Conceder roles y permisos de gestión de identidades y accesos de la API Conversational Analytics

La API Conversational Analytics usa Gestión de Identidades y Accesos (IAM) para controlar el acceso a la hora de crear, gestionar e interactuar con agentes de datos. Con la gestión de identidades y accesos, puedes conceder permisos a principales (como usuarios, grupos y cuentas de servicio) asignándoles roles. Cada rol es un conjunto de uno o varios permisos que determinan qué acciones puede realizar una entidad principal.

En esta página se describen los roles de IAM predefinidos de la API Conversational Analytics. Puedes asignar estos roles de gestión de identidades y accesos en la Google Cloud consola del proyecto en el que esté habilitada la API Conversational Analytics. Para obtener instrucciones detalladas, consulta Asignar roles mediante la consola Google Cloud . También puedes usar la CLI de Google Cloud para conceder roles, tal como se describe en Conceder roles de gestión de identidades y accesos.

Antes de empezar

Para obtener los permisos que necesitas para asignar roles de gestión de identidades y accesos de la API Conversational Analytics, pide a tu administrador que te conceda el rol de gestión de identidades y accesos de proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto en el que esté habilitada la API Conversational Analytics. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Descripción general de los roles de gestión de identidades y accesos de la API Conversational Analytics

La API Conversational Analytics proporciona un conjunto de roles de gestión de identidades y accesos predefinidos. Estos roles te permiten conceder permisos para tareas como crear y editar agentes, compartir y gestionar agentes, ver agentes y chatear con ellos, y usar la API en un modo de chat sin estado.

Los roles de gestión de identidades y accesos predefinidos de la API Conversational Analytics forman parte del servicio geminidataanalytics. Los nombres técnicos de estos roles siguen el patrón roles/geminidataanalytics.ROLE_NAME. En la Google Cloud consola, puedes encontrar estos roles filtrando por el servicio Gemini Data Analytics.

Puede asignar roles de gestión de identidades y accesos de la API Conversational Analytics a nivel de proyecto.

Roles necesarios para las tareas de usuario habituales

Para decidir qué roles asignar a un principal, ten en cuenta las siguientes tareas habituales de los usuarios.

Crear nuevos agentes de datos
Asigna el rol Creador de agentes de datos de Gemini Data Analytics a los usuarios responsables de crear agentes de datos en un proyecto.
Gestionar permisos de agentes
Asigna el rol Propietario del agente de datos de analíticas de Gemini a los usuarios que necesiten el máximo nivel de control sobre un agente, incluida la capacidad de gestionar permisos y compartir o eliminar agentes. Cuando un usuario crea un agente, el sistema le asigna automáticamente este rol para ese agente concreto.
Editar configuraciones del agente
Asigna el rol Editor de agente de datos de Gemini Data Analytics a los usuarios que modifiquen la configuración de un agente, como su contexto o las asignaciones de fuentes de datos. Estos usuarios no tienen permiso para compartir ni eliminar el agente.
Chatear con agentes
Asigna el rol Usuario agente de datos de analíticas de datos de Gemini a los usuarios o las aplicaciones que interactúen principalmente con los agentes haciendo preguntas y recibiendo respuestas.
Ver configuraciones de agentes
Asigna el rol Lector de datos del agente de analíticas de datos de Gemini a los usuarios que necesiten acceso de solo lectura para ver las configuraciones de los agentes.
Chatear usando el contexto insertado
Asigna el rol Usuario de chat sin estado de Gemini Data Analytics a los usuarios o las aplicaciones que interactúen con la API en modo sin estado, en el que el usuario proporciona todo el contexto de la conversación en cada solicitud.

Para ver una lista de los roles predefinidos y los permisos que incluyen, consulta Roles predefinidos de la API Conversational Analytics.

Roles predefinidos de la API Conversational Analytics

En la siguiente tabla se describen los roles predefinidos de la API Conversational Analytics. Si los roles predefinidos no te ofrecen el conjunto de permisos que quieres, también puedes crear tus propios roles personalizados.

Rol Permisos

Creador de agentes de datos de analíticas de datos de Gemini (roles/geminidataanalytics.dataAgentCreator)

Concede a un principal permiso para crear recursos de agente de datos en un proyecto específico. Cuando un centro crea un agente, el sistema le asigna automáticamente el rol dataAgentOwner a ese centro para el agente específico.

 geminidataanalytics.dataAgents.create

Propietario del agente de datos de Gemini Data Analytics (roles/geminidataanalytics.dataAgentOwner)

Otorga a un principal control total sobre el ciclo de vida de cualquier agente del proyecto, lo que incluye compartir y eliminar agentes. Este rol es para las entidades de confianza que pueden gestionar el uso compartido de agentes. Este rol hereda todos los permisos de los roles dataAgentEditor, dataAgentUser y dataAgentViewer.

