本頁面由 Cloud Translation API 翻譯而成。

在 Gemini 的協助下取得預先定義角色建議

本頁說明如何透過 Gemini 輔助，找出並授予主體最低權限的 Identity and Access Management (IAM) 預先定義角色。

您可以使用 IAM 角色挑選器，要求 Gemini 建議應授予主體的角色。一般來說，如要找出合適的預先定義角色並授予權限，您需要搜尋 IAM 角色和權限索引，或角色頁面 (位於Google Cloud 控制台)。使用 IAM 角色挑選器，您可以描述要讓主體執行的動作，以及執行這些動作所需的資源。根據您的輸入內容，Gemini 會建議最嚴格的預先定義角色，並認為這些角色適合您。

Gemini 可以為個別主體建議預先定義的角色。如果 Gemini 建議在專案層級授予角色，您可以使用 IAM 角色挑選器授予該角色。

Gemini 無法建議授予下列項目：

自訂角色
多個主體的角色

瞭解 Gemini for Google Cloud 如何使用您的資料，以及使用時機。

事前準備

如要在專案中啟用 IAM 角色挑選器，請在 Google Cloud 主控台中啟用 Gemini for Google Cloud API。

啟用 API

如果未啟用 API， Google Cloud 控制台中的「幫我選擇角色」按鈕就會停用，無法存取 IAM 角色挑選器。

必要的角色

如要取得使用 IAM 角色挑選器所需的權限，請要求管理員授予您專案的下列 IAM 角色：

請 Gemini 提供角色建議： Gemini for Google Cloud 使用者 (roles/cloudaicompanion.user)
授予建議的角色：專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

在 Gemini 的協助下取得角色建議

如要取得 Gemini 的角色建議，請在 Google Cloud 控制台的頁面中存取 IAM 角色挑選器，並在專案層級授予存取權。舉例來說，您可以在下列頁面使用 IAM 角色挑選器：

「IAM」頁面
「服務帳戶」頁面
Google Cloud 控制台的「資訊主頁」頁面

以下程序會使用「身分與存取權管理」頁面做為主要進入點。

前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

前往 IAM
選取專案。
選取要取得角色建議的主體：
- 如要為資源中已有其他角色的主體取得角色建議，請找出含有該主體的資料列，然後點選該列中的「Edit principal」(編輯主體)。
  
  如要將角色授予服務代理，請選取「包含Google提供的角色授權」核取方塊，查看服務代理的電子郵件地址。
  
  注意： 管理資源存取權時，您無法編輯沿用的角色。如要編輯沿用的角色，請前往授予角色的資源。
- 如要為資源上沒有任何角色的主體取得角色建議，請按一下「授予存取權」，然後輸入主體 ID，例如 my-user@example.com 或 //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com。
如要開啟 IAM 角色挑選器對話方塊，請按一下「幫我選取角色」。
請用自己的話說明主體要執行的動作，以及專案中需要執行動作的資源。
按一下「建議角色」。Gemini 會根據您的輸入內容，建議最嚴格的適當預先定義角色。

如要進一步瞭解角色和 Gemini 建議這些角色的原因，請按一下「顯示原因」。此外，我們也建議您使用角色和權限參考資料驗證 Gemini 建議的角色，再將這些角色授予主體。
選用：如果 Gemini 建議的角色不合適，可以修正提示。
1. 如要修改提示，請按一下「編輯」。
2. 編輯說明，然後按一下「更新」。 Gemini 會根據新說明更新角色建議。
如要接受建議，請按一下「新增角色」。
選用：為角色新增條件。
按一下 [儲存]。主體就會取得指定資源的角色。

您可以直接從 IAM 角色挑選器，授予 Gemini 建議的專案層級角色。如要取得機構、資料夾或資源層級的角色建議，請記下建議的角色，並使用 Google Cloud 控制台的標準程序，在適當層級將這些角色授予主體。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

