Questa pagina descrive come utilizzare Identity and Access Management (IAM) per gestire l'accesso alle risorse Vertex AI. Per gestire l'accesso a Per le istanze di Vertex AI Workbench, vedi Istanze di Vertex AI Workbench e il controllo dell'accesso.
Vertex AI utilizza IAM per gestire l'accesso Google Cloud. Puoi gestire l'accesso a livello di progetto o di risorsa. Per concedere l'accesso alle risorse a livello di progetto, assegna uno o più ruoli a un'entità (utente, gruppo o account di servizio). Per concedere l'accesso a una risorsa specifica, imposta un criterio IAM su quella risorsa, che deve supportare i criteri a livello di risorsa. Il criterio definisce i ruoli assegnati alle entità.
In Vertex AI sono disponibili diversi tipi di ruoli IAM:
I ruoli predefiniti ti consentono di concedere un insieme di autorizzazioni correlate alle tue risorse Vertex AI a livello di progetto.
Ruoli di base (Proprietario, Editor e Visualizzatore) forniscono il controllo dell'accesso a Vertex AI a livello di progetto e sono comuni a tutte le risorse Google Cloud i servizi di machine learning.
I ruoli personalizzati ti consentono di scegliere un insieme specifico di autorizzazioni, creare un ruolo con queste autorizzazioni e concedere il ruolo agli utenti della tua organizzazione.
Per aggiungere, aggiornare o rimuovere questi ruoli nel tuo progetto Vertex AI, consulta la documentazione su come concedere, modificare e revocare l'accesso.
Ruoli predefiniti per Vertex AI
Role | Permissions |
---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Ruoli di base
La versione precedente di Google Cloud ruoli di base sono comuni a tutti i servizi Google Cloud. Questi ruoli sono Proprietario, Editor e Visualizzatore.
I ruoli di base forniscono autorizzazioni in Google Cloud, non solo per Vertex AI. Per questo motivo, dovresti usare Vertex AI ruoli, se possibile.
Ruoli personalizzati
Se i ruoli IAM predefiniti per Vertex AI non soddisfano in base alle tue esigenze, puoi definire ruoli personalizzati. I ruoli personalizzati ti consentono di scegliere un insieme specifico di autorizzazioni, creare un ruolo con queste autorizzazioni e concedere il ruolo agli utenti della tua organizzazione. Per ulteriori informazioni, vedi Informazioni sui ruoli IAM personalizzati.
Criteri a livello di progetto e di risorsa
L'impostazione di un criterio a livello di risorsa non influenzano i criteri a livello di progetto. Una risorsa eredita tutti i criteri di discendenza. Puoi utilizzare questi due livelli di granularità per personalizzare le autorizzazioni. Ad esempio, puoi concedere agli utenti autorizzazioni di lettura a livello di progetto, possono leggere tutte le risorse del progetto e tu puoi concedere agli utenti la possibilità di scrivere autorizzazioni per risorsa (a livello di risorsa).
Non tutti i ruoli e le risorse predefiniti di Vertex AI supportano a livello di risorsa. Per vedere quali ruoli possono essere utilizzati e su quali risorse, visualizza le descrizioni per ciascun ruolo.
Risorse supportate
Vertex AI supporta l'archivio di caratteristiche Vertex AI Feature Store risorse e tipi di entità. Per ulteriori informazioni, consulta la sezione Controllare l'accesso a: Risorse di Vertex AI Feature Store.
Dopo aver concesso o revocato l'accesso a una risorsa, le modifiche richiedono del tempo propagarsi. Per ulteriori informazioni, consulta Modifica dell'accesso. la propagazione.
Informazioni sugli account di servizio e sugli agenti di servizio
Account di servizio
Un account di servizio è un account speciale utilizzato da un'applicazione o da un'istanza di macchina virtuale (VM), non da una persona. Puoi creare e assegnare autorizzazioni al servizio per concedere autorizzazioni specifiche a una risorsa o a un'applicazione.
