Attribuer des rôles IAM et des autorisations pour l'API Conversational Analytics

L'API Conversational Analytics utilise Identity and Access Management (IAM) pour contrôler les accès à la création et à la gestion des agents de données ainsi qu'à l'interaction avec ces agents. IAM vous permet d'accorder des autorisations à des comptes principaux (tels que des utilisateurs, des groupes et des comptes de service) en leur attribuant des rôles. Chaque rôle est un ensemble d'une ou plusieurs autorisations qui détermine les actions qu'un compte principal peut effectuer.

Cette page décrit les rôles IAM prédéfinis pour l'API Conversational Analytics. Vous pouvez les attribuer dans la console Google Cloud pour le projet dans lequel l'API Conversational Analytics est activée. Pour obtenir des instructions détaillées, consultez Attribuer des rôles à l'aide de la console Google Cloud . Vous pouvez également utiliser la Google Cloud CLI pour attribuer des rôles, comme décrit dans Attribuer des rôles IAM.

Avant de commencer

Pour obtenir les autorisations nécessaires à l'attribution de rôles IAM pour l'API Conversational Analytics, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur de projet IAM (roles/resourcemanager.projectIamAdmin) sur le projet dans lequel l'API Conversational Analytics est activée. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Présentation des rôles IAM pour l'API Conversational Analytics

L'API Conversational Analytics fournit un ensemble de rôles IAM prédéfinis. Ces rôles vous permettent d'accorder des autorisations pour des tâches telles que la création, la modification, le partage, la gestion et l'affichage d'agents ainsi que la discussion avec ces agents et l'utilisation de l'API en mode chat sans état.

Les rôles IAM prédéfinis pour l'API Conversational Analytics font partie du service geminidataanalytics. Les noms techniques de ces rôles respectent le format roles/geminidataanalytics.ROLE_NAME. Dans la console Google Cloud , vous pouvez trouver ces rôles en filtrant sur le service d'analyses de données Gemini.

Vous pouvez attribuer des rôles IAM pour l'API Conversational Analytics au niveau du projet.

Rôles requis pour les tâches utilisateur courantes

Pour déterminer les rôles à attribuer à un compte principal, tenez compte des tâches utilisateur courantes suivantes.

Créer des agents de données
Attribuez le rôle Créateur d'agent de données aux utilisateurs chargés de créer des agents de données dans un projet.
Gérer les autorisations des agents
Attribuez le rôle Propriétaire d'agent de données aux utilisateurs qui ont besoin d'avoir le plus haut niveau de contrôle sur un agent, de pouvoir gérer les autorisations, partager ou supprimer des agents. Lorsqu'un utilisateur crée un agent, le système lui attribue automatiquement ce rôle pour l'agent en question.
Modifier les configurations d'agent
Attribuez le rôle Éditeur d'agent de données aux utilisateurs qui modifient la configuration d'un agent, comme ses mappages de source de données ou de contexte. Ces utilisateurs ne sont pas autorisés à partager ni à supprimer l'agent.
Discuter avec les agents
Attribuez le rôle Utilisateur d'agent de données aux utilisateurs ou aux applications qui interagissent principalement avec les agents en posant des questions et en recevant des réponses.
Afficher les configurations d'agent
Attribuez le rôle Lecteur d'agent de données aux utilisateurs qui ont besoin d'un accès en lecture seule pour afficher les configurations d'agent.
Discuter en utilisant le contexte intégré
Attribuez le rôle Utilisateur sans état d'agent de données aux applications ou aux utilisateurs qui interagissent avec l'API en mode sans état, où l'utilisateur fournit tout le contexte de la conversation dans chaque requête.

Pour obtenir la liste des rôles prédéfinis et des autorisations qu'ils incluent, consultez Rôles prédéfinis pour l'API Conversational Analytics.

Rôles prédéfinis pour l'API Conversational Analytics

Le tableau suivant décrit les rôles prédéfinis pour l'API Conversational Analytics. Si les rôles prédéfinis ne fournissent pas l'ensemble d'autorisations souhaité, vous pouvez également créer vos propres rôles personnalisés.

Rôle Autorisations

Créateur d'agent de données des analyses de données Gemini (roles/geminidataanalytics.dataAgentCreator)

Permet à un compte principal de créer des ressources d'agent de données dans un projet spécifique. Lorsqu'un compte principal crée un agent, le système lui attribue automatiquement le rôle dataAgentOwner pour cet agent spécifique.

 geminidataanalytics.dataAgents.create

Propriétaire d'agent de données des analyses de données Gemini (roles/geminidataanalytics.dataAgentOwner)

Permet à un compte principal de contrôler entièrement le cycle de vie de tout agent du projet, y compris de partager et de supprimer des agents. Ce rôle est destiné aux comptes principaux approuvés qui peuvent gérer le partage d'agents. Ce rôle hérite de toutes les autorisations des rôles dataAgentEditor, dataAgentUser et dataAgentViewer.

