Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ricevere suggerimenti sui ruoli predefiniti con l'assistenza di Gemini

Questa pagina descrive come trovare e concedere i ruoli predefiniti di Identity and Access Management (IAM) alle tue entità con l'assistenza di Gemini.

Il selettore di ruoli IAM ti consente di chiedere a Gemini quali ruoli concedere alle tue entità. In genere, per trovare i ruoli predefiniti giusti da concedere, devi cercare nell'indice dei ruoli e delle autorizzazioni IAM o nella pagina Ruoli della Google Cloud console. Con il selettore di ruoli IAM, puoi descrivere le azioni che vuoi che l'entità esegua e le risorse su cui deve eseguirle. In base all'input, Gemini suggerisce i ruoli predefiniti che ritiene appropriati.

Gemini può suggerire ruoli predefiniti per le singole entità. Se Gemini suggerisce di concedere un ruolo a livello di progetto, puoi utilizzare il selettore di ruoli IAM per concederlo.

Non puoi utilizzare il selettore di ruoli IAM per ricevere suggerimenti per le seguenti operazioni:

Ruoli personalizzati
Ruoli per più entità (con un singolo prompt)
Ruoli per i prodotti Google Workspace come Fogli Google e Documenti Google

Scopri come e quando Gemini for Google Cloud utilizza i tuoi dati.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare il selettore di ruoli IAM, chiedi all'amministratore di concederti il ruolo IAM Project IAM Admin (roles/resourcemanager.projectIamAdmin) sul progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito include le autorizzazioni necessarie per utilizzare il selettore di ruoli IAM. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per utilizzare il selettore di ruoli IAM sono necessarie le seguenti autorizzazioni:

resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Ricevere suggerimenti sui ruoli con l'assistenza di Gemini

Per ricevere suggerimenti sui ruoli da Gemini, puoi accedere al selettore di ruoli IAM nelle pagine della Google Cloud console che ti consentono di concedere l'accesso a livello di progetto. Ad esempio, il selettore di ruoli IAM è disponibile nelle seguenti pagine:

La pagina IAM
La pagina Service account
La Google Cloud console Dashboard pagina

La seguente procedura utilizza la pagina IAM come punto di accesso principale.

Nella Google Cloud console, vai alla pagina IAM.

Vai a IAM
Seleziona un progetto.
Seleziona un'entità per ricevere suggerimenti sui ruoli:
- Per ricevere suggerimenti sui ruoli per un'entità che ha già altri ruoli nella risorsa, individua una riga contenente l'entità, quindi fai clic su Modifica entità in quella riga.
  
  Per concedere un ruolo a un agente di servizio, seleziona la casella di controllo Includi Google-concessioni di ruoli fornite da per visualizzarne l'indirizzo email.
  
  Nota: non puoi modificare i ruoli ereditati quando gestisci l'accesso a una risorsa. Per modificare i ruoli ereditati, vai alla risorsa in cui è stato concesso il ruolo.
- Per ricevere suggerimenti sui ruoli per un'entità che non ha ruoli esistenti per la risorsa, fai clic su Concedi l'accesso, quindi inserisci un identificatore dell'entità, ad esempio, my-user@example.com o //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Per aprire la finestra di dialogo del selettore di ruoli IAM, fai clic su Aiutami a scegliere i ruoli.
Descrivi con parole tue l'azione che vuoi che l'entità esegua e la risorsa del progetto su cui deve eseguirla.
Fai clic su Suggerisci ruoli. In base all'input, Gemini suggerisce i ruoli predefiniti che ritiene appropriati.

Per saperne di più sui ruoli e sul motivo per cui Gemini li ha suggeriti, fai clic su Mostra ragionamento. Ti consigliamo inoltre di utilizzare il riferimento a ruoli e autorizzazioni per convalidare i ruoli suggeriti da Gemini prima di concederli all' entità.
(Facoltativo) Se Gemini non suggerisce i ruoli giusti, puoi perfezionare il prompt.
1. Per modificare il prompt, fai clic su Modifica.
2. Modifica la descrizione e poi fai clic su Aggiorna. Gemini aggiorna i suggerimenti sui ruoli in base alla nuova descrizione.
Per accettare i suggerimenti, fai clic su Aggiungi ruoli.
(Facoltativo) Aggiungi una condizione al ruolo.
Fai clic su Salva. All'entità viene concesso il ruolo nella risorsa.

