בדף הזה מוסבר איך אפשר למצוא ולהקצות ישויות מורשות את התפקידים המוגדרים מראש ב-IAM (ניהול זהויות והרשאות גישה) עם ההרשאות המינימליות הנדרשות, בעזרת Gemini.
באמצעות הכלי לבחירת תפקידים ב-IAM, אתם יכולים לשאול את Gemini אילו תפקידים כדאי להקצות לישויות המורשות שלכם. בדרך כלל, כדי למצוא את התפקידים המוגדרים מראש שרוצים להקצות, צריך לעיין באינדקס של התפקידים וההרשאות ב-IAM או בדף Roles בGoogle Cloud מסוף. באמצעות הכלי לבחירת תפקידי IAM, אפשר לתאר את הפעולות שרוצים שהחשבון הראשי יבצע ואת המשאבים שנדרשים לביצוע הפעולות האלה. על סמך הקלט שלכם, Gemini מציע את התפקידים המוגדרים מראש עם ההרשאות המוגבלות ביותר שהוא רואה כמתאימים.
Gemini יכול להציע תפקידים מוגדרים מראש לחשבונות משתמשים ספציפיים. אם Gemini מציע להעניק תפקיד ברמת הפרויקט, אפשר להשתמש בכלי לבחירת תפקידי IAM כדי להעניק את התפקיד הזה.
אי אפשר להשתמש בכלי לבחירת תפקידי IAM כדי לקבל הצעות לגבי הדברים הבאים:
- תפקידים בהתאמה אישית
- תפקידים לכמה חשבונות משתמש (בהנחיה אחת)
איך Gemini for Google Cloud משתמש בנתונים שלכם, ובאילו מקרים.
תפקידים נדרשים
כדי לקבל את ההרשאות שנדרשות לשימוש בכלי לבחירת תפקידי IAM, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM Project IAM Admin (roles/resourcemanager.projectIamAdmin) בפרויקט.
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
זהו תפקיד שמוגדר מראש וכולל את ההרשאות שנדרשות לשימוש בכלי לבחירת תפקידי IAM. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי להשתמש בכלי לבחירת תפקידי IAM, נדרשות ההרשאות הבאות:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
קבלת הצעות לתפקידים בעזרת Gemini
כדי לקבל הצעות לתפקידים מ-Gemini, אפשר לגשת לכלי לבחירת תפקידים ב-IAM בדפים במסוף Google Cloud שמאפשרים לתת גישה ברמת הפרויקט. לדוגמה, הכלי לבחירת תפקיד ב-IAM זמין בדפים הבאים:
- הדף IAM
- הדף חשבונות שירות
- הדף Dashboard במסוף Google Cloud
בתהליך הבא, הדף IAM משמש כנקודת הכניסה הראשית.
נכנסים לדף IAM במסוף Google Cloud .
בוחרים פרויקט.
בוחרים חשבון ראשי כדי לקבל הצעות לתפקידים:
כדי לקבל הצעות לתפקידים לחשבון משתמש שכבר יש לו תפקידים אחרים במשאב, לוחצים על השורה שכוללת את חשבון המשתמש ואז על Edit principal בשורה הזו.
כדי להקצות תפקיד לסוכן שירות, מסמנים את התיבה IncludeGoogle-provided role grants כדי לראות את כתובת האימייל שלו.
כדי לקבל הצעות לתפקידים עבור חשבון משתמש שאין לו תפקידים קיימים במשאב, לוחצים על Grant Access ואז מזינים מזהה של חשבון משתמש, למשל
my-user@example.comאו//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
כדי לפתוח את תיבת הדו-שיח לבחירת תפקיד IAM, לוחצים על Help me choose roles (עזרה בבחירת תפקידים).
במילים שלכם, תארו את הפעולה שאתם רוצים שהגורם המרכזי יבצע ואת המשאב בפרויקט שבו הוא צריך לבצע אותה.