如果您沒有在機構、資料夾或資源層級授予角色的權限，請與管理員聯絡。

應用實例

下表列出一些用途範例，說明 Gemini 如何協助您為主體找出權限最少的角色。

用途	提示範例
找出執行特定工作所需的最低權限角色	「建立、啟動及停止 VM 需要哪些角色？」「建立 IAM 政策需要哪些最低權限的 IAM 角色？」「我需要允許使用者建立及管理 BigQuery 資料集和資料表。我應該指派哪個角色？」「我需要授予服務帳戶權限，才能叫用 Cloud Run 函式。需要哪些最低權限的角色？" 「哪個角色可讓服務帳戶從 Cloud Storage 讀取資料，但無法寫入或刪除物件？」
找出執行 Google Cloud CLI 指令所需的最低權限角色	「執行下列指令需要哪些 IAM 角色：`gcloud compute instances create instance-1 --zone=us-central1-a`」「我想找出服務帳戶執行下列指令時所需的角色：`gcloud datastore instances describe`」
識別包含遞移依附元件的任務角色	「我需要設定 Compute Engine 執行個體，根據 CPU 使用率自動調度資源。應將哪些 IAM 角色授予執行個體自動調整程式使用的服務帳戶？
找出工作適用的角色，這項工作可能需要多個精細角色組合	「只允許使用者存取特定資料集。我們不想共用所有資料集的存取權，只允許使用者存取 BigQuery 中的特定資料集。他們不應能夠建立新資料集或刪除資料集」

最佳做法

為確保 Gemini 根據您的用途提供最準確的建議，建議您撰寫提示時遵循下列最佳做法。

清楚說明用途。請避免在提示中使用含糊不清的語言。盡可能清楚說明您希望主體在哪些服務和資源類型上執行哪些動作。

正確做法	錯誤做法	詳細資料
「What role is required to execute SQL queries on a BigQuery table and read the data from it?」(如要在 BigQuery 資料表上執行 SQL 查詢並讀取資料，需要什麼角色？)	「執行 SQL 陳述式需要什麼角色？」	SQL 是多項 Google Cloud 服務通用的語言。如果沒有指定服務或動作，Gemini 就無法建議確切的角色。
「我需要角色來啟動、停止及重新啟動 Compute Engine 虛擬機器執行個體。」	「I need to manage my virtual machines.」(我需要管理虛擬機器)。	「管理」一詞過於籠統。管理可能包括建立、刪除、更新或查看 VM。清楚列出要執行的特定動作 (啟動、停止、重新啟動) 和確切的資源類型 (Compute Engine 虛擬機器執行個體)，可獲得更準確的建議。
「我需要從名為 `example-bucket` 的 Cloud Storage bucket 上傳及下載物件。」	「Give me access to storage」(授予儲存空間存取權)。	單獨使用「儲存空間」一詞時，可能指的是各種服務，例如 Cloud Storage、Filestore 或永久磁碟。此外，系統未指定任何動作。如果沒有指定服務 (Cloud Storage)、資源類型名稱 (`example-bucket`) 或動作 (上傳和下載物件)，Gemini 就沒有足夠的資訊來建議合適的角色。

使用官方名稱。在提示中，請使用 Google Cloud 服務、資源類型和 API 作業的正式名稱。如果您不確定服務、資源類型或 API 作業的正式名稱，建議參閱正式產品文件。

正確做法	錯誤做法	詳細資料
「What role do I need to update BigQuery datasets?」(我需要什麼角色才能更新 BigQuery 資料集？)	「我需要什麼角色才能更新 BigQuery 資料集？	BigQuery 是產品的正式名稱，而非 Big query。
「在專案中建立 Cloud Storage bucket 需要什麼角色？」	「我需要什麼角色才能在專案中建立 Storage bucket？」	儲存空間值區可能指的是來自 Cloud Storage、Filestore 或 Persistent Disk 等服務的不同資源類型。指定產品名稱和相關資源類型，可獲得更準確的建議。

疑難排解

本節說明如何解決 IAM 角色挑選器常見問題。

Gemini 建議您無法在專案層級授予的角色

Gemini 可以在所有資源層級建議角色，但您只能使用 IAM 角色挑選器，授予建議的專案層級角色。如果 Gemini 建議機構、資料夾或資源層級的角色，IAM 角色挑選器會指出有建議角色無法授予，且「新增角色」按鈕會停用。

發生這種情況時，您可以複製建議的角色，並使用Google Cloud 控制台中的一般程序，在適當層級將角色授予主體。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」一文。