Puoi concedere i ruoli a livello di progetto suggeriti da Gemini direttamente dal selettore di ruoli IAM. Per i suggerimenti sui ruoli a livello di organizzazione, cartella o risorsa , prendi nota dei ruoli suggeriti e concedili all'entità al livello appropriato utilizzando la procedura standard nella Google Cloud console. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Se non hai le autorizzazioni per concedere i ruoli a livello di organizzazione, cartella o risorsa, contatta l'amministratore.

Esempi di casi d'uso

La seguente tabella illustra alcuni esempi di casi d'uso per il selettore di ruoli IAM. Per impostazione predefinita, Gemini suggerisce ruoli progettati per coprire i percorsi utente comuni all'interno di un servizio. Ad esempio, Gemini suggerisce spesso i ruoli di amministratore, editor o visualizzatore di un servizio.

Se vuoi che Gemini suggerisca i ruoli con privilegio minimo più granulari, devi specificare questa preferenza nel prompt utilizzando parole chiave specifiche. Per un elenco delle parole chiave che puoi utilizzare, consulta Parole chiave per i ruoli con privilegio minimo. Tieni presente, tuttavia, che i ruoli con privilegio minimo potrebbero non essere sufficienti per le esigenze future di un utente.

Caso d'uso	Esempi di prompt
Identificare i ruoli per la gestione generale dei servizi	"Quali autorizzazioni mi servono per gestire la nostra configurazione di AlloyDB per PostgreSQL?" "Quali ruoli mi servono per lavorare con BigQuery?" "Come faccio a concedere a qualcuno l'accesso per eseguire ed eseguire il debug dei servizi Cloud Run?" "Devo eseguire il provisioning di un'identità di Vertex AI Agent per eseguire chiamate di base agli strumenti."
Identificare i ruoli necessari per eseguire attività specifiche	"Quale ruolo è necessario per creare, avviare e arrestare le VM?" "Devo consentire a un utente di creare e gestire set di dati e tabelle BigQuery." "Devo concedere a un account di servizio l'accesso per richiamare le funzioni Cloud Run." "Voglio che il mio agente attivi un server MCP locale di cui ho eseguito il deployment su Cloud Run." Prompt che generano suggerimenti sui ruoli con privilegio minimo: "Qual è il ruolo minimo necessario per creare, avviare e arrestare le VM?" "Quali sono i ruoli IAM con privilegio minimo necessari per creare policy IAM?" "Devo concedere a un account di servizio l'accesso per richiamare le funzioni Cloud Run. Qual è l'accesso più limitato necessario?" "Qual è il ruolo meno permissivo di cui ha bisogno il mio agente per attivare un server MCP locale di cui ho eseguito il deployment su Cloud Run?"
Identificare i ruoli necessari per eseguire i comandi di Google Cloud CLI	"Quale ruolo IAM è necessario per eseguire: `gcloud compute instances create instance-1`?" Prompt che generano suggerimenti sui ruoli con privilegio minimo: "Qual è il ruolo più piccolo di cui ha bisogno un account di servizio per eseguire: `gcloud datastore instances describe`?"
Identificare i ruoli per un'attività che include dipendenze transitive	"Devo configurare un'istanza di Compute Engine per la scalabilità automatica in base all'utilizzo della CPU. Quali ruoli IAM devo concedere al account di servizio?" Prompt che generano suggerimenti sui ruoli con privilegio minimo: "Devo configurare un'istanza di Compute Engine per la scalabilità automatica in base all'utilizzo della CPU. Quali sono le autorizzazioni minime che devo concedere a un account di servizio utilizzato da uno strumento di scalabilità automatica delle istanze di Compute Engine?"
Identificare i ruoli per un'attività che potrebbe richiedere una combinazione di più ruoli granulari	"Concedi agli utenti l'accesso solo a un determinato set di dati in BigQuery. Non devono essere in grado di creare o eliminare set di dati." Prompt che generano suggerimenti sui ruoli con privilegio minimo: "Qual è il ruolo più sicuro per concedere agli utenti l'accesso in sola lettura a un singolo set di dati in BigQuery, senza consentire azioni di creazione o eliminazione su alcun set di dati?"

Best practice

Per aiutare Gemini a fornire i suggerimenti più accurati per il tuo caso d'uso, ti consigliamo di seguire queste best practice quando scrivi il prompt.

Descrivi chiaramente il tuo caso d'uso. Evita di utilizzare un linguaggio vago nei prompt. Sii il più chiaro possibile sulle azioni che vuoi che l'entità esegua su quali servizi e tipi di risorse. Se vuoi che Gemini suggerisca i ruoli con privilegio minimo, assicurati di creare il prompt con parole chiave specifiche che descrivano la tua intenzione di rispettare il principio del privilegio minimo.