Per informazioni sull'utilizzo di un account di servizio per personalizzare le autorizzazioni disponibili per un contenitore di addestramento personalizzato o un contenitore che fornisce previsioni online per un modello con addestramento personalizzato, leggi Utilizzare un account di servizio personalizzato.
Gli account di servizio sono identificati da un indirizzo email.
Agenti di servizio
Gli agenti di servizio vengono automaticamente provided; consentono a un servizio di accedere alle risorse per tuo conto.
Quando viene creato un agente di servizio, gli viene concesso un per il tuo progetto. La tabella seguente elenca Vertex AI agenti di servizio, i relativi indirizzi email e i rispettivi ruoli:
Nome | Utilizzato per | Indirizzo email | Ruolo |
---|---|---|---|
Vertex AI Service Agent | Funzionalità di Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
Vertex AI Custom Code Service Agent |
Codice di addestramento personalizzato Codice dell'applicazione Ray on Vertex AI |
service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
roles/aiplatform.customCodeServiceAgent |
Vertex AI Extension Service Agent | Estensioni Vertex | service-PROJECT_NUMBER@gcp-sa-vertex-ex.iam.gserviceaccount.com |
roles/aiplatform.extensionServiceAgent |
Account di servizio Cloud AI Platform Notebooks | Funzionalità di Vertex AI Workbench | service-PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com |
roles/notebooks.serviceAgent |
L'agente di servizio del codice personalizzato Vertex AI viene creato solo se esegui il codice di addestramento personalizzato per addestrare un modello con addestramento personalizzato.
Ruoli e autorizzazioni dell'agente di servizio
Vedi i ruoli e le autorizzazioni seguenti concessi a Agenti di servizio Vertex AI.
Ruolo | Autorizzazioni |
---|---|
Vertex AI Service Agent( Concede a Vertex AI le autorizzazioni necessarie per il funzionamento. di Gemini Advanced. |
|
Vertex AI Custom Code Service Agent( Concede al codice personalizzato Vertex AI le autorizzazioni appropriate. di Gemini Advanced. |
|
AI Platform Notebooks Service Agent( Fornisce accesso per consentire all'agente di servizio Notebooks di gestire le istanze blocco note nei progetti degli utenti di Gemini Advanced. |
|
Concedi agli agenti di servizio Vertex AI l'accesso ad altre risorse
A volte è necessario concedere ruoli aggiuntivi a un agente di servizio Vertex AI. Ad esempio, se hai bisogno di Vertex AI per accedere a per un bucket Cloud Storage di un progetto diverso, dovrai concedere uno o altri ruoli aggiuntivi all'agente di servizio.
Requisiti per l'aggiunta di ruoli per BigQuery
La tabella seguente descrive i ruoli aggiuntivi richiesti aggiunto all'agente di servizio Vertex AI per BigQuery in un altro progetto o se è supportata da un'origine dati esterna.
Il termine progetto casa si riferisce al progetto in cui viene individuato il set di dati o il modello Vertex AI. Il termine diverso progetto si riferisce a qualsiasi altro progetto.
Tipo di tabella | Progetto tabella | Progetto origine dati | Aggiunta del ruolo obbligatoria |
---|---|---|---|
Tabella BigQuery nativa | Progetto di casa | N/D | Nessuno. |
Tabella BigQuery nativa | Progetto diverso | N/D | BigQuery Data Viewer per un altro progetto. Scopri di più. |
Vista BigQuery | Progetto casa | N/D | Nessuno. |
Vista BigQuery | Progetto diverso | N/D | BigQuery Data Viewer per un altro progetto. Scopri di più. |
Origine dati BigQuery esterna supportata da Bigtable | Progetto di casa | Progetto casa | Bigtable Reader per il progetto Home. Scopri di più. |
Origine dati BigQuery esterna supportata da Bigtable | Progetto casa | Progetto diverso | Bigtable Reader per un altro progetto. Scopri di più. |
Origine dati BigQuery esterna supportata da Bigtable | Progetto diverso | Progetto diverso | BigQuery Reader e Bigtable Reader per un altro progetto. Scopri di più. |
Origine dati BigQuery esterna supportata da Cloud Storage | Progetto casa | Progetto casa | Nessuno. |
Origine dati BigQuery esterna supportata da Cloud Storage | Progetto casa | Progetto diverso | Storage Object Viewer per un altro progetto. Scopri di più. |
Origine dati BigQuery esterna supportata da Cloud Storage | Progetto diverso | Progetto diverso | Storage Object Viewer e BigQuery Data Viewer per progetti diversi. Scopri di più. |
Origine dati BigQuery esterna supportata da Fogli Google | Progetto casa | N/D | Condividi il file di Fogli con l'account di servizio Vertex AI. Scopri di più. |
Origine dati BigQuery esterna supportata da Fogli Google | Progetto diverso | N/D | BigQuery Reader per un altro progetto e condividi il file di Fogli con l'account di servizio Vertex AI. |
Requisiti per l'aggiunta di ruoli per Cloud Storage
Se accedi ai dati in un bucket Cloud Storage da un'altra
devi assegnare il ruolo Storage > Storage Object Viewer
a
Vertex AI in quel progetto. Scopri di più.