Un compte principal doté de ce rôle peut partager et supprimer des agents.
  • geminidataanalytics.dataAgents.list
  • geminidataanalytics.dataAgents.get
  • geminidataanalytics.dataAgents.chat
  • geminidataanalytics.dataAgents.update
  • geminidataanalytics.dataAgents.delete
  • geminidataanalytics.dataAgents.getIamPolicy
  • geminidataanalytics.dataAgents.setIamPolicy

Éditeur d'agent de données des analyses de données Gemini (roles/geminidataanalytics.dataAgentEditor)

Permet de modifier et de gérer les configurations d'agent existantes. Ce rôle hérite de toutes les autorisations des rôles dataAgentUser et dataAgentViewer.
  • geminidataanalytics.dataAgents.list
  • geminidataanalytics.dataAgents.get
  • geminidataanalytics.dataAgents.chat
  • geminidataanalytics.dataAgents.update

Utilisateur d'agent de données des analyses de données Gemini (roles/geminidataanalytics.dataAgentUser)

Permet à un compte principal de discuter avec les agents spécifiques auxquels il a accès. Ce rôle hérite de toutes les autorisations du rôle dataAgentViewer.
  • geminidataanalytics.dataAgents.list
  • geminidataanalytics.dataAgents.get
  • geminidataanalytics.dataAgents.chat

Lecteur d'agent de données des analyses de données Gemini (roles/geminidataanalytics.dataAgentViewer)

Accorde à un compte principal un accès en lecture seule pour lister et afficher les configurations d'agent. Ce rôle ne permet pas de discuter avec des agents.
  • geminidataanalytics.dataAgents.list
  • geminidataanalytics.dataAgents.get

Utilisateur sans état d'agent de données des analyses de données Gemini (roles/geminidataanalytics.dataAgentStatelessUser)

Permet à un compte principal d'appeler l'API Chat en mode sans état. Avec le chat sans état, le contexte est fourni directement dans la requête au lieu d'être enregistré de manière explicite dans la configuration d'agent lors de la création.

 geminidataanalytics.chat

Attribuer des rôles IAM

Vous pouvez attribuer des rôles IAM pour l'API Conversational Analytics à des comptes principaux à l'aide de la console Google Cloud ou de la Google Cloud CLI.

Console

Pour attribuer un rôle à un compte principal dans la console Google Cloud , procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM

  2. Cliquez sur Accorder l'accès.

  3. Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail de l'utilisateur, du groupe ou du compte de service.

  4. Dans le menu Sélectionner un rôle, filtrez sur Analyses de données Gemini afin d'afficher les rôles IAM disponibles pour l'API Conversational Analytics.

  5. Sélectionnez le rôle approprié, par exemple Utilisateur d'agent de données des analyses de données Gemini.

  6. Cliquez sur Enregistrer.

gcloud

Pour attribuer des rôles à l'aide de la gcloud CLI, procédez comme suit :

  1. Connectez-vous à Google Cloud et définissez votre projet :
gcloud auth login
gcloud config set project project_id
  1. Vous pouvez également exécuter la commande gcloud iam list-grantable-roles pour lister les rôles IAM que vous pouvez attribuer à votre projet pour l'API Conversational Analytics :
gcloud iam list-grantable-roles //cloudresourcemanager.googleapis.com/projects/project_id --filter "geminidataanalytics"
  1. Attribuez un rôle à un compte principal à l'aide de la commande gcloud projects add-iam-policy-binding.
  • Pour attribuer un rôle à un utilisateur, exécutez la commande suivante :
gcloud projects add-iam-policy-binding project_id --member='user:user_email' --role='roles/gda_grantable_role'
  • Pour attribuer un rôle à un compte de service, exécutez la commande suivante :
gcloud projects add-iam-policy-binding project_id --member='serviceAccount:service_account_email' --role='roles/gda_grantable_role'

Dans les instructions précédentes, remplacez les exemples de valeurs comme suit :

  • project_id : ID de votre projet Google Cloud .
  • user_email : adresse e-mail de l'utilisateur, par exemple test-user@gmail.com.
  • service_account_email : adresse e-mail du compte de service, par exemple test-proj@example.domain.com.
  • gda_grantable_role : rôle IAM pour l'API Conversational Analytics que vous souhaitez attribuer, tel que geminidataanalytics.dataAgentCreator.