En esta página, se describe cómo puedes encontrar y otorgar roles predefinidos de Identity and Access Management (IAM) a tus principales con la ayuda de Gemini.
El selector de roles de IAM te permite preguntarle a Gemini qué roles debes otorgar a tus principales. Por lo general, para encontrar los roles predefinidos adecuados que se deben otorgar, debes buscar en el índice de roles y permisos de IAM o en la página Roles de laGoogle Cloud consola. Con el selector de roles de IAM, puedes describir las acciones que quieres que realice la principal y los recursos en los que debe realizarlas. Según tu entrada, Gemini sugiere los roles predefinidos que considera adecuados.
Gemini puede sugerir roles predefinidos para principales individuales. Si Gemini sugiere otorgar un rol a nivel del proyecto, puedes usar el selector de roles de IAM para otorgar ese rol.
No puedes usar el selector de roles de IAM para obtener sugerencias sobre lo siguiente:
- Funciones personalizadas
- Roles para varios principales (con una sola instrucción)
- Roles para productos de Google Workspace, como Hojas de cálculo de Google y Documentos de Google
Descubre cómo y cuándo Gemini para Google Cloud usa tus datos.
Funciones requeridas
Para obtener los permisos que necesitas
para usar el selector de roles de IAM,
pídele a tu administrador que te otorgue el rol de IAM
Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para usar el selector de roles de IAM. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para usar el selector de roles de IAM:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Obtén sugerencias de roles con la asistencia de Gemini
Para obtener sugerencias de roles de Gemini, puedes acceder al selector de roles de IAM en las páginas de la consola de Google Cloud que te permiten otorgar acceso a nivel del proyecto. Por ejemplo, el selector de roles de IAM está disponible en las siguientes páginas:
- La página IAM
- La página Cuentas de servicio
- La página Panel de la consola de Google Cloud
En el siguiente procedimiento, se usa la página IAM como punto de entrada principal.
En la consola de Google Cloud , dirígete a la página IAM.
Selecciona un proyecto.
Selecciona una principal para obtener sugerencias de roles:
Para obtener sugerencias de roles para una principal que ya tiene otros roles en el recurso, busca una fila que contenga la principal y, luego, haz clic en Editar principal en esa fila.
Para otorgar un rol a un agente de servicio, selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas porGoogle para ver su dirección de correo electrónico.
Para obtener sugerencias de roles para una principal que aún no tenga otros roles en el recurso, haz clic en Otorgar acceso y, luego, ingresa un identificador de principal (por ejemplo,
my-user@example.como//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com).
Para abrir el diálogo del selector de roles de IAM, haz clic en Ayúdame a elegir roles.
Con tus propias palabras, describe la acción que quieres que realice el principal y el recurso del proyecto en el que debe realizarla.
Haz clic en Sugerir roles. Según tu entrada, Gemini sugiere los roles predefinidos que considera adecuados.
Para obtener más información sobre los roles y por qué Gemini los sugirió, haz clic en Mostrar razonamiento. También te recomendamos que uses la referencia de roles y permisos para validar los roles sugeridos de Gemini antes de otorgárselos a la principal.
Opcional: Si Gemini no sugiere los roles adecuados, puedes refinar tu instrucción.
- Para modificar la instrucción, haz clic en Editar.
- Edita la descripción y, luego, haz clic en Actualizar. Gemini actualiza sus sugerencias de roles en función de la nueva descripción.
Para aceptar las sugerencias, haz clic en Agregar roles.
Opcional: Agrega una condición a la función.
Haz clic en Guardar. A la principal se le otorga la función en el recurso.
Puedes otorgar roles a nivel del proyecto sugeridos por Gemini directamente desde el selector de roles de IAM. Para obtener sugerencias de roles a nivel de la organización, la carpeta o el recurso, anota los roles sugeridos y otórgale al principal los roles al nivel adecuado con el proceso típico de la consola de Google Cloud . Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Si no tienes los permisos para otorgar los roles a nivel de la organización, la carpeta o el recurso, comunícate con tu administrador.
Ejemplos de casos de uso
En la siguiente tabla, se ilustran algunos ejemplos de casos de uso para el selector de roles de IAM. De forma predeterminada, Gemini sugiere roles diseñados para abarcar los recorridos de usuarios comunes dentro de un servicio. Por ejemplo, Gemini suele sugerir los roles de administrador, editor o visualizador de un servicio.
Si quieres que Gemini sugiera los roles más detallados y con menos privilegios, debes especificar esta preferencia en tu instrucción con palabras clave específicas. Para obtener una lista de las palabras clave que puedes usar, consulta Palabras clave para los roles con privilegios mínimos. Sin embargo, ten en cuenta que los roles con privilegios mínimos podrían no ser suficientes para las necesidades futuras de un usuario.
| Caso de uso | Ejemplos de solicitudes |
|---|---|
| Identifica roles para la administración general de servicios |
|
| Identificar los roles necesarios para realizar tareas específicas |
Instrucciones que generan sugerencias de roles con privilegios mínimos:
|
| Identifica los roles necesarios para ejecutar comandos de Google Cloud CLI |
Instrucción que genera sugerencias de roles con privilegios mínimos:
|
| Cómo identificar roles para una tarea que incluye dependencias transitivas |
Instrucción que genera sugerencias de roles con privilegios mínimos:
|
| Identificar roles para una tarea que podría requerir una combinación de varios roles detallados |
Instrucción que genera sugerencias de roles con privilegios mínimos:
|
Prácticas recomendadas
Para ayudar a Gemini a proporcionar las sugerencias más precisas para tu caso de uso, te recomendamos que sigas las siguientes prácticas recomendadas cuando redactes tu instrucción.
