生成式 AI 的推荐用户群组和 Identity and Access Management 角色

下表介绍了我们建议您在Google Cloud上运行生成式 AI 工作负载时作为起点的 Identity and Access Management (IAM) 角色。配置 IAM 角色,以在您的环境中实现职责分离,并与您的风险偏好和组织结构保持一致。

在为组织中的用户群组分配这些角色时,请考虑在哪些情况下需要应用更精细的角色,以满足特定的生成式 AI 使用情形和数据访问要求。对于使用高度敏感的数据训练模型的环境,请参阅将数据导入安全的 BigQuery 数据仓库,详细了解可用于授予对存储数据的访问权限的角色。

下表介绍了角色建议。将基础建议应用于所有生成式 AI 工作负载,并将 Vertex AI 特有的建议应用于使用 Vertex AI 的生成式 AI 工作负载。

服务 群组 说明 IAM 角色

基础级

grp-gcp-org-admin

此群组可管理属于组织的资源。请谨慎分配此角色。组织管理员有权访问您的所有 Google Cloud 资源。或者,由于此函数具有较高的特权,因此请考虑使用个人账号而不是创建群组。
  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Folder Admin (roles/resourcemanager.folderAdmin)
  • Project Creator (roles/resourcemanager.projectCreator)
  • Billing Account User (roles/billing.user)
  • Organization Role Administrator (roles/iam.organizationRoleAdmin)
  • Organization Policy Administrator (roles/orgpolicy.policyAdmin)
  • Security Center Admin (roles/securitycenter.admin)
  • Support Account Administrator (roles/cloudsupport.admin)

基础级

grp-gcp-network-admins

此群组可以创建网络、子网、防火墙规则和网络设备,例如 Cloud Router、Cloud VPN 和云端负载均衡器。
  • Compute Network Admin (roles/compute.networkAdmin)
  • Compute Shared VPC Admin (roles/compute.xpnAdmin)
  • Compute Security Admin (roles/compute.securityAdmin)
  • Folder Viewer (roles/resourcemanager.folderViewer)

基础级

grp-gcp-billing-admin

此群组负责设置结算账号并监控其使用情况。
  • Billing Account Administrator (roles/billing.admin)
  • Billing Account Creator (roles/billing.creator)
  • Organization Viewer (roles/resourcemanager.organizationViewer)

基础级

grp-gcp-security-admins

此群组负责制定和管理整个组织的安全政策,包括访问权限管理和组织限制政策。如需规划 Google Cloud 安全基础设施,请参阅企业基础蓝图
  • BigQuery Data Viewer (roles/bigquery.dataViewer)
  • Compute Viewer (roles/compute.viewer)
  • Folder IAM Admin (roles/resourcemanager.folderIamAdmin)
  • Kubernetes Engine Viewer (roles/container.viewer)
  • Logs Configuration Writer (roles/logging.configWriter)
  • Organization Role Viewer (roles/iam.organizationRoleViewer)
  • Organization Policy Administrator (roles/orgpolicy.policyAdmin)
  • Organization Policy Viewer (roles/orgpolicy.policyViewer)
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Reviewer (roles/iam.securityReviewer)

基础级

grp-gcp-billing-viewer

此群组可监控项目的支出。通常,群组成员是财务团队的成员。
  • Billing Account Viewer (roles/billing.viewer)

基础级

grp-gcp-platform-viewer

此群组可查看整个 Google Cloud组织中的资源信息。
  • Viewer (roles/viewer)

基础级

grp-gcp-security-reviewer

此群组负责审核云安全。
  • Security Reviewer (roles/iam.securityReviewer)

基础级

grp-gcp-network-viewer

此群组负责审核网络配置。
  • Compute Network Viewer (roles/compute.networkViewer)

基础级

grp-gcp-audit-viewer

此群组可查看审核日志。
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Viewer (roles/viewer)

基础级

grp-gcp-scc-admin

此群组用于管理 Security Command Center。
  • Security Center Admin (roles/securitycenter.admin)

基础级

grp-gcp-secrets-admin

此群组管理 Secret Manager 中的 Secret。
  • Secret Manager Admin (roles/secretmanager.admin)

Vertex AI 管理员

grp-gcp-vertex-ai-admin

此群组拥有对 Vertex AI 中所有资源的完整访问权限。
  • Vertex AI Administrator (roles/aiplatform.admin))

Vertex AI 查看者

grp-gcp-vertex-ai-viewer

此群组可查看 Vertex AI 中的所有资源。
  • Vertex AI Viewer (roles/aiplatform.viewer)

Vertex AI 用户

grp-gcp-vertex-ai-user

此群组使用 Vertex AI 中的所有资源。
  • Vertex AI User (roles/aiplatform.user)

Vertex AI Workbench 管理员

grp-gcp-vertex-ai-notebook-admin

此群组对 Vertex AI Workbench 中的所有运行时模板和运行时拥有完整访问权限。
  • Notebook Runtime Admin (roles/aiplatform.notebookRuntimeAdmin)

Vertex AI Workbench 用户

grp-gcp-vertex-ai-notebook-user

此群组使用运行时模板创建运行时资源,并管理他们创建的运行时资源。
  • Notebook Runtime User (roles/aiplatform.notebookRuntimeUser)

后续步骤