Una cuenta con este rol puede compartir y eliminar agentes.
  • geminidataanalytics.dataAgents.list
  • geminidataanalytics.dataAgents.get
  • geminidataanalytics.dataAgents.chat
  • geminidataanalytics.dataAgents.update
  • geminidataanalytics.dataAgents.delete
  • geminidataanalytics.dataAgents.getIamPolicy
  • geminidataanalytics.dataAgents.setIamPolicy

Editor de agente de datos de Gemini Data Analytics (roles/geminidataanalytics.dataAgentEditor)

Concede permiso para modificar y gestionar las configuraciones de agentes. Este rol hereda todos los permisos de los roles dataAgentUser y dataAgentViewer.
  • geminidataanalytics.dataAgents.list
  • geminidataanalytics.dataAgents.get
  • geminidataanalytics.dataAgents.chat
  • geminidataanalytics.dataAgents.update

Usuario de agente de datos de analíticas de datos de Gemini (roles/geminidataanalytics.dataAgentUser)

Concede permiso para chatear con los agentes específicos a los que se ha concedido acceso a la entidad principal. Este rol hereda todos los permisos del rol dataAgentViewer.
  • geminidataanalytics.dataAgents.list
  • geminidataanalytics.dataAgents.get
  • geminidataanalytics.dataAgents.chat

Visor de datos de Gemini Data Analytics Data Agent (roles/geminidataanalytics.dataAgentViewer)

Concede a una entidad permiso de solo lectura para enumerar y ver las configuraciones del agente. Este rol no permite chatear con agentes.
  • geminidataanalytics.dataAgents.list
  • geminidataanalytics.dataAgents.get

Usuario de chat sin estado de analíticas de datos de Gemini (roles/geminidataanalytics.dataAgentStatelessUser)

Concede a un principal permiso para llamar a la API Chat en modo sin estado. En el chat sin estado, el contexto se proporciona directamente en la solicitud en lugar de guardarse explícitamente en la configuración del agente durante la creación.

 geminidataanalytics.chat

Otorgar roles de gestión de identidades y accesos

Puedes asignar roles de gestión de identidades y accesos de la API Conversational Analytics a principales mediante la Google Cloud consola o la CLI de Google Cloud.

consola

Para conceder un rol a una entidad en la consola de Google Cloud , sigue estos pasos:

  1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

    Ir a IAM

  2. Haz clic en Conceder acceso.

  3. En el campo Principales nuevos, introduce la dirección de correo del usuario, el grupo o la cuenta de servicio.

  4. En el menú Selecciona un rol, filtra por Gemini Data Analytics para ver los roles de gestión de identidades y accesos disponibles para la API Conversational Analytics.

  5. Seleccione el rol adecuado, como Usuario del agente de datos de Gemini Data Analytics.

  6. Haz clic en Guardar.

gcloud

Para asignar roles mediante gcloud CLI, sigue estos pasos:

  1. Inicia sesión en Google Cloud y configura tu proyecto:
gcloud auth login
gcloud config set project project_id
  1. Si quieres enumerar los roles de IAM de la API Conversational Analytics que puedes conceder a tu proyecto, usa el comando gcloud iam list-grantable-roles de la siguiente manera:
gcloud iam list-grantable-roles //cloudresourcemanager.googleapis.com/projects/project_id --filter "geminidataanalytics"
  1. Asigna un rol a una cuenta principal mediante el comando gcloud projects add-iam-policy-binding.
  • Para asignar un rol a un usuario, usa el siguiente comando:
gcloud projects add-iam-policy-binding project_id --member='user:user_email' --role='roles/gda_grantable_role'
  • Para asignar un rol a una cuenta de servicio, usa el siguiente comando:
gcloud projects add-iam-policy-binding project_id --member='serviceAccount:service_account_email' --role='roles/gda_grantable_role'

En las instrucciones anteriores, sustituye los valores de ejemplo de la siguiente manera:

  • project_id: tu ID de proyecto Google Cloud .
  • user_email: la dirección de correo del usuario, como test-user@gmail.com.
  • service_account_email: la dirección de correo de la cuenta de servicio, como test-proj@example.domain.com.
  • gda_grantable_role: el rol de gestión de identidades y accesos de la API Conversational Analytics específico que quiere conceder, como geminidataanalytics.dataAgentCreator.