Describe con claridad tu caso de uso. Evita usar lenguaje vago en tus instrucciones. Sé lo más claro posible sobre qué acciones quieres que realice la entidad principal en qué servicios y tipos de recursos. Si quieres que Gemini sugiera los roles con menos privilegios, asegúrate de crear tu instrucción con palabras clave específicas que describan tu intención de cumplir con el principio de privilegio mínimo.
Sugerencia Qué no debes hacer Detalles "¿Qué rol se requiere para ejecutar consultas en SQL en una tabla de BigQuery y leer sus datos?" "¿Qué rol se requiere para ejecutar instrucciones SQL?" SQL es un lenguaje genérico que se usa en varios Google Cloud servicios. Sin especificar el servicio o las acciones, Gemini no puede sugerir un rol preciso. "Necesito roles para iniciar, detener y reiniciar instancias de máquina virtual de Compute Engine". "Necesito administrar mis máquinas virtuales". El término administrar es demasiado vago. Administrar puede significar crear, borrar, actualizar o ver VMs. Si se enumeran claramente las acciones específicas que se deben realizar (iniciar, detener, reiniciar) y el tipo de recurso exacto (instancias de máquina virtual de Compute Engine), se obtienen sugerencias más precisas. "Necesito subir y descargar objetos de un bucket de Cloud Storage llamado example-bucket"."Dame acceso al almacenamiento". El término Storage por sí solo podría referirse a varios servicios, como Cloud Storage, Filestore o Persistent Disk. Además, no se especifican acciones. Sin especificar el servicio (Cloud Storage), el nombre del tipo de recurso ( example-bucket) o las acciones (subir y descargar objetos), Gemini no tiene suficiente información para sugerir los roles adecuados."Necesito el rol menos permisivo que proporcione acceso de solo lectura a Secret Manager". "Necesito acceso limitado para administrar mis secretos". La frase acceso limitado no define con claridad las restricciones requeridas. Administrar mis secretos abarca una amplia variedad de acciones (crear, enumerar, actualizar, borrar, acceder a versiones). Sin usar palabras clave explícitas como privilegio mínimo, Gemini sugiere de forma predeterminada roles más generales de administrador, editor o visualizador específicos del servicio. Usa nombres oficiales. Usa los nombres oficiales de los Google Cloud servicios, los tipos de recursos y las operaciones de la API en tu instrucción. Si no tienes certeza sobre los nombres oficiales de los servicios, los tipos de recursos o las operaciones de la API, te recomendamos que consultes la documentación oficial del producto.
Sugerencia Qué no debes hacer Detalles "¿Qué rol necesito para actualizar los conjuntos de datos de BigQuery?" "¿Qué rol necesito para actualizar los conjuntos de datos de BigQuery? El nombre oficial del producto es BigQuery, no Big query. “¿Qué rol se requiere para crear un bucket de Cloud Storage en mi proyecto?” "¿Qué rol se requiere para crear un bucket de Storage en mi proyecto?" Bucket de almacenamiento podría hacer referencia a diferentes tipos de recursos de servicios como Cloud Storage, Filestore o Persistent Disk. Si especificas el nombre del producto y el tipo de recurso asociado, obtendrás sugerencias más precisas.
Palabras clave para los roles con el menor privilegio
Si necesitas sugerencias de roles de Gemini que cumplan con el principio de privilegio mínimo, debes usar palabras clave específicas en tu instrucción. A continuación, se incluye una lista no exhaustiva de palabras clave que puedes usar para solicitar roles con los privilegios mínimos:
- menos permisivo
- más seguro
- rol más pequeño
- privilegio mínimo
- permisos mínimos
- estrictamente detallado
- acceso más restringido
- solo el mínimo absoluto
- solo con los permisos exactos
Soluciona problemas
En esta sección, se describen las resoluciones para problemas comunes con el selector de roles de IAM.
Gemini sugiere roles que no puedes otorgar a nivel del proyecto
Gemini puede sugerir roles en todos los niveles de recursos. Sin embargo, solo puedes usar el selector de roles de IAM para otorgar los roles a nivel del proyecto que se sugieren. Cuando Gemini sugiere roles a nivel de la organización, la carpeta o el recurso, el selector de roles de IAM indica que hay roles sugeridos que no se pueden otorgar y el botón Agregar roles estará inhabilitado.
Cuando esto sucede, puedes copiar los roles sugeridos y otorgárselos a la principal en el nivel adecuado con el proceso habitual en la consola deGoogle Cloud . Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Si no tienes los permisos para otorgar los roles a nivel de la organización, la carpeta o el recurso, comunícate con tu administrador.
¿Qué sigue?
- Lee la descripción general de Gemini para Google Cloud.
- Descubre cómo Gemini para Google Cloud usa tus datos.
- Obtén más información para encontrar los roles predefinidos adecuados de forma manual.