Nesta página, descrevemos como encontrar e conceder os papéis predefinidos de Identity and Access Management (IAM) menos permissivos aos principais com a ajuda do Gemini.
O seletor de papéis do IAM permite perguntar ao Gemini quais papéis você deve conceder aos principais. Normalmente, para encontrar os papéis predefinidos certos a serem concedidos, é necessário pesquisar no índice de papéis e permissões do IAM ou na página Papéis no Google Cloud console. Com o seletor de papéis do IAM, você pode descrever as ações que quer que o principal execute e os recursos necessários para isso. Com base na sua entrada, o Gemini sugere os papéis predefinidos menos permissivos que considera adequados.
O Gemini pode sugerir papéis predefinidos para principais individuais. Se o Gemini sugerir a concessão de um papel no nível do projeto, use o seletor de papéis do IAM para conceder esse papel.
Não é possível usar o seletor de papéis do IAM para receber sugestões sobre o seguinte itens:
- Papéis personalizados
- Papéis para vários principais (com um único comando)
- Papéis para produtos do Google Workspace, como o Google Planilhas e o Google Docs
Saiba como e quando o Gemini para Google Cloud usa seus dados.
Papéis necessários
Para receber as permissões necessárias para usar o seletor de papéis do IAM, peça ao administrador para conceder a você o papel do IAM de administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém as permissões necessárias para usar o seletor de papéis do IAM. Para acessar as permissões exatas que são necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para usar o seletor de papéis do IAM:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Receber sugestões de papéis com a ajuda do Gemini
Para receber sugestões de papéis do Gemini, acesse o seletor de papéis do IAM nas páginas do Google Cloud console que permitem conceder acesso no nível do projeto. Por exemplo, o seletor de papéis do IAM está disponível nas seguintes páginas:
- A página IAM
- A página Contas de serviço
- A página Google Cloud console Painel
O procedimento a seguir usa a página IAM como o ponto de entrada principal.
No Google Cloud console, acesse a página IAM.
Selecione um projeto.
Selecione um principal para receber sugestões de papéis:
Para receber sugestões de papéis para um principal que já tenha outros papéis no recurso, encontre uma linha contendo o principal e clique em Editar principal nessa linha.
Para conceder um papel a um agente de serviço, marque a caixa de seleção Incluir Google-concessões de papel fornecidas para ver o endereço de e-mail dele.
Para receber sugestões de papéis para um principal que ainda não tem papéis no recurso, clique em Conceder acesso e insira um identificador principal, por exemplo,
my-user@example.comou//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Para abrir a caixa de diálogo do seletor de papéis do IAM, clique em Me ajude a escolher papéis.
Descreva com suas próprias palavras a ação que você quer que o principal execute e o recurso no projeto em que ele precisa executar.
Clique em Sugerir papéis. Com base na sua entrada, o Gemini sugere os papéis predefinidos menos permissivos que considera adequados.
Para mais informações sobre os papéis e por que o Gemini os sugeriu, clique em Mostrar justificativa. Também recomendamos usar a referência de papéis e permissões para validar os papéis sugeridos pelo Gemini antes de concedê-los ao principal.
Opcional: se o Gemini não sugerir os papéis certos, você poderá refinar o comando.
- Para modificar o comando, clique em Editar.
- Edite a descrição e clique em Atualizar. O Gemini atualiza as sugestões de papéis com base na nova descrição.
Para aceitar as sugestões, clique em Adicionar papéis.
Opcional: adicione uma condição ao papel.
Clique em Salvar. O principal recebe o papel no recurso.
É possível conceder papéis para envolvidos no projeto sugeridos pelo Gemini diretamente no seletor de papéis do IAM. Para sugestões de papéis no nível da organização, da pasta ou do recurso , anote os papéis sugeridos e conceda-os ao principal no nível apropriado usando o processo típico no Google Cloud console. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Se você não tiver as permissões para conceder os papéis nos níveis da organização, da pasta ou do recurso, entre em contato com o administrador.
