adecuados para otorgar, deberías buscar en el índice de roles y permisos de IAM o en la página Roles de la Google Cloud consola. Con el selector de roles de IAM, puedes describir las acciones que deseas que realice la principal y los recursos en los que debe realizarlas. Según tu entrada, Gemini sugiere los roles predefinidos menos permisivos que considera adecuados.
Gemini puede sugerir roles predefinidos para principales individuales. Si Gemini sugiere otorgar un rol a nivel de proyecto, puedes usar el selector de roles de IAM para otorgar ese rol.
No puedes usar el selector de roles de IAM para obtener sugerencias sobre lo siguiente:
- Funciones personalizadas
- Roles para varias principales (con una sola instrucción)
- Roles para productos de Google Workspace, como Hojas de cálculo de Google y Documentos de Google
Descubre cómo y cuándo Gemini para Google Cloud usa tus datos.
Funciones requeridas
Para obtener los permisos que
necesitas para usar el selector de roles de IAM,
pídele a tu administrador que te otorgue el
rol de IAM Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para usar el selector de roles de IAM. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para usar el selector de roles de IAM:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
También puedes obtener estos permisos con roles personalizados o otros roles predefinidos.
Obtén sugerencias de roles con la asistencia de Gemini
Para obtener sugerencias de roles de Gemini, puedes acceder al selector de roles de IAM en las páginas de la Google Cloud consola que te permiten otorgar acceso a nivel de proyecto. Por ejemplo, el selector de roles de IAM está disponible en las siguientes páginas:
- La página IAM
- La página Cuentas de servicio
- La Google Cloud página Panel de la consola de
En el siguiente procedimiento, se usa la página IAM como punto de entrada principal.
En la Google Cloud consola de, dirígete a la página IAM.
Selecciona un proyecto.
Selecciona una principal para obtener sugerencias de roles:
Para obtener sugerencias de roles para una principal que ya tenga otros roles en el recurso, busca una fila que contenga la principal y, luego, haz clic en Editar principal en esa fila.
Si deseas otorgar un rol a un agente de servicio, selecciona la casilla de verificación Incluir Google-asignaciones de roles proporcionadas por para ver su dirección de correo electrónico.
Para obtener sugerencias de roles para una entidad que aún no tenga otros roles en el recurso, haz clic en Otorgar acceso y, luego, ingresa un identificador para la entidad (por ejemplo,
my-user@example.como//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com).
Para abrir el diálogo del selector de roles de IAM, haz clic en Ayúdame a elegir roles.
Con tus propias palabras, describe la acción que deseas que realice la principal y el recurso en el proyecto en el que debe realizarla.
Haz clic en Sugerir roles. Según tu entrada, Gemini sugiere los roles predefinidos menos permisivos que considera adecuados.
Para obtener más información sobre los roles y por qué Gemini los sugirió, haz clic en Mostrar razonamiento. También te recomendamos que uses la referencia de roles y permisos para validar los roles sugeridos por Gemini antes de otorgarlos a la principal.
Opcional: Si Gemini no sugiere los roles correctos, puedes refinar tu instrucción.
- Para modificar tu instrucción, haz clic en Editar.
- Edita la descripción y, luego, haz clic en Actualizar. Gemini actualiza sus sugerencias de roles según la nueva descripción.
Para aceptar las sugerencias, haz clic en Agregar roles.
Opcional: Agrega una condición a la función.
Haz clic en Guardar. A la principal se le otorga la función en el recurso.
Puedes otorgar roles a nivel de proyecto sugeridos por Gemini directamente desde el selector de roles de IAM. Para obtener sugerencias de roles a nivel de la organización, la carpeta o el recurso , toma nota de los roles sugeridos y otórgales a la principal en el nivel adecuado con el proceso típico en la Google Cloud consola de. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Si no tienes los permisos para otorgar los roles a nivel de la organización, la carpeta o el recurso, comunícate con tu administrador.