לוחצים על הצעת תפקידים. על סמך הקלט שלכם, Gemini מציע את התפקידים המוגדרים מראש עם ההרשאות המוגבלות ביותר שלדעתו מתאימים.
כדי לקבל מידע נוסף על התפקידים ועל הסיבה לכך ש-Gemini הציע אותם, לוחצים על הצגת הנימוקים. מומלץ גם להשתמש בהפניה לתפקידים ולהרשאות כדי לאמת את התפקידים ש-Gemini מציע לפני שמעניקים אותם לישות הראשית.
אופציונלי: אם Gemini לא מציע את התפקידים הנכונים, אפשר לשפר את ההנחיה.
- כדי לשנות את ההנחיה, לוחצים על עריכה.
- עורכים את התיאור ולוחצים על עדכון. Gemini מעדכן את ההצעות לתפקידים על סמך התיאור החדש.
כדי לאשר את ההצעות, לוחצים על הוספת תפקידים.
אם רוצים, מוסיפים תנאי לתפקיד.
לוחצים על Save. חשבון המשתמש מקבל את התפקיד במשאב.
אתם יכולים להעניק תפקידים ברמת הפרויקט שמוצעים על ידי Gemini ישירות מבורר תפקידי ה-IAM. כדי לקבל הצעות לתפקידים ברמת הארגון, התיקייה או המשאב, צריך לשים לב לתפקידים המוצעים ולהעניק אותם לחשבון המשתמש ברמה המתאימה באמצעות התהליך הרגיל במסוף Google Cloud . להסבר על מתן תפקידים, קראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
אם אין לכם הרשאות להקצות את התפקידים ברמת הארגון, התיקייה או המשאב, פנו לאדמין.
תרחישים לדוגמה
בטבלה הבאה מופיעות כמה דוגמאות לתרחישי שימוש שבהם Gemini יכול לעזור לכם לזהות את התפקידים עם ההרשאות המצומצמות ביותר עבור הגורמים המורשים שלכם.
| תרחיש לדוגמה | דוגמאות להנחיות |
|---|---|
| זיהוי התפקידים עם ההרשאות המינימליות שנדרשות לביצוע משימה ספציפית |
|
| זיהוי התפקידים עם ההרשאות המצומצמות ביותר שנדרשים להרצת פקודות של Google Cloud CLI |
|
| זיהוי תפקידים למשימה שכוללת יחסי תלות טרנזיטיביים | "אני רוצה להגדיר מכונה של Compute Engine כך שהיא תבצע שינוי גודל אוטומטי על סמך ניצול המעבד. אילו תפקידים ב-IAM צריך להקצות לחשבון השירות שבו נעשה שימוש במידרוג האוטומטי של המכונה?" |
| זיהוי תפקידים למשימה שעשויה לדרוש שילוב של כמה תפקידים עם הרשאות ספציפיות | "הענקת גישה למשתמשים רק לקבוצת נתונים מסוימת. אנחנו לא רוצים לשתף את הגישה לכל מערכי הנתונים, ואנחנו רוצים לאפשר למשתמשים לגשת רק למערך נתונים מסוים ב-BigQuery. הם לא אמורים להיות מסוגלים ליצור מערכי נתונים חדשים או למחוק אותו" |
שיטות מומלצות
כדי ש-Gemini יספק את ההצעות הכי מדויקות לתרחיש השימוש שלכם, מומלץ לפעול לפי השיטות המומלצות הבאות כשמנסחים את ההנחיה.
מתארים בבירור את תרחיש השימוש. הימנעו משימוש בשפה מעורפלת בהנחיות. חשוב להסביר בצורה ברורה ככל האפשר אילו פעולות אתם רוצים שהגורם המרכזי יבצע באילו שירותים ובאילו סוגי משאבים.