Exemplos de casos de uso
A tabela a seguir ilustra alguns exemplos de casos de uso em que o Gemini pode ajudar a identificar os papéis menos permissivos para os principais.
| Caso de uso | Exemplos de prompt |
|---|---|
| Identificar os papéis menos permissivos necessários para executar uma tarefa específica |
|
| Identificar os papéis menos permissivos necessários para executar comandos da Google Cloud CLI |
|
| Identificar papéis para uma tarefa que inclui dependências transitivas | "Preciso configurar uma instância do Compute Engine para escalonar automaticamente com base no uso da CPU. Quais papéis do IAM devem ser concedidos à conta de serviço usada pelo escalonador automático de instâncias ?" |
| Identificar papéis para uma tarefa que pode exigir uma combinação de vários papéis granulares | "Conceda acesso aos usuários apenas a um conjunto de dados específico. Não queremos compartilhar o acesso a todos os conjuntos de dados e só permitimos que os usuários acessem um conjunto de dados específico no BigQuery. Eles não podem criar novos conjuntos de dados nem excluí-los" |
Práticas recomendadas
Para ajudar o Gemini a fornecer as sugestões mais precisas para seu caso de uso, recomendamos que você siga as práticas recomendadas a seguir ao criar o comando.
Descreva claramente seu caso de uso. Evite usar linguagem vaga nos comandos. Seja o mais claro possível sobre quais ações você quer que o principal execute em quais serviços e tipos de recursos.
Fazer Não fazer Detalhes "Qual papel é necessário para executar consultas SQL em uma tabela do BigQuery e ler os dados dela?" "Qual papel é necessário para executar instruções SQL?" O SQL é uma linguagem genérica usada em vários Google Cloud serviços. Sem especificar o serviço ou as ações, o Gemini não pode sugerir um papel preciso. "Preciso de papéis para iniciar, interromper e reiniciar instâncias máquina virtual do Compute Engine." "Preciso gerenciar minhas máquinas virtuais." O termo gerenciar é muito vago. Gerenciar pode significar criar, excluir, atualizar ou visualizar VMs. Listar claramente as ações específicas a serem executadas (iniciar, interromper, reiniciar) e o tipo de recurso exato (instâncias de máquina virtual do Compute Engine) gera sugestões mais precisas. "Preciso fazer upload e download de objetos de um bucket do Cloud Storage chamado example-bucket.""Me dê acesso ao armazenamento." O termo armazenamento sozinho pode se referir a vários serviços, como Cloud Storage, Filestore ou Persistent Disk. Além disso, não há ações especificadas. Sem especificar o serviço (Cloud Storage), o nome do tipo de recurso ( example-bucket) ou as ações (fazer upload e download de objetos), o Gemini não tem informações suficientes para sugerir os papéis certos.Use nomes oficiais. Use os nomes oficiais de Google Cloud serviços, tipos de recursos e operações de API no comando. Se você não tiver certeza sobre os nomes oficiais de serviços, tipos de recursos ou operações de API, recomendamos consultar a documentação oficial do produto.
Fazer Não fazer Detalhes "Qual papel preciso para atualizar conjuntos de dados do BigQuery?" "Qual papel preciso para atualizar conjuntos de dados do Big query? BigQuery é o nome oficial do produto, não Big query. "Qual papel é necessário para criar um bucket do Cloud Storage no meu projeto?" "Qual papel é necessário para criar um bucket de armazenamento no meu projeto?" Bucket de armazenamento pode se referir a diferentes tipos de recursos de serviços como Cloud Storage, Filestore ou Persistent Disk. Especificar o nome do produto e o tipo de recurso associado vai gerar sugestões mais precisas.
Solução de problemas
Esta seção descreve resoluções para problemas comuns com o seletor de papéis do IAM.
O Gemini sugere papéis que não podem ser concedidos no nível do projeto
O Gemini pode sugerir papéis em todos os níveis de recursos. No entanto, só é possível usar o seletor de papéis do IAM para conceder os papéis para envolvidos no projeto que são sugeridos. Quando o Gemini sugere papéis no nível da organização, da pasta ou do recurso, o seletor de papéis do IAM indica que há papéis sugeridos que não podem ser concedidos e o botão Adicionar papéis será desativado.
Quando isso ocorre, é possível copiar os papéis sugeridos e concedê-los ao principal no nível apropriado usando o processo típico no Google Cloud console. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Se você não tiver as permissões para conceder os papéis nos níveis da organização, da pasta ou do recurso, entre em contato com o administrador.
A seguir
- Leia a visão geral do Gemini para Google Cloud .
- Saiba como o Gemini para Google Cloud usa seus dados.
- Saiba como encontrar manualmente os papéis predefinidos certos.