Esempio di prompt corretto	Esempio di prompt errato	Dettagli
"Quale ruolo è necessario per eseguire query SQL su una tabella BigQuery e leggere i dati?"	"Quale ruolo è necessario per eseguire istruzioni SQL?"	SQL è un linguaggio generico utilizzato in più Google Cloud servizi. Senza specificare il servizio o le azioni, Gemini non può suggerire un ruolo preciso.
"Mi servono ruoli per avviare, arrestare e riavviare le istanze di macchine virtuali di Compute Engine."	"Devo gestire le mie macchine virtuali."	Il termine gestire è troppo vago. Gestire potrebbe significare creare, eliminare, aggiornare o visualizzare le VM. Elencare chiaramente le azioni specifiche da eseguire (avvia, arresta, riavvia) e il tipo di risorsa esatto (istanze di macchine virtuali di Compute Engine) produce suggerimenti più accurati.
"Devo caricare e scaricare oggetti da un bucket Cloud Storage denominato `example-bucket`."	"Concedimi l'accesso all'archiviazione."	Il termine archiviazione da solo potrebbe fare riferimento a vari servizi come Cloud Storage, Filestore o Persistent Disk. Inoltre, non sono specificate azioni. Senza specificare il servizio (Cloud Storage), il nome del tipo di risorsa (`example-bucket`) o le azioni (carica e scarica oggetti), Gemini non dispone di informazioni sufficienti per suggerire i ruoli giusti.
"Mi serve il ruolo meno permissivo che fornisca l'accesso in sola lettura a Secret Manager."	"Mi serve un accesso limitato per gestire i miei secret."	La frase accesso limitato non definisce chiaramente le restrizioni richieste. Gestisci i miei secret copre un'ampia gamma di azioni (crea, elenca, aggiorna, elimina, accedi alle versioni). Senza utilizzare parole chiave esplicite come privilegio minimo, Gemini suggerisce per impostazione predefinita ruoli di amministratore, editor o visualizzatore più generali specifici del servizio.

Utilizza i nomi ufficiali. Utilizza i nomi ufficiali di Google Cloud servizi, tipi di risorse e operazioni API nel prompt. Se non conosci i nomi ufficiali di servizi, tipi di risorse o operazioni API, ti consigliamo di consultare la documentazione ufficiale del prodotto.

Esempio di prompt corretto	Esempio di prompt errato	Dettagli
"Quale ruolo mi serve per aggiornare i set di dati BigQuery?"	"Quale ruolo mi serve per aggiornare i set di dati Big query?	BigQuery è il nome ufficiale del prodotto, non Big query.
"Quale ruolo è necessario per creare un bucket Cloud Storage nel mio progetto?"	"Quale ruolo è necessario per creare un bucket di archiviazione nel mio progetto?"	Bucket di archiviazione potrebbe fare riferimento a diversi tipi di risorse di servizi come Cloud Storage, Filestore o Persistent Disk. Specificare il nome del prodotto e il tipo di risorsa associato produrrà suggerimenti più accurati.

Parole chiave per i ruoli con privilegio minimo

Se hai bisogno di suggerimenti sui ruoli da Gemini che rispettino il principio del privilegio minimo, devi utilizzare parole chiave specifiche nel prompt. Di seguito è riportato un elenco non esaustivo di parole chiave che puoi utilizzare per richiedere ruoli con privilegio minimo:

meno permissivo
più sicuro
ruolo più piccolo
privilegio minimo
autorizzazioni minime
strettamente granulare
accesso più limitato
solo il minimo assoluto
solo con le autorizzazioni esatte

Risoluzione dei problemi

Questa sezione descrive le soluzioni per i problemi comuni relativi al selettore di ruoli IAM.

Gemini suggerisce ruoli che non puoi concedere a livello di progetto

Gemini può suggerire ruoli a tutti i livelli di risorse; tuttavia, puoi utilizzare il selettore di ruoli IAM solo per concedere i ruoli a livello di progetto suggeriti. Quando Gemini suggerisce ruoli a livello di organizzazione, cartella o risorsa, il selettore di ruoli IAM indica che sono presenti ruoli suggeriti che non possono essere concessi e il pulsante Aggiungi ruoli sarà disattivato.

In questo caso, puoi copiare i ruoli suggeriti e concederli all' entità al livello appropriato utilizzando la procedura standard nella Google Cloud console. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.