מומלץ לא מומלץ פרטים איזה תפקיד נדרש כדי להריץ שאילתות SQL בטבלה ב-BigQuery ולקרוא את הנתונים ממנה? "What role is required to execute SQL statements?" (איזה תפקיד נדרש כדי להריץ הצהרות SQL?) SQL היא שפה גנרית שמשמשת במגוון Google Cloud שירותים. אם לא תציינו את השירות או את הפעולות, Gemini לא יוכל להציע תפקיד מדויק. "אני צריך תפקידים כדי להפעיל, להפסיק ולהפעיל מחדש מכונות וירטואליות של Compute Engine". "I need to manage my virtual machines" (אני רוצה לנהל את המכונות הווירטואליות שלי). המונח ניהול כללי מדי. ניהול יכול להיות יצירה, מחיקה, עדכון או צפייה במכונות וירטואליות. אם תציינו בבירור את הפעולות הספציפיות שצריך לבצע (התחלה, עצירה, הפעלה מחדש) ואת סוג המשאב המדויק (מכונות וירטואליות של Compute Engine), ההצעות יהיו מדויקות יותר. "אני רוצה להעלות ולהוריד אובייקטים מקטגוריה של Cloud Storage בשם example-bucket"."Give me access to storage" (תן לי גישה לאחסון). המונח אחסון לבדו יכול להתייחס לשירותים שונים כמו Cloud Storage, Filestore או Persistent Disk. בנוסף, לא צוינו פעולות. אם לא מציינים את השירות (Cloud Storage), את שם סוג המשאב ( example-bucket) או את הפעולות (העלאה והורדה של אובייקטים), ל-Gemini אין מספיק מידע כדי להציע את התפקידים הנכונים.להשתמש בשמות רשמיים. משתמשים בשמות הרשמיים של Google Cloud שירותים, סוגי משאבים ופעולות API בהנחיה. אם אתם לא בטוחים מהם השמות הרשמיים של השירותים, סוגי המשאבים או פעולות ה-API, מומלץ לעיין במסמכי המוצר הרשמיים.
מומלץ לא מומלץ פרטים "איזה תפקיד צריך כדי לעדכן מערכי נתונים ב-BigQuery?" איזה תפקיד צריך לעדכן מערכי נתונים של BigQuery? השם הרשמי של המוצר הוא BigQuery, ולא Big query. "איזה תפקיד נדרש כדי ליצור קטגוריה של Cloud Storage בפרויקט שלי?" "What role is required to create a Storage bucket in my project?" קטגוריית אחסון יכולה להתייחס לסוגים שונים של משאבים משירותים כמו Cloud Storage, Filestore או Persistent Disk. אם תציינו את שם המוצר ואת סוג המשאב המשויך, תקבלו הצעות מדויקות יותר.
פתרון בעיות
בקטע הזה מפורטים פתרונות לבעיות נפוצות בכלי לבחירת תפקידי IAM.
Gemini מציע תפקידים שאי אפשר להעניק ברמת הפרויקט
Gemini יכול להציע תפקידים בכל רמות המשאבים, אבל אפשר להשתמש בכלי לבחירת תפקידי IAM רק כדי להעניק את התפקידים ברמת הפרויקט שמוצעים. כש-Gemini מציע תפקידים ברמת הארגון, התיקייה או המשאב, בוחר התפקידים ב-IAM מציין שיש תפקידים מוצעים שלא ניתן להעניק, והלחצן הוספת תפקידים מושבת.
במקרה כזה, אפשר להעתיק את התפקידים המוצעים ולהקצות אותם לחשבון הראשי ברמה המתאימה באמצעות התהליך הרגיל בGoogle Cloud מסוף. מידע נוסף על הקצאת תפקידים מופיע במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.
אם אין לכם הרשאות להקצות את התפקידים ברמת הארגון, התיקייה או המשאב, פנו לאדמין.
המאמרים הבאים
- קרא סקירה כללית על Gemini for Google Cloud
- איך Gemini for Google Cloud משתמש בנתונים שלכם
- איך בוחרים את התפקידים המוגדרים מראש המתאימים ביותר