Ejemplos de casos de uso
En la siguiente tabla, se ilustran algunos casos de uso de ejemplo en los que Gemini puede ayudarte a identificar los roles menos permisivos para tus principales.
| Caso de uso | Ejemplos de solicitudes |
|---|---|
| Identificación de los roles menos permisivos necesarios para realizar una tarea específica |
|
| Identificación de los roles menos permisivos necesarios para ejecutar comandos de Google Cloud CLI |
|
| Identificación de roles para una tarea que incluye dependencias transitivas | "Necesito configurar una instancia de Compute Engine para que se ajuste automáticamente según el uso de CPU. ¿Qué roles de IAM se deben otorgar a la cuenta de servicio que usa el escalador automático de instancias ?" |
| Identificación de roles para una tarea que podría requerir una combinación de varios roles detallados | "Proporciona a los usuarios acceso solo a un conjunto de datos en particular. No queremos compartir el acceso a todos los conjuntos de datos y solo permitimos que los usuarios accedan a un conjunto de datos en particular dentro de BigQuery. No deberían poder crear conjuntos de datos nuevos ni borrarlos" |
Prácticas recomendadas
Para ayudar a Gemini a proporcionar las sugerencias más precisas para tu caso de uso, te recomendamos que sigas las siguientes prácticas recomendadas cuando redactes tu instrucción.
Describe claramente tu caso de uso. Evita usar lenguaje vago en tus instrucciones. Sé lo más claro posible sobre las acciones que deseas que realice la principal en qué servicios y tipos de recursos.
Sugerencia No sugerencia Detalles "¿Qué rol se requiere para ejecutar consultas de SQL en una tabla de BigQuery y leer los datos de ella?". "¿Qué rol se requiere para ejecutar instrucciones de SQL?". SQL es un lenguaje genérico que se usa en varios Google Cloud servicios. Sin especificar el servicio o las acciones, Gemini no puede sugerir un rol preciso. "Necesito roles para iniciar, detener y reiniciar instancias de máquina virtual de Compute Engine". "Necesito administrar mis máquinas virtuales". El término administrar es demasiado vago. Administrar podría significar crear, borrar, actualizar o ver VMs. Si se enumeran claramente las acciones específicas que se realizarán (iniciar, detener, reiniciar) y el tipo de recurso exacto (instancias de máquina virtual de Compute Engine), se obtienen sugerencias más precisas. "Necesito subir y descargar objetos de un bucket de Cloud Storage llamado example-bucket"."Dame acceso al almacenamiento". El término almacenamiento por sí solo podría hacer referencia a varios servicios, como Cloud Storage, Filestore o Persistent Disk. Además, no se especifican acciones. Sin especificar el servicio (Cloud Storage), el nombre del tipo de recurso ( example-bucket) o las acciones (subir y descargar objetos), Gemini no tiene suficiente información para sugerir los roles correctos.Usa nombres oficiales. Usa los nombres oficiales de los Google Cloud servicios, los tipos de recursos y las operaciones de la API en tu instrucción. Si no estás seguro de los nombres oficiales de los servicios, los tipos de recursos o las operaciones de la API, te recomendamos que consultes la documentación oficial del producto.
Sugerencia No sugerencia Detalles "¿Qué rol necesito para actualizar conjuntos de datos de BigQuery?". "¿Qué rol necesito para actualizar conjuntos de datos de Big query? BigQuery es el nombre oficial del producto, no Big query. "¿Qué rol se requiere para crear un bucket de Cloud Storage en mi proyecto?". "¿Qué rol se requiere para crear un bucket de Storage en mi proyecto?". Bucket de Storage podría hacer referencia a diferentes tipos de recursos de servicios como Cloud Storage, Filestore o Persistent Disk. Si especificas el nombre del producto y el tipo de recurso asociado, se obtendrán sugerencias más precisas.
Soluciona problemas
En esta sección, se describen las resoluciones para problemas comunes con el selector de roles de IAM.
Gemini sugiere roles que no puedes otorgar a nivel de proyecto
Gemini puede sugerir roles en todos los niveles de recursos; sin embargo, solo puedes usar el selector de roles de IAM para otorgar los roles a nivel de proyecto que se sugieren. Cuando Gemini sugiere roles a nivel de la organización, la carpeta o el recurso, el selector de roles de IAM indica que hay roles sugeridos que no se pueden otorgar y el botón Agregar roles estará inhabilitado.
Cuando esto sucede, puedes copiar los roles sugeridos y otorgarlos a la principal en el nivel adecuado con el proceso típico en la Google Cloud consola. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Si no tienes los permisos para otorgar los roles a nivel de la organización, la carpeta o el recurso, comunícate con tu administrador.
¿Qué sigue?
- Lee la descripción general de Gemini para Google Cloud .
- Descubre cómo Gemini para Google Cloud usa tus datos.
- Aprende a encontrar manualmente los roles predefinidos adecuados.