Se utilizzi un bucket Cloud Storage per ricevere dati dalla tua
computer per un'operazione di importazione e il bucket si trova in un progetto diverso da
progetto Google Cloud, devi fornire Storage > Storage Object Creator
a Vertex AI in quel progetto. Scopri di più.
Concedi l'accesso a Vertex AI alle risorse nel tuo progetto domestico
Per concedere ruoli aggiuntivi a un agente di servizio per Vertex AI nel tuo progetto domestico:
Vai alla pagina IAM della console Google Cloud per il tuo progetto home.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Stabilisci l'agente di servizio a cui vuoi concedere l'accesso autorizzazioni e fai clic sull'icona a forma di matita .
Puoi filtrare per Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com per trovare gli agenti di servizio Vertex AI.
Concedi i ruoli richiesti all'account di servizio e salva le modifiche.
Concedi l'accesso a Vertex AI alle risorse di un altro progetto
Quando utilizzi origini dati o destinazioni in un altro progetto, devi fornire le autorizzazioni dell'account di servizio Vertex AI in quel progetto. La L'account di servizio Vertex AI viene creato dopo il primo avvio un job asincrono (ad esempio, la creazione di un endpoint). Puoi anche creare esplicitamente l'account di servizio Vertex AI mediante gcloud CLI seguendo questi istruzioni. Questo comando gcloud creerà sia l'account di servizio predefinito sia l'account di servizio con codice personalizzato, anche se nella risposta verrà restituito solo l'account di servizio predefinito.
Per aggiungere autorizzazioni a Vertex AI in un progetto diverso:
Vai alla pagina IAM della console Google Cloud per il tuo progetto home (il progetto in cui stai utilizzando Vertex AI).
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Stabilisci l'agente di servizio a cui vuoi concedere l'accesso e copiarne l'indirizzo email (elencato in Entità).
Puoi filtrare per Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com per trovare gli agenti di servizio Vertex AI.
Passa ai progetti per cui devi concedere le autorizzazioni.
Fai clic su Aggiungi e inserisci l'indirizzo email in Nuove entità.
Aggiungi tutti i ruoli richiesti e fai clic su Salva.
Fornire l'accesso a Fogli Google
Se utilizzi un'origine dati BigQuery esterna supportata da Google Fogli, devi condividere il foglio con il servizio Vertex AI . L'account di servizio Vertex AI viene creato dopo l'avvio il primo job asincrono (ad esempio, la creazione di un endpoint). Puoi anche esplicitamente crea l'account di servizio Vertex AI mediante gcloud CLI seguendo questo istruzioni.
Per autorizzare Vertex AI ad accedere al tuo file di Fogli:
Vai alla pagina IAM della console Google Cloud.
Cerca l'account di servizio con nome
Vertex AI Service Agent
e copia il relativo indirizzo email (indicato in Entità).Apri il file di Fogli e condividilo con quell'indirizzo.
Passaggi successivi
- Scopri di più su IAM.
- Scopri di più sulle autorizzazioni IAM specifiche e sulle operazioni che supportano.
- Panoramica di